2023年新出現(xiàn)的網(wǎng)絡(luò)威脅,從AI到量子計(jì)算再到數(shù)據(jù)中毒 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2023-09-15 瀏覽次數(shù): |
網(wǎng)絡(luò)釣魚(yú)仍然是最常見(jiàn)的攻擊,2023年康卡斯特商業(yè)網(wǎng)絡(luò)安全威脅報(bào)告發(fā)現(xiàn),90%的入侵客戶(hù)網(wǎng)絡(luò)的嘗試都是從網(wǎng)絡(luò)釣魚(yú)開(kāi)始的。
隨著黑客和詐騙者獲得新技術(shù)或想出利用舊漏洞的新方法,威脅不斷演變?!斑@是一場(chǎng)貓捉老鼠的游戲,”安全公司EnTrust的CISO馬克·魯奇說(shuō)。 網(wǎng)絡(luò)釣魚(yú)仍然是最常見(jiàn)的攻擊,2023年康卡斯特商業(yè)網(wǎng)絡(luò)安全威脅報(bào)告發(fā)現(xiàn),90%的入侵客戶(hù)網(wǎng)絡(luò)的嘗試都是從網(wǎng)絡(luò)釣魚(yú)開(kāi)始的。 攻擊的數(shù)量和速度都在增加,受害者付出的代價(jià)也在增加,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司發(fā)布的2022年官方網(wǎng)絡(luò)犯罪報(bào)告估計(jì),網(wǎng)絡(luò)犯罪的成本將從2015年的3萬(wàn)億美元躍升至2025年的10.5萬(wàn)億美元。 與此同時(shí),安全領(lǐng)導(dǎo)人說(shuō),他們看到了標(biāo)準(zhǔn)攻擊方法的新形式,比如 Midnight Blizzard發(fā)起的攻擊(該公司也被命名為APT29、Cozy Bear和Nobelium)以及新的攻擊策略。數(shù)據(jù)中毒、搜索引擎優(yōu)化中毒和AI威脅參與者是CISO今天面臨的新威脅。 安全公司Panaseer的CISO兼該公司顧問(wèn)委員會(huì)成員安德烈亞斯·武克納表示:“當(dāng)你同意成為一名CISO時(shí),你就同意參加一場(chǎng)你永遠(yuǎn)不會(huì)完全獲勝的比賽,而且你必須在屏幕上看到不斷變化的東西。” AI和由AIGC支持的攻擊專(zhuān)家表示,一些最引人注目的新興威脅源于AI的迅速成熟和擴(kuò)散。安全官員目睹了黑客采用AI的速度,其速度超過(guò)了競(jìng)爭(zhēng)對(duì)手——有時(shí)甚至超過(guò)了企業(yè)技術(shù)團(tuán)隊(duì)。 AI支持的攻擊的可能性并不出人意料。根據(jù)2019年Forrester Research的一份報(bào)告,80%的網(wǎng)絡(luò)安全決策者預(yù)計(jì)AI將提高攻擊的規(guī)模和速度,66%的人預(yù)計(jì)AI將進(jìn)行人類(lèi)無(wú)法想象的攻擊。 該報(bào)告進(jìn)一步指出,“這些攻擊將是隱蔽和不可預(yù)測(cè)的,使他們能夠規(guī)避依賴(lài)規(guī)則和簽名的傳統(tǒng)安全方法,而只參考?xì)v史攻擊。” 一些專(zhuān)家說(shuō),這種情況現(xiàn)在正在發(fā)生。 芬蘭運(yùn)輸和通信局與總部位于赫爾辛基的網(wǎng)絡(luò)安全公司W(wǎng)ithSecure聯(lián)合發(fā)布了一份2022年12月的報(bào)告,報(bào)告的作者斷言:“AI支持的網(wǎng)絡(luò)攻擊已經(jīng)是一個(gè)企業(yè)無(wú)法應(yīng)對(duì)的威脅。隨著我們見(jiàn)證AI方法的改進(jìn),以及AI專(zhuān)業(yè)知識(shí)變得更加廣泛,這種安全威脅只會(huì)增加?!? 根據(jù)那份報(bào)告,黑客正在使用AI來(lái)分析攻擊策略,從而提高他們成功的可能性,黑客也在使用AI來(lái)提高他們活動(dòng)的速度、規(guī)模和范圍。 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人指出,AI——更具體地說(shuō)是AIGC——構(gòu)成了其他新出現(xiàn)的威脅。首先是黑客利用AIGC開(kāi)發(fā)惡意軟件,他們還利用它來(lái)創(chuàng)建更多的網(wǎng)絡(luò)釣魚(yú)和淫穢信息,其內(nèi)容準(zhǔn)確地模仿合法電子郵件的語(yǔ)言、語(yǔ)氣和設(shè)計(jì)。 這就消除了通常有助于將它們識(shí)別為惡意消息的笨拙措辭或草率的圖形。正如魯奇所說(shuō):“今天的網(wǎng)絡(luò)釣魚(yú)郵件變得越來(lái)越精明,AIGC肯定會(huì)將其提升到前所未有的水平?!? 電氣和電子工程師協(xié)會(huì)的高級(jí)成員、超級(jí)防偽公司的CISO凱恩·麥克格拉德雷已經(jīng)看到了證據(jù)。他曾與一家企業(yè)合作,該企業(yè)的高管收到了一份合同,供審查和簽署?!皫缀跻磺锌雌饋?lái)都很正常,”麥克格拉德雷說(shuō),唯一值得注意的錯(cuò)誤是公司名稱(chēng)上的一個(gè)小錯(cuò)誤,首席法律顧問(wèn)發(fā)現(xiàn)了這一點(diǎn)。 但McGladrey表示,新一代AI不僅提高了黑客的速度和復(fù)雜性,還擴(kuò)大了他們的觸角。黑客現(xiàn)在可以使用AIGC來(lái)創(chuàng)建具有幾乎任何語(yǔ)言的可信文本的網(wǎng)絡(luò)釣魚(yú)活動(dòng),包括那些迄今為止攻擊嘗試較少的語(yǔ)言,因?yàn)檫@種語(yǔ)言很難學(xué)習(xí),或者非母語(yǔ)者很少說(shuō)這種語(yǔ)言。 麥克格拉德雷補(bǔ)充道:“如果沒(méi)有其他原因,AIGC在翻譯內(nèi)容方面做得很好,所以到目前為止還沒(méi)有經(jīng)歷過(guò)很多網(wǎng)絡(luò)釣魚(yú)攻擊的國(guó)家可能很快就會(huì)看到更多。” 其他人警告說(shuō),其他支持AI的威脅也即將出現(xiàn),他們表示,他們預(yù)計(jì)黑客將使用深度假冒來(lái)模仿個(gè)人——比如高調(diào)的高管和公民領(lǐng)袖(他們的聲音和圖像廣泛公開(kāi),可以用來(lái)培訓(xùn)AI模型)。 網(wǎng)絡(luò)保險(xiǎn)提供商Corvus的威脅情報(bào)經(jīng)理瑞安·貝爾表示:“這絕對(duì)是我們正在密切關(guān)注的事情,但可能性已經(jīng)相當(dāng)明顯。技術(shù)越來(lái)越好,更難辨別什么是真的?!彼昧藶蹩颂m總統(tǒng)弗拉基米爾·澤倫斯基的深度虛假圖像被用來(lái)傳播虛假信息,作為該技術(shù)用于邪惡目的的證據(jù)。 此外,芬蘭的這份報(bào)告對(duì)未來(lái)的情況做出了可怕的評(píng)估:在不久的將來(lái),快節(jié)奏的AI進(jìn)步將通過(guò)自動(dòng)化、隱形、社交工程或信息收集來(lái)增強(qiáng)和創(chuàng)造更廣泛的攻擊技術(shù)。因此,我們預(yù)測(cè),未來(lái)五年,支持AI的攻擊將在技能較低的攻擊者中變得更加普遍。隨著傳統(tǒng)的網(wǎng)絡(luò)攻擊將變得過(guò)時(shí),AI技術(shù)和工具將變得更容易獲得和負(fù)擔(dān)得起,從而激勵(lì)攻擊者使用支持AI的網(wǎng)絡(luò)攻擊。 劫持企業(yè)AI另一方面,一些安全專(zhuān)家表示,黑客可以使用企業(yè)自己的聊天機(jī)器人來(lái)對(duì)付他們。 與更傳統(tǒng)的攻擊場(chǎng)景一樣,攻擊者可以嘗試侵入聊天機(jī)器人系統(tǒng),竊取這些系統(tǒng)中的任何數(shù)據(jù),或者利用它們?cè)L問(wèn)對(duì)壞人具有更大價(jià)值的其他系統(tǒng)。 當(dāng)然,這并不是特別新奇。然而,安全公司OccamSec的安全工程師馬特·蘭德斯表示,黑客可能會(huì)改變受攻擊的聊天機(jī)器人的用途,然后將它們用作傳播惡意軟件的渠道,或者可能以邪惡的方式與其他人——客戶(hù)、員工或其他系統(tǒng)——互動(dòng)。 網(wǎng)絡(luò)風(fēng)險(xiǎn)研究團(tuán)隊(duì)Voyager18和安全軟件公司Vulcan最近也發(fā)出了類(lèi)似的警告。這些研究人員發(fā)布了一份2023年6月的咨詢(xún)報(bào)告,詳細(xì)介紹了黑客如何利用AIGC(包括ChatGTP)將惡意包傳播到開(kāi)發(fā)人員的環(huán)境中。 Wuchner表示,AI帶來(lái)的新威脅并不僅限于此,他說(shuō),隨著越來(lái)越多的員工——特別是IT以外的員工——使用新一代AI編寫(xiě)代碼,以便他們能夠快速部署使用,企業(yè)可能會(huì)發(fā)現(xiàn)錯(cuò)誤、漏洞和惡意代碼可能會(huì)進(jìn)入企業(yè)。 Wuchner補(bǔ)充道:“所有的研究都表明,使用AI創(chuàng)建腳本是多么容易,但信任這些技術(shù)正在將人們從未想過(guò)的東西帶入企業(yè)?!? 量子計(jì)算美國(guó)于2022年12月通過(guò)了《量子計(jì)算網(wǎng)絡(luò)安全準(zhǔn)備法案》,將一項(xiàng)旨在保護(hù)聯(lián)邦政府系統(tǒng)和數(shù)據(jù)免受量子網(wǎng)絡(luò)攻擊的措施寫(xiě)入法律。許多人預(yù)計(jì),隨著量子計(jì)算的成熟,量子網(wǎng)絡(luò)攻擊將會(huì)發(fā)生。 幾個(gè)月后,也就是2023年6月,歐洲政策中心敦促采取類(lèi)似行動(dòng),呼吁歐洲官員為量子網(wǎng)絡(luò)攻擊的到來(lái)做好準(zhǔn)備——這一預(yù)期中的事件被稱(chēng)為Q日。 根據(jù)專(zhuān)家的說(shuō)法,未來(lái)五到十年,量子計(jì)算的工作可能會(huì)取得足夠的進(jìn)展,達(dá)到破解當(dāng)今現(xiàn)有密碼算法的能力——這一能力可能會(huì)使目前加密協(xié)議保護(hù)的所有數(shù)字信息都容易受到網(wǎng)絡(luò)攻擊。 “我們知道量子計(jì)算將在三到十年內(nèi)沖擊我們,但還沒(méi)有人真正知道它的全部影響會(huì)是什么。”Ruchie說(shuō)。更糟糕的是,他說(shuō),壞人可能會(huì)利用量子計(jì)算與AI相結(jié)合的方式來(lái)“制造新的威脅”。 數(shù)據(jù)和搜索引擎優(yōu)化中毒馬里蘭大學(xué)全球校園網(wǎng)絡(luò)安全與IT學(xué)院的大學(xué)副教授羅尼·塔庫(kù)爾表示,另一個(gè)已經(jīng)出現(xiàn)的威脅是數(shù)據(jù)中毒。 通過(guò)數(shù)據(jù)中毒,攻擊者篡改或破壞用于訓(xùn)練機(jī)器學(xué)習(xí)和深度學(xué)習(xí)模型的數(shù)據(jù)。他們可以使用各種技術(shù)來(lái)做到這一點(diǎn)。有時(shí)也被稱(chēng)為模型中毒,這種攻擊的目的是影響AI決策和輸出的準(zhǔn)確性。 正如塔庫(kù)爾總結(jié)的那樣:“你可以通過(guò)毒化數(shù)據(jù)來(lái)操縱算法?!? 他指出,內(nèi)部和外部的不良行為者都有可能導(dǎo)致數(shù)據(jù)中毒。此外,他說(shuō),許多企業(yè)缺乏檢測(cè)這種復(fù)雜攻擊的技能。盡管企業(yè)尚未看到或報(bào)告任何規(guī)模的此類(lèi)攻擊,但研究人員已經(jīng)探索并證明,黑客實(shí)際上可能有能力進(jìn)行此類(lèi)攻擊。 其他人則提到了另一個(gè)“中毒”威脅:SEO中毒,最常見(jiàn)的是操縱搜索引擎排名,將用戶(hù)重定向到惡意網(wǎng)站,這些網(wǎng)站將在他們的設(shè)備上安裝惡意軟件。Info-Tech Research Group在其2023年6月的威脅概況簡(jiǎn)報(bào)中指出了SEO中毒威脅,稱(chēng)其是一個(gè)日益增長(zhǎng)的威脅。 為下一步做準(zhǔn)備大多數(shù)CISO預(yù)計(jì)威脅格局將發(fā)生變化:根據(jù)搜索公司Heidrick&Struggles為其2023年全球CISO調(diào)查進(jìn)行的一項(xiàng)民意調(diào)查,58%的安全領(lǐng)導(dǎo)者預(yù)計(jì)未來(lái)五年將出現(xiàn)一系列不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)。 CISO將AI和ML列為最重要的網(wǎng)絡(luò)風(fēng)險(xiǎn)的首要因素,46%的人表示同意這一點(diǎn)。CISO還將地緣政治、攻擊、威脅、云、量子和供應(yīng)鏈列為其他首要網(wǎng)絡(luò)風(fēng)險(xiǎn)因素。 Heidrick&Struggles調(diào)查的作者指出,受訪(fǎng)者對(duì)這個(gè)話(huà)題提出了一些想法。例如,其中一人寫(xiě)道,將會(huì)有一場(chǎng)持續(xù)的自動(dòng)化軍備競(jìng)賽。另一位用戶(hù)寫(xiě)道:“隨著攻擊者增加攻擊周期,受訪(fǎng)者必須行動(dòng)更快。”三分之一的人表示,“網(wǎng)絡(luò)威脅將以機(jī)器的速度進(jìn)行,而防御將以人的速度進(jìn)行?!? 作者補(bǔ)充說(shuō),“其他人表達(dá)了類(lèi)似的擔(dān)憂(yōu),認(rèn)為技能不會(huì)從舊到新。還有一些人更擔(dān)心生存,理由是‘我們辨別真實(shí)和虛構(gòu)的能力受到了戲劇性的侵蝕’?!? 安全領(lǐng)導(dǎo)者表示,為不斷變化的威脅和可能出現(xiàn)的任何新威脅做好準(zhǔn)備的最佳方式是遵循既定的最佳實(shí)踐,同時(shí)分層采用新技術(shù)和戰(zhàn)略,以加強(qiáng)防御,并在企業(yè)安全中創(chuàng)建主動(dòng)元素。 安全軟件公司NetSPI的CISO諾曼·克龍伯格表示:“這是在掌握基礎(chǔ)知識(shí),并在可能的情況下應(yīng)用新技術(shù)來(lái)推進(jìn)你的安全態(tài)勢(shì)并建立縱深防御,這樣你就可以達(dá)到下一個(gè)水平,這樣你就可以檢測(cè)到任何新奇的威脅?!薄斑@種方法可以讓你有足夠的能力來(lái)識(shí)別未知的威脅?!? |
上一篇:外媒:美國(guó)最大博彩娛樂(lè)集團(tuán)遭遇黑客勒索攻擊,已支付1500萬(wàn)美元贖金! 下一篇:2023年9月15日聚銘安全速遞 |