隨著黑客和詐騙者獲得新技術(shù)或想出利用舊漏洞的新方法,威脅不斷演變。“這是一場貓捉老鼠的游戲,”安全公司EnTrust的CISO馬克·魯奇說。
網(wǎng)絡(luò)釣魚仍然是最常見的攻擊,2023年康卡斯特商業(yè)網(wǎng)絡(luò)安全威脅報告發(fā)現(xiàn),90%的入侵客戶網(wǎng)絡(luò)的嘗試都是從網(wǎng)絡(luò)釣魚開始的。
攻擊的數(shù)量和速度都在增加,受害者付出的代價也在增加,網(wǎng)絡(luò)安全風(fēng)險投資公司發(fā)布的2022年官方網(wǎng)絡(luò)犯罪報告估計,網(wǎng)絡(luò)犯罪的成本將從2015年的3萬億美元躍升至2025年的10.5萬億美元。
與此同時,安全領(lǐng)導(dǎo)人說,他們看到了標準攻擊方法的新形式,比如 Midnight Blizzard發(fā)起的攻擊(該公司也被命名為APT29、Cozy Bear和Nobelium)以及新的攻擊策略。數(shù)據(jù)中毒、搜索引擎優(yōu)化中毒和AI威脅參與者是CISO今天面臨的新威脅。
安全公司Panaseer的CISO兼該公司顧問委員會成員安德烈亞斯·武克納表示:“當(dāng)你同意成為一名CISO時,你就同意參加一場你永遠不會完全獲勝的比賽,而且你必須在屏幕上看到不斷變化的東西。”
AI和由AIGC支持的攻擊
專家表示,一些最引人注目的新興威脅源于AI的迅速成熟和擴散。安全官員目睹了黑客采用AI的速度,其速度超過了競爭對手——有時甚至超過了企業(yè)技術(shù)團隊。
AI支持的攻擊的可能性并不出人意料。根據(jù)2019年Forrester Research的一份報告,80%的網(wǎng)絡(luò)安全決策者預(yù)計AI將提高攻擊的規(guī)模和速度,66%的人預(yù)計AI將進行人類無法想象的攻擊。
該報告進一步指出,“這些攻擊將是隱蔽和不可預(yù)測的,使他們能夠規(guī)避依賴規(guī)則和簽名的傳統(tǒng)安全方法,而只參考歷史攻擊。”
一些專家說,這種情況現(xiàn)在正在發(fā)生。
芬蘭運輸和通信局與總部位于赫爾辛基的網(wǎng)絡(luò)安全公司W(wǎng)ithSecure聯(lián)合發(fā)布了一份2022年12月的報告,報告的作者斷言:“AI支持的網(wǎng)絡(luò)攻擊已經(jīng)是一個企業(yè)無法應(yīng)對的威脅。隨著我們見證AI方法的改進,以及AI專業(yè)知識變得更加廣泛,這種安全威脅只會增加。”
根據(jù)那份報告,黑客正在使用AI來分析攻擊策略,從而提高他們成功的可能性,黑客也在使用AI來提高他們活動的速度、規(guī)模和范圍。
網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人指出,AI——更具體地說是AIGC——構(gòu)成了其他新出現(xiàn)的威脅。首先是黑客利用AIGC開發(fā)惡意軟件,他們還利用它來創(chuàng)建更多的網(wǎng)絡(luò)釣魚和淫穢信息,其內(nèi)容準確地模仿合法電子郵件的語言、語氣和設(shè)計。
這就消除了通常有助于將它們識別為惡意消息的笨拙措辭或草率的圖形。正如魯奇所說:“今天的網(wǎng)絡(luò)釣魚郵件變得越來越精明,AIGC肯定會將其提升到前所未有的水平。”
電氣和電子工程師協(xié)會的高級成員、超級防偽公司的CISO凱恩·麥克格拉德雷已經(jīng)看到了證據(jù)。他曾與一家企業(yè)合作,該企業(yè)的高管收到了一份合同,供審查和簽署。“幾乎一切看起來都很正常,”麥克格拉德雷說,唯一值得注意的錯誤是公司名稱上的一個小錯誤,首席法律顧問發(fā)現(xiàn)了這一點。
但McGladrey表示,新一代AI不僅提高了黑客的速度和復(fù)雜性,還擴大了他們的觸角。黑客現(xiàn)在可以使用AIGC來創(chuàng)建具有幾乎任何語言的可信文本的網(wǎng)絡(luò)釣魚活動,包括那些迄今為止攻擊嘗試較少的語言,因為這種語言很難學(xué)習(xí),或者非母語者很少說這種語言。
麥克格拉德雷補充道:“如果沒有其他原因,AIGC在翻譯內(nèi)容方面做得很好,所以到目前為止還沒有經(jīng)歷過很多網(wǎng)絡(luò)釣魚攻擊的國家可能很快就會看到更多。”
其他人警告說,其他支持AI的威脅也即將出現(xiàn),他們表示,他們預(yù)計黑客將使用深度假冒來模仿個人——比如高調(diào)的高管和公民領(lǐng)袖(他們的聲音和圖像廣泛公開,可以用來培訓(xùn)AI模型)。
網(wǎng)絡(luò)保險提供商Corvus的威脅情報經(jīng)理瑞安·貝爾表示:“這絕對是我們正在密切關(guān)注的事情,但可能性已經(jīng)相當(dāng)明顯。技術(shù)越來越好,更難辨別什么是真的。”他引用了烏克蘭總統(tǒng)弗拉基米爾·澤倫斯基的深度虛假圖像被用來傳播虛假信息,作為該技術(shù)用于邪惡目的的證據(jù)。
此外,芬蘭的這份報告對未來的情況做出了可怕的評估:在不久的將來,快節(jié)奏的AI進步將通過自動化、隱形、社交工程或信息收集來增強和創(chuàng)造更廣泛的攻擊技術(shù)。因此,我們預(yù)測,未來五年,支持AI的攻擊將在技能較低的攻擊者中變得更加普遍。隨著傳統(tǒng)的網(wǎng)絡(luò)攻擊將變得過時,AI技術(shù)和工具將變得更容易獲得和負擔(dān)得起,從而激勵攻擊者使用支持AI的網(wǎng)絡(luò)攻擊。
劫持企業(yè)AI
另一方面,一些安全專家表示,黑客可以使用企業(yè)自己的聊天機器人來對付他們。
與更傳統(tǒng)的攻擊場景一樣,攻擊者可以嘗試侵入聊天機器人系統(tǒng),竊取這些系統(tǒng)中的任何數(shù)據(jù),或者利用它們訪問對壞人具有更大價值的其他系統(tǒng)。
當(dāng)然,這并不是特別新奇。然而,安全公司OccamSec的安全工程師馬特·蘭德斯表示,黑客可能會改變受攻擊的聊天機器人的用途,然后將它們用作傳播惡意軟件的渠道,或者可能以邪惡的方式與其他人——客戶、員工或其他系統(tǒng)——互動。
網(wǎng)絡(luò)風(fēng)險研究團隊Voyager18和安全軟件公司Vulcan最近也發(fā)出了類似的警告。這些研究人員發(fā)布了一份2023年6月的咨詢報告,詳細介紹了黑客如何利用AIGC(包括ChatGTP)將惡意包傳播到開發(fā)人員的環(huán)境中。
Wuchner表示,AI帶來的新威脅并不僅限于此,他說,隨著越來越多的員工——特別是IT以外的員工——使用新一代AI編寫代碼,以便他們能夠快速部署使用,企業(yè)可能會發(fā)現(xiàn)錯誤、漏洞和惡意代碼可能會進入企業(yè)。
Wuchner補充道:“所有的研究都表明,使用AI創(chuàng)建腳本是多么容易,但信任這些技術(shù)正在將人們從未想過的東西帶入企業(yè)。”
量子計算
美國于2022年12月通過了《量子計算網(wǎng)絡(luò)安全準備法案》,將一項旨在保護聯(lián)邦政府系統(tǒng)和數(shù)據(jù)免受量子網(wǎng)絡(luò)攻擊的措施寫入法律。許多人預(yù)計,隨著量子計算的成熟,量子網(wǎng)絡(luò)攻擊將會發(fā)生。
幾個月后,也就是2023年6月,歐洲政策中心敦促采取類似行動,呼吁歐洲官員為量子網(wǎng)絡(luò)攻擊的到來做好準備——這一預(yù)期中的事件被稱為Q日。
根據(jù)專家的說法,未來五到十年,量子計算的工作可能會取得足夠的進展,達到破解當(dāng)今現(xiàn)有密碼算法的能力——這一能力可能會使目前加密協(xié)議保護的所有數(shù)字信息都容易受到網(wǎng)絡(luò)攻擊。
“我們知道量子計算將在三到十年內(nèi)沖擊我們,但還沒有人真正知道它的全部影響會是什么。”Ruchie說。更糟糕的是,他說,壞人可能會利用量子計算與AI相結(jié)合的方式來“制造新的威脅”。
數(shù)據(jù)和搜索引擎優(yōu)化中毒
馬里蘭大學(xué)全球校園網(wǎng)絡(luò)安全與IT學(xué)院的大學(xué)副教授羅尼·塔庫爾表示,另一個已經(jīng)出現(xiàn)的威脅是數(shù)據(jù)中毒。
通過數(shù)據(jù)中毒,攻擊者篡改或破壞用于訓(xùn)練機器學(xué)習(xí)和深度學(xué)習(xí)模型的數(shù)據(jù)。他們可以使用各種技術(shù)來做到這一點。有時也被稱為模型中毒,這種攻擊的目的是影響AI決策和輸出的準確性。
正如塔庫爾總結(jié)的那樣:“你可以通過毒化數(shù)據(jù)來操縱算法。”
他指出,內(nèi)部和外部的不良行為者都有可能導(dǎo)致數(shù)據(jù)中毒。此外,他說,許多企業(yè)缺乏檢測這種復(fù)雜攻擊的技能。盡管企業(yè)尚未看到或報告任何規(guī)模的此類攻擊,但研究人員已經(jīng)探索并證明,黑客實際上可能有能力進行此類攻擊。
其他人則提到了另一個“中毒”威脅:SEO中毒,最常見的是操縱搜索引擎排名,將用戶重定向到惡意網(wǎng)站,這些網(wǎng)站將在他們的設(shè)備上安裝惡意軟件。Info-Tech Research Group在其2023年6月的威脅概況簡報中指出了SEO中毒威脅,稱其是一個日益增長的威脅。
為下一步做準備
大多數(shù)CISO預(yù)計威脅格局將發(fā)生變化:根據(jù)搜索公司Heidrick&Struggles為其2023年全球CISO調(diào)查進行的一項民意調(diào)查,58%的安全領(lǐng)導(dǎo)者預(yù)計未來五年將出現(xiàn)一系列不同的網(wǎng)絡(luò)風(fēng)險。
CISO將AI和ML列為最重要的網(wǎng)絡(luò)風(fēng)險的首要因素,46%的人表示同意這一點。CISO還將地緣政治、攻擊、威脅、云、量子和供應(yīng)鏈列為其他首要網(wǎng)絡(luò)風(fēng)險因素。
Heidrick&Struggles調(diào)查的作者指出,受訪者對這個話題提出了一些想法。例如,其中一人寫道,將會有一場持續(xù)的自動化軍備競賽。另一位用戶寫道:“隨著攻擊者增加攻擊周期,受訪者必須行動更快。”三分之一的人表示,“網(wǎng)絡(luò)威脅將以機器的速度進行,而防御將以人的速度進行。”
作者補充說,“其他人表達了類似的擔(dān)憂,認為技能不會從舊到新。還有一些人更擔(dān)心生存,理由是‘我們辨別真實和虛構(gòu)的能力受到了戲劇性的侵蝕’。”
安全領(lǐng)導(dǎo)者表示,為不斷變化的威脅和可能出現(xiàn)的任何新威脅做好準備的最佳方式是遵循既定的最佳實踐,同時分層采用新技術(shù)和戰(zhàn)略,以加強防御,并在企業(yè)安全中創(chuàng)建主動元素。
安全軟件公司NetSPI的CISO諾曼·克龍伯格表示:“這是在掌握基礎(chǔ)知識,并在可能的情況下應(yīng)用新技術(shù)來推進你的安全態(tài)勢并建立縱深防御,這樣你就可以達到下一個水平,這樣你就可以檢測到任何新奇的威脅。”“這種方法可以讓你有足夠的能力來識別未知的威脅。”