在無休止的網(wǎng)絡(luò)攻防大戰(zhàn)中,威脅一直在不斷演變。與此同時����,攻擊的數(shù)量和速度都在飆升,受害者所付出的代價也在增加����。據(jù)Cybersecurity Ventures發(fā)布的《2022年官方網(wǎng)絡(luò)犯罪報告》預(yù)計,網(wǎng)絡(luò)犯罪的成本將從2015年的3萬億美元飆升至2025年的10.5萬億美元���。
此外�,攻擊方法和策略也都發(fā)生了新的變化����。數(shù)據(jù)中毒、搜索引擎優(yōu)化(SEO)中毒以及AI驅(qū)動的攻擊成為當(dāng)今IT領(lǐng)導(dǎo)者面臨的新威脅�。
AI/生成式AI驅(qū)動的攻擊
安全專家表示,一些最引人注目的新威脅源于人工智能的迅速成熟和擴散��。無數(shù)事實證明,黑客采用人工智能的速度已經(jīng)與企業(yè)技術(shù)團隊不相上下����,有時甚至超越了企業(yè)技術(shù)團隊。
人工智能攻擊的潛力并不出人意料���。根據(jù)Forrester Research 2019年的一份報告顯示�,80%的網(wǎng)絡(luò)安全決策者預(yù)計人工智能會增加攻擊的規(guī)模和速度�����,66%的人預(yù)計人工智能會“進行人類無法想象的攻擊”���。
該報告還進一步指出��,“AI驅(qū)動的攻擊將是隱形且不可預(yù)測的�����,能夠輕松逃避依賴規(guī)則和簽名的傳統(tǒng)安全檢測法����。”
一些專家指出,這種情況正在發(fā)生��。2022年12月����,芬蘭交通和通信局與網(wǎng)絡(luò)安全公司W(wǎng)ithSecure聯(lián)合發(fā)布了一份報告,該報告的作者斷言:
“AI驅(qū)動的網(wǎng)絡(luò)攻擊已經(jīng)成為企業(yè)無法應(yīng)對的威脅��。而且���,隨著人工智能方法進一步發(fā)展����,以及人工智能專業(yè)知識的普及�,這種安全威脅只會越來越大�����。”
該報告還指出����,黑客正在使用人工智能來分析攻擊策略,從而提高攻擊成功的可能性����。此外�����,黑客也在利用人工智能來提高他們活動的速度��、規(guī)模和范圍��。
網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者指出了人工智能——更具體地說�,是生成式人工智能——帶來的其他新威脅����。首先是黑客利用人工智能開發(fā)惡意軟件;他們還利用它來創(chuàng)建更多的網(wǎng)絡(luò)釣魚和詐騙信息���,其內(nèi)容準(zhǔn)確地模仿了合法電子郵件的語言�、語氣和設(shè)計����,將網(wǎng)絡(luò)釣魚和詐騙提升到了前所未有的水平。
生成式AI不僅提高了黑客的攻擊速度和能力����,還進一步擴大了攻擊范圍。黑客現(xiàn)在可以使用生成式AI來創(chuàng)建幾乎任何語言的可信文本的網(wǎng)絡(luò)釣魚活動,包括那些迄今為止遭受攻擊較少的語言�����,因為這些語言很難學(xué)習(xí)或很少被非母語人士使用��。
安全專家預(yù)計:
“如果不出意外的話��,生成式AI在翻譯內(nèi)容方面做得很好�����,所以到目前為止�����,還沒有經(jīng)歷過很多網(wǎng)絡(luò)釣魚嘗試的國家可能很快就會看到更多此類嘗試��。”
與此同時����,其他由AI驅(qū)動的威脅也即將到來�。專家預(yù)計,黑客將利用深度偽造(deepfakes)來模仿個人(比如知名高管和公民領(lǐng)袖)�,通過可以公開獲取的聲音和圖像信息對AI模型進行訓(xùn)練。目前,這項技術(shù)正變得越來越好�����,使得辨別真?zhèn)巫兊迷絹碓嚼щy���。例如�,俄烏戰(zhàn)爭期間�,攻擊者利用烏克蘭總統(tǒng)弗拉基米爾·澤倫斯基(Volodymyr Zelensky)的深度偽造圖像來傳遞虛假信息。
此外���,芬蘭的報告也對AI攻擊的未來進行了可怕的評估:
“在不久的將來�����,快速發(fā)展的人工智能將通過自動化�、隱形�����、社會工程或信息收集來增強和創(chuàng)造更大范圍的攻擊技術(shù)�����。因此,我們預(yù)測��,在未來五年內(nèi)�����,人工智能攻擊將在技能較低的攻擊者中變得更加普遍��。隨著傳統(tǒng)的網(wǎng)絡(luò)攻擊變得過時�,人工智能技術(shù)、技能和工具將變得更加容易獲得和負(fù)擔(dān)得起����,從而激勵攻擊者利用人工智能驅(qū)動的網(wǎng)絡(luò)攻擊。”
劫持企業(yè)AI
與此相關(guān)的是��,一些安全專家表示�����,黑客可能會利用組織自己的聊天機器人來攻擊他們�����。
與更傳統(tǒng)的攻擊場景一樣�,攻擊者可能會試圖侵入聊天機器人系統(tǒng),竊取這些系統(tǒng)中的任何數(shù)據(jù)�,或者使用它們訪問對惡意行為者更具價值的其他系統(tǒng)。
當(dāng)然���,這種行為并不是特別新穎��。不過�,安全專家指出����,黑客有可能重新利用被入侵的聊天機器人,然后將它們作為傳播惡意軟件的渠道�,或者以邪惡的方式與他人(客戶、員工或其他系統(tǒng))進行互動�。
最近,網(wǎng)絡(luò)風(fēng)險研究團隊Voyager18和安全軟件公司Vulcan也發(fā)出了類似的警告����。這些研究人員在2023年6月發(fā)布了一份報告,詳細(xì)介紹了黑客如何使用包括ChatGTP在內(nèi)的生成式AI將惡意軟件包傳播到開發(fā)人員的環(huán)境中����。
然而,人工智能帶來的新威脅還不止于此�。隨著越來越多的員工(尤其是IT行業(yè)以外的員工)使用人工智能編寫代碼�����,企業(yè)可能會發(fā)現(xiàn)錯誤��、漏洞和惡意代碼流入其中����。所有的研究都表明�,用人工智能創(chuàng)建腳本是多么容易,但信任這些技術(shù)正在將一些意料之外的東西帶入組織����。
量子計算
美國于2022年12月通過了《量子計算網(wǎng)絡(luò)安全準(zhǔn)備法案》,將一項旨在保護聯(lián)邦政府系統(tǒng)和數(shù)據(jù)免受量子網(wǎng)絡(luò)攻擊的措施寫入法律�����。許多人預(yù)計�����,隨著量子計算的成熟�,量子網(wǎng)絡(luò)攻擊將會發(fā)生。
到了2023年6月���,歐洲政策中心(European Policy Centre)也敦促采取類似行動���,呼吁歐洲官員為“量子網(wǎng)絡(luò)攻擊”(也被稱為Q-Day)的到來做好準(zhǔn)備。
據(jù)專家稱�����,未來5到10年�,量子計算的工作可能會取得足夠的進展,達到能夠突破當(dāng)今現(xiàn)有加密算法的程度——這種能力可能會使所有受當(dāng)前加密協(xié)議保護的數(shù)字信息容易受到網(wǎng)絡(luò)攻擊����。
安全專家稱:
“我們知道量子計算將在三到十年內(nèi)沖擊我們,但沒有人真正知道它的全面影響將是什么�。更糟糕的是,惡意行為者可能會利用量子計算或量子計算與AI的結(jié)合力量來制造新的威脅�����。
數(shù)據(jù)和SEO中毒
馬里蘭大學(xué)網(wǎng)絡(luò)安全副教授指出���,另一個已經(jīng)出現(xiàn)的威脅是數(shù)據(jù)中毒(data poisoning)��。
通過數(shù)據(jù)中毒��,攻擊者能夠篡改或破壞用于訓(xùn)練機器學(xué)習(xí)和深度學(xué)習(xí)模型的數(shù)據(jù)�。他們可以使用各種各樣的技術(shù)來做到這一點。這種攻擊有時也被稱為“模型中毒”���,旨在影響人工智能決策和輸出的準(zhǔn)確性��。
安全專家指出�,內(nèi)部和外部惡意行為者都有能力投毒數(shù)據(jù)�����。更糟糕的是��,許多組織缺乏檢測這種復(fù)雜攻擊的技能����。盡管組織尚未看到或報告任何規(guī)模的此類攻擊,但研究人員已經(jīng)探索并證明黑客實際上可以進行此類攻擊�����。
其他專家則提到了另一種“中毒”威脅:搜索引擎優(yōu)化(SEO)中毒���,最常見的是操縱搜索引擎排名��,將用戶重定向到惡意網(wǎng)站����,這些網(wǎng)站會在用戶的設(shè)備上安裝惡意軟件。Info-Tech Research Group在其2023年6月的威脅概況簡報中描述了SEO中毒威脅�����,并稱其為“一種日益增長的威脅”��。
為未來做好準(zhǔn)備
大多數(shù)安全領(lǐng)導(dǎo)者預(yù)計威脅形勢將發(fā)生變化:根據(jù)搜索公司Heidrick & Struggles為其《2023年全球CISO調(diào)查》所做的一項民意調(diào)查顯示���,58%的安全領(lǐng)導(dǎo)者預(yù)計未來五年將出現(xiàn)一系列不同的網(wǎng)絡(luò)風(fēng)險。
46%的CISO將人工智能和機器學(xué)習(xí)列為最重大網(wǎng)絡(luò)風(fēng)險的首要主題�����。CISO還將地緣政治���、攻擊���、威脅、云、量子和供應(yīng)鏈列為其他主要網(wǎng)絡(luò)風(fēng)險主題���。
Heidrick & Struggles調(diào)查的作者指出����,受訪者還就這個話題提出了一些想法���。例如���,有人寫道,將會有“一場持續(xù)的自動化軍備競賽”����。另一位則寫道,“隨著攻擊者增加攻擊周期����,受訪者必須加快行動。”第三個人分享說��,“網(wǎng)絡(luò)威脅將以機器速度進行����,而防御將以人類速度進行��。”
安全領(lǐng)導(dǎo)者認(rèn)為�,為不斷發(fā)展的威脅和可能出現(xiàn)的任何新威脅做好準(zhǔn)備的最佳方法是遵循既定的最佳實踐��,同時在新技術(shù)和戰(zhàn)略中分層�����,以加強防御���,并在企業(yè)安全中創(chuàng)建主動元素��。
簡單來說,就是要在安全衛(wèi)生基礎(chǔ)實踐上運用新技術(shù)�����,盡可能地提高組織的安全態(tài)勢��,并建立一個“縱深防御”機制�����,從而將防御水平升級到新層次�,同時獲取足夠的能力來識別未知的東西。
沃卡惠
