本文来自微信公众号“FreeBuf”,作者/晶颜123。
在无休止的网络攻防大战中,威胁一直在不断演变。与此同时,攻击的数量和速度都在飙升,受害者所付出的代价也在增加。据Cybersecurity Ventures发布的《2022年官方网络犯罪报告》预计,网络犯罪的成本将从2015年的3万亿美元飙升至2025年的10.5万亿美元。
此外,攻击方法和策略也都发生了新的变化。数据中毒、搜索引擎优化(SEO)中毒以及AI驱动的攻击成为当今IT领导者面临的新威胁。
AI/生成式AI驱动的攻击
安全专家表示,一些最引人注目的新威胁源于人工智能的迅速成熟和扩散。无数事实证明,黑客采用人工智能的速度已经与企业技术团队不相上下,有时甚至超越了企业技术团队。
人工智能攻击的潜力并不出人意料。根据Forrester Research 2019年的一份报告显示,80%的网络安全决策者预计人工智能会增加攻击的规模和速度,66%的人预计人工智能会“进行人类无法想象的攻击”。
该报告还进一步指出,“AI驱动的攻击将是隐形且不可预测的,能够轻松逃避依赖规则和签名的传统安全检测法。”
一些专家指出,这种情况正在发生。2022年12月,芬兰交通和通信局与网络安全公司WithSecure联合发布了一份报告,该报告的作者断言:
“AI驱动的网络攻击已经成为企业无法应对的威胁。而且,随着人工智能方法进一步发展,以及人工智能专业知识的普及,这种安全威胁只会越来越大。”
该报告还指出,黑客正在使用人工智能来分析攻击策略,从而提高攻击成功的可能性。此外,黑客也在利用人工智能来提高他们活动的速度、规模和范围。
网络安全领导者指出了人工智能——更具体地说,是生成式人工智能——带来的其他新威胁。首先是黑客利用人工智能开发恶意软件;他们还利用它来创建更多的网络钓鱼和诈骗信息,其内容准确地模仿了合法电子邮件的语言、语气和设计,将网络钓鱼和诈骗提升到了前所未有的水平。
生成式AI不仅提高了黑客的攻击速度和能力,还进一步扩大了攻击范围。黑客现在可以使用生成式AI来创建几乎任何语言的可信文本的网络钓鱼活动,包括那些迄今为止遭受攻击较少的语言,因为这些语言很难学习或很少被非母语人士使用。
安全专家预计:
“如果不出意外的话,生成式AI在翻译内容方面做得很好,所以到目前为止,还没有经历过很多网络钓鱼尝试的国家可能很快就会看到更多此类尝试。”
与此同时,其他由AI驱动的威胁也即将到来。专家预计,黑客将利用深度伪造(deepfakes)来模仿个人(比如知名高管和公民领袖),通过可以公开获取的声音和图像信息对AI模型进行训练。目前,这项技术正变得越来越好,使得辨别真伪变得越来越困难。例如,俄乌战争期间,攻击者利用乌克兰总统弗拉基米尔·泽伦斯基(Volodymyr Zelensky)的深度伪造图像来传递虚假信息。
此外,芬兰的报告也对AI攻击的未来进行了可怕的评估:
“在不久的将来,快速发展的人工智能将通过自动化、隐形、社会工程或信息收集来增强和创造更大范围的攻击技术。因此,我们预测,在未来五年内,人工智能攻击将在技能较低的攻击者中变得更加普遍。随着传统的网络攻击变得过时,人工智能技术、技能和工具将变得更加容易获得和负担得起,从而激励攻击者利用人工智能驱动的网络攻击。”
劫持企业AI
与此相关的是,一些安全专家表示,黑客可能会利用组织自己的聊天机器人来攻击他们。
与更传统的攻击场景一样,攻击者可能会试图侵入聊天机器人系统,窃取这些系统中的任何数据,或者使用它们访问对恶意行为者更具价值的其他系统。
当然,这种行为并不是特别新颖。不过,安全专家指出,黑客有可能重新利用被入侵的聊天机器人,然后将它们作为传播恶意软件的渠道,或者以邪恶的方式与他人(客户、员工或其他系统)进行互动。
最近,网络风险研究团队Voyager18和安全软件公司Vulcan也发出了类似的警告。这些研究人员在2023年6月发布了一份报告,详细介绍了黑客如何使用包括ChatGTP在内的生成式AI将恶意软件包传播到开发人员的环境中。
然而,人工智能带来的新威胁还不止于此。随着越来越多的员工(尤其是IT行业以外的员工)使用人工智能编写代码,企业可能会发现错误、漏洞和恶意代码流入其中。所有的研究都表明,用人工智能创建脚本是多么容易,但信任这些技术正在将一些意料之外的东西带入组织。
量子计算
美国于2022年12月通过了《量子计算网络安全准备法案》,将一项旨在保护联邦政府系统和数据免受量子网络攻击的措施写入法律。许多人预计,随着量子计算的成熟,量子网络攻击将会发生。
到了2023年6月,欧洲政策中心(European Policy Centre)也敦促采取类似行动,呼吁欧洲官员为“量子网络攻击”(也被称为Q-Day)的到来做好准备。
据专家称,未来5到10年,量子计算的工作可能会取得足够的进展,达到能够突破当今现有加密算法的程度——这种能力可能会使所有受当前加密协议保护的数字信息容易受到网络攻击。
安全专家称:
“我们知道量子计算将在三到十年内冲击我们,但没有人真正知道它的全面影响将是什么。更糟糕的是,恶意行为者可能会利用量子计算或量子计算与AI的结合力量来制造新的威胁。
数据和SEO中毒
马里兰大学网络安全副教授指出,另一个已经出现的威胁是数据中毒(data poisoning)。
通过数据中毒,攻击者能够篡改或破坏用于训练机器学习和深度学习模型的数据。他们可以使用各种各样的技术来做到这一点。这种攻击有时也被称为“模型中毒”,旨在影响人工智能决策和输出的准确性。
安全专家指出,内部和外部恶意行为者都有能力投毒数据。更糟糕的是,许多组织缺乏检测这种复杂攻击的技能。尽管组织尚未看到或报告任何规模的此类攻击,但研究人员已经探索并证明黑客实际上可以进行此类攻击。
其他专家则提到了另一种“中毒”威胁:搜索引擎优化(SEO)中毒,最常见的是操纵搜索引擎排名,将用户重定向到恶意网站,这些网站会在用户的设备上安装恶意软件。Info-Tech Research Group在其2023年6月的威胁概况简报中描述了SEO中毒威胁,并称其为“一种日益增长的威胁”。
为未来做好准备
大多数安全领导者预计威胁形势将发生变化:根据搜索公司Heidrick&Struggles为其《2023年全球CISO调查》所做的一项民意调查显示,58%的安全领导者预计未来五年将出现一系列不同的网络风险。
46%的CISO将人工智能和机器学习列为最重大网络风险的首要主题。CISO还将地缘政治、攻击、威胁、云、量子和供应链列为其他主要网络风险主题。
Heidrick&Struggles调查的作者指出,受访者还就这个话题提出了一些想法。例如,有人写道,将会有“一场持续的自动化军备竞赛”。另一位则写道,“随着攻击者增加攻击周期,受访者必须加快行动。”第三个人分享说,“网络威胁将以机器速度进行,而防御将以人类速度进行。”
安全领导者认为,为不断发展的威胁和可能出现的任何新威胁做好准备的最佳方法是遵循既定的最佳实践,同时在新技术和战略中分层,以加强防御,并在企业安全中创建主动元素。
简单来说,就是要在安全卫生基础实践上运用新技术,尽可能地提高组织的安全态势,并建立一个“纵深防御”机制,从而将防御水平升级到新层次,同时获取足够的能力来识别未知的东西。
