在無休止的網絡攻防大戰中,威脅一直在不斷演變。與此同時,攻擊的數量和速度都在飆升�����,受害者所付出的代價也在增加。據Cybersecurity Ventures發布的《2022年官方網絡犯罪報告》預計�����,網絡犯罪的成本將從2015年的3萬億美元飆升至2025年的10.5萬億美元��。
此外��,攻擊方法和策略也都發生了新的變化。數據中毒��、搜索引擎優化(SEO)中毒以及AI驅動的攻擊成為當今IT領導者面臨的新威脅���。
AI/生成式AI驅動的攻擊
安全專家表示����,一些最引人注目的新威脅源于人工智能的迅速成熟和擴散。無數事實證明�����,黑客采用人工智能的速度已經與企業技術團隊不相上下�,有時甚至超越了企業技術團隊����。
人工智能攻擊的潛力并不出人意料。根據Forrester Research 2019年的一份報告顯示,80%的網絡安全決策者預計人工智能會增加攻擊的規模和速度,66%的人預計人工智能會“進行人類無法想象的攻擊”�。
該報告還進一步指出��,“AI驅動的攻擊將是隱形且不可預測的,能夠輕松逃避依賴規則和簽名的傳統安全檢測法。”
一些專家指出��,這種情況正在發生��。2022年12月��,芬蘭交通和通信局與網絡安全公司WithSecure聯合發布了一份報告,該報告的作者斷言:
“AI驅動的網絡攻擊已經成為企業無法應對的威脅。而且���,隨著人工智能方法進一步發展,以及人工智能專業知識的普及,這種安全威脅只會越來越大。”
該報告還指出,黑客正在使用人工智能來分析攻擊策略�����,從而提高攻擊成功的可能性�。此外,黑客也在利用人工智能來提高他們活動的速度、規模和范圍����。
網絡安全領導者指出了人工智能——更具體地說�����,是生成式人工智能——帶來的其他新威脅。首先是黑客利用人工智能開發惡意軟件;他們還利用它來創建更多的網絡釣魚和詐騙信息,其內容準確地模仿了合法電子郵件的語言�����、語氣和設計��,將網絡釣魚和詐騙提升到了前所未有的水平��。
生成式AI不僅提高了黑客的攻擊速度和能力,還進一步擴大了攻擊范圍。黑客現在可以使用生成式AI來創建幾乎任何語言的可信文本的網絡釣魚活動���,包括那些迄今為止遭受攻擊較少的語言,因為這些語言很難學習或很少被非母語人士使用。
安全專家預計:
“如果不出意外的話,生成式AI在翻譯內容方面做得很好�,所以到目前為止�,還沒有經歷過很多網絡釣魚嘗試的國家可能很快就會看到更多此類嘗試����。”
與此同時,其他由AI驅動的威脅也即將到來。專家預計�,黑客將利用深度偽造(deepfakes)來模仿個人(比如知名高管和公民領袖)����,通過可以公開獲取的聲音和圖像信息對AI模型進行訓練���。目前�����,這項技術正變得越來越好���,使得辨別真偽變得越來越困難����。例如���,俄烏戰爭期間�����,攻擊者利用烏克蘭總統弗拉基米爾·澤倫斯基(Volodymyr Zelensky)的深度偽造圖像來傳遞虛假信息。
此外��,芬蘭的報告也對AI攻擊的未來進行了可怕的評估:
“在不久的將來����,快速發展的人工智能將通過自動化、隱形��、社會工程或信息收集來增強和創造更大范圍的攻擊技術�。因此,我們預測����,在未來五年內��,人工智能攻擊將在技能較低的攻擊者中變得更加普遍。隨著傳統的網絡攻擊變得過時��,人工智能技術���、技能和工具將變得更加容易獲得和負擔得起�,從而激勵攻擊者利用人工智能驅動的網絡攻擊。”
劫持企業AI
與此相關的是�,一些安全專家表示�,黑客可能會利用組織自己的聊天機器人來攻擊他們����。
與更傳統的攻擊場景一樣,攻擊者可能會試圖侵入聊天機器人系統��,竊取這些系統中的任何數據���,或者使用它們訪問對惡意行為者更具價值的其他系統���。
當然����,這種行為并不是特別新穎�����。不過����,安全專家指出,黑客有可能重新利用被入侵的聊天機器人����,然后將它們作為傳播惡意軟件的渠道��,或者以邪惡的方式與他人(客戶、員工或其他系統)進行互動�。
最近��,網絡風險研究團隊Voyager18和安全軟件公司Vulcan也發出了類似的警告。這些研究人員在2023年6月發布了一份報告�����,詳細介紹了黑客如何使用包括ChatGTP在內的生成式AI將惡意軟件包傳播到開發人員的環境中����。
然而,人工智能帶來的新威脅還不止于此�����。隨著越來越多的員工(尤其是IT行業以外的員工)使用人工智能編寫代碼���,企業可能會發現錯誤��、漏洞和惡意代碼流入其中。所有的研究都表明,用人工智能創建腳本是多么容易,但信任這些技術正在將一些意料之外的東西帶入組織���。
量子計算
美國于2022年12月通過了《量子計算網絡安全準備法案》,將一項旨在保護聯邦政府系統和數據免受量子網絡攻擊的措施寫入法律。許多人預計���,隨著量子計算的成熟,量子網絡攻擊將會發生。
到了2023年6月,歐洲政策中心(European Policy Centre)也敦促采取類似行動��,呼吁歐洲官員為“量子網絡攻擊”(也被稱為Q-Day)的到來做好準備�。
據專家稱,未來5到10年,量子計算的工作可能會取得足夠的進展��,達到能夠突破當今現有加密算法的程度——這種能力可能會使所有受當前加密協議保護的數字信息容易受到網絡攻擊�����。
安全專家稱:
“我們知道量子計算將在三到十年內沖擊我們�,但沒有人真正知道它的全面影響將是什么�。更糟糕的是,惡意行為者可能會利用量子計算或量子計算與AI的結合力量來制造新的威脅��。
數據和SEO中毒
馬里蘭大學網絡安全副教授指出�����,另一個已經出現的威脅是數據中毒(data poisoning)��。
通過數據中毒,攻擊者能夠篡改或破壞用于訓練機器學習和深度學習模型的數據。他們可以使用各種各樣的技術來做到這一點�。這種攻擊有時也被稱為“模型中毒”���,旨在影響人工智能決策和輸出的準確性��。
安全專家指出,內部和外部惡意行為者都有能力投毒數據。更糟糕的是�����,許多組織缺乏檢測這種復雜攻擊的技能����。盡管組織尚未看到或報告任何規模的此類攻擊��,但研究人員已經探索并證明黑客實際上可以進行此類攻擊���。
其他專家則提到了另一種“中毒”威脅:搜索引擎優化(SEO)中毒���,最常見的是操縱搜索引擎排名��,將用戶重定向到惡意網站���,這些網站會在用戶的設備上安裝惡意軟件��。Info-Tech Research Group在其2023年6月的威脅概況簡報中描述了SEO中毒威脅,并稱其為“一種日益增長的威脅”。
為未來做好準備
大多數安全領導者預計威脅形勢將發生變化:根據搜索公司Heidrick & Struggles為其《2023年全球CISO調查》所做的一項民意調查顯示����,58%的安全領導者預計未來五年將出現一系列不同的網絡風險���。
46%的CISO將人工智能和機器學習列為最重大網絡風險的首要主題��。CISO還將地緣政治、攻擊、威脅��、云�、量子和供應鏈列為其他主要網絡風險主題。
Heidrick & Struggles調查的作者指出,受訪者還就這個話題提出了一些想法�。例如�����,有人寫道,將會有“一場持續的自動化軍備競賽”。另一位則寫道���,“隨著攻擊者增加攻擊周期�����,受訪者必須加快行動�。”第三個人分享說�,“網絡威脅將以機器速度進行,而防御將以人類速度進行�。”
安全領導者認為����,為不斷發展的威脅和可能出現的任何新威脅做好準備的最佳方法是遵循既定的最佳實踐��,同時在新技術和戰略中分層�����,以加強防御,并在企業安全中創建主動元素����。
簡單來說�����,就是要在安全衛生基礎實踐上運用新技術,盡可能地提高組織的安全態勢����,并建立一個“縱深防御”機制�����,從而將防御水平升級到新層次,同時獲取足夠的能力來識別未知的東西���。
沃卡惠
