隨著黑客和詐騙者獲得新技術(shù)或想出利用舊漏洞的新方法,威脅不斷演變。“這是一場(chǎng)貓捉老鼠的游戲,”安全公司EnTrust的CISO馬克·魯奇說。
網(wǎng)絡(luò)釣魚仍然是最常見的攻擊,2023年康卡斯特商業(yè)網(wǎng)絡(luò)安全威脅報(bào)告發(fā)現(xiàn),90%的入侵客戶網(wǎng)絡(luò)的嘗試都是從網(wǎng)絡(luò)釣魚開始的。
攻擊的數(shù)量和速度都在增加,受害者付出的代價(jià)也在增加,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司發(fā)布的2022年官方網(wǎng)絡(luò)犯罪報(bào)告估計(jì),網(wǎng)絡(luò)犯罪的成本將從2015年的3萬億美元躍升至2025年的10.5萬億美元。
與此同時(shí),安全領(lǐng)導(dǎo)人說,他們看到了標(biāo)準(zhǔn)攻擊方法的新形式,比如 Midnight Blizzard發(fā)起的攻擊(該公司也被命名為APT29、Cozy Bear和Nobelium)以及新的攻擊策略。數(shù)據(jù)中毒、搜索引擎優(yōu)化中毒和AI威脅參與者是CISO今天面臨的新威脅。
安全公司Panaseer的CISO兼該公司顧問委員會(huì)成員安德烈亞斯·武克納表示:“當(dāng)你同意成為一名CISO時(shí),你就同意參加一場(chǎng)你永遠(yuǎn)不會(huì)完全獲勝的比賽,而且你必須在屏幕上看到不斷變化的東西。”
AI和由AIGC支持的攻擊
專家表示,一些最引人注目的新興威脅源于AI的迅速成熟和擴(kuò)散。安全官員目睹了黑客采用AI的速度,其速度超過了競(jìng)爭(zhēng)對(duì)手——有時(shí)甚至超過了企業(yè)技術(shù)團(tuán)隊(duì)。
AI支持的攻擊的可能性并不出人意料。根據(jù)2019年Forrester Research的一份報(bào)告,80%的網(wǎng)絡(luò)安全決策者預(yù)計(jì)AI將提高攻擊的規(guī)模和速度,66%的人預(yù)計(jì)AI將進(jìn)行人類無法想象的攻擊。
該報(bào)告進(jìn)一步指出,“這些攻擊將是隱蔽和不可預(yù)測(cè)的,使他們能夠規(guī)避依賴規(guī)則和簽名的傳統(tǒng)安全方法,而只參考?xì)v史攻擊。”
一些專家說,這種情況現(xiàn)在正在發(fā)生。
芬蘭運(yùn)輸和通信局與總部位于赫爾辛基的網(wǎng)絡(luò)安全公司W(wǎng)ithSecure聯(lián)合發(fā)布了一份2022年12月的報(bào)告,報(bào)告的作者斷言:“AI支持的網(wǎng)絡(luò)攻擊已經(jīng)是一個(gè)企業(yè)無法應(yīng)對(duì)的威脅。隨著我們見證AI方法的改進(jìn),以及AI專業(yè)知識(shí)變得更加廣泛,這種安全威脅只會(huì)增加。”
根據(jù)那份報(bào)告,黑客正在使用AI來分析攻擊策略,從而提高他們成功的可能性,黑客也在使用AI來提高他們活動(dòng)的速度、規(guī)模和范圍。
網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人指出,AI——更具體地說是AIGC——構(gòu)成了其他新出現(xiàn)的威脅。首先是黑客利用AIGC開發(fā)惡意軟件,他們還利用它來創(chuàng)建更多的網(wǎng)絡(luò)釣魚和淫穢信息,其內(nèi)容準(zhǔn)確地模仿合法電子郵件的語言、語氣和設(shè)計(jì)。
這就消除了通常有助于將它們識(shí)別為惡意消息的笨拙措辭或草率的圖形。正如魯奇所說:“今天的網(wǎng)絡(luò)釣魚郵件變得越來越精明,AIGC肯定會(huì)將其提升到前所未有的水平。”
電氣和電子工程師協(xié)會(huì)的高級(jí)成員、超級(jí)防偽公司的CISO凱恩·麥克格拉德雷已經(jīng)看到了證據(jù)。他曾與一家企業(yè)合作,該企業(yè)的高管收到了一份合同,供審查和簽署。“幾乎一切看起來都很正常,”麥克格拉德雷說,唯一值得注意的錯(cuò)誤是公司名稱上的一個(gè)小錯(cuò)誤,首席法律顧問發(fā)現(xiàn)了這一點(diǎn)。
但McGladrey表示,新一代AI不僅提高了黑客的速度和復(fù)雜性,還擴(kuò)大了他們的觸角。黑客現(xiàn)在可以使用AIGC來創(chuàng)建具有幾乎任何語言的可信文本的網(wǎng)絡(luò)釣魚活動(dòng),包括那些迄今為止攻擊嘗試較少的語言,因?yàn)檫@種語言很難學(xué)習(xí),或者非母語者很少說這種語言。
麥克格拉德雷補(bǔ)充道:“如果沒有其他原因,AIGC在翻譯內(nèi)容方面做得很好,所以到目前為止還沒有經(jīng)歷過很多網(wǎng)絡(luò)釣魚攻擊的國家可能很快就會(huì)看到更多。”
其他人警告說,其他支持AI的威脅也即將出現(xiàn),他們表示,他們預(yù)計(jì)黑客將使用深度假冒來模仿個(gè)人——比如高調(diào)的高管和公民領(lǐng)袖(他們的聲音和圖像廣泛公開,可以用來培訓(xùn)AI模型)。
網(wǎng)絡(luò)保險(xiǎn)提供商Corvus的威脅情報(bào)經(jīng)理瑞安·貝爾表示:“這絕對(duì)是我們正在密切關(guān)注的事情,但可能性已經(jīng)相當(dāng)明顯。技術(shù)越來越好,更難辨別什么是真的。”他引用了烏克蘭總統(tǒng)弗拉基米爾·澤倫斯基的深度虛假圖像被用來傳播虛假信息,作為該技術(shù)用于邪惡目的的證據(jù)。
此外,芬蘭的這份報(bào)告對(duì)未來的情況做出了可怕的評(píng)估:在不久的將來,快節(jié)奏的AI進(jìn)步將通過自動(dòng)化、隱形、社交工程或信息收集來增強(qiáng)和創(chuàng)造更廣泛的攻擊技術(shù)。因此,我們預(yù)測(cè),未來五年,支持AI的攻擊將在技能較低的攻擊者中變得更加普遍。隨著傳統(tǒng)的網(wǎng)絡(luò)攻擊將變得過時(shí),AI技術(shù)和工具將變得更容易獲得和負(fù)擔(dān)得起,從而激勵(lì)攻擊者使用支持AI的網(wǎng)絡(luò)攻擊。
劫持企業(yè)AI
另一方面,一些安全專家表示,黑客可以使用企業(yè)自己的聊天機(jī)器人來對(duì)付他們。
與更傳統(tǒng)的攻擊場(chǎng)景一樣,攻擊者可以嘗試侵入聊天機(jī)器人系統(tǒng),竊取這些系統(tǒng)中的任何數(shù)據(jù),或者利用它們?cè)L問對(duì)壞人具有更大價(jià)值的其他系統(tǒng)。
當(dāng)然,這并不是特別新奇。然而,安全公司OccamSec的安全工程師馬特·蘭德斯表示,黑客可能會(huì)改變受攻擊的聊天機(jī)器人的用途,然后將它們用作傳播惡意軟件的渠道,或者可能以邪惡的方式與其他人——客戶、員工或其他系統(tǒng)——互動(dòng)。
網(wǎng)絡(luò)風(fēng)險(xiǎn)研究團(tuán)隊(duì)Voyager18和安全軟件公司Vulcan最近也發(fā)出了類似的警告。這些研究人員發(fā)布了一份2023年6月的咨詢報(bào)告,詳細(xì)介紹了黑客如何利用AIGC(包括ChatGTP)將惡意包傳播到開發(fā)人員的環(huán)境中。
Wuchner表示,AI帶來的新威脅并不僅限于此,他說,隨著越來越多的員工——特別是IT以外的員工——使用新一代AI編寫代碼,以便他們能夠快速部署使用,企業(yè)可能會(huì)發(fā)現(xiàn)錯(cuò)誤、漏洞和惡意代碼可能會(huì)進(jìn)入企業(yè)。
Wuchner補(bǔ)充道:“所有的研究都表明,使用AI創(chuàng)建腳本是多么容易,但信任這些技術(shù)正在將人們從未想過的東西帶入企業(yè)。”
量子計(jì)算
美國于2022年12月通過了《量子計(jì)算網(wǎng)絡(luò)安全準(zhǔn)備法案》,將一項(xiàng)旨在保護(hù)聯(lián)邦政府系統(tǒng)和數(shù)據(jù)免受量子網(wǎng)絡(luò)攻擊的措施寫入法律。許多人預(yù)計(jì),隨著量子計(jì)算的成熟,量子網(wǎng)絡(luò)攻擊將會(huì)發(fā)生。
幾個(gè)月后,也就是2023年6月,歐洲政策中心敦促采取類似行動(dòng),呼吁歐洲官員為量子網(wǎng)絡(luò)攻擊的到來做好準(zhǔn)備——這一預(yù)期中的事件被稱為Q日。
根據(jù)專家的說法,未來五到十年,量子計(jì)算的工作可能會(huì)取得足夠的進(jìn)展,達(dá)到破解當(dāng)今現(xiàn)有密碼算法的能力——這一能力可能會(huì)使目前加密協(xié)議保護(hù)的所有數(shù)字信息都容易受到網(wǎng)絡(luò)攻擊。
“我們知道量子計(jì)算將在三到十年內(nèi)沖擊我們,但還沒有人真正知道它的全部影響會(huì)是什么。”Ruchie說。更糟糕的是,他說,壞人可能會(huì)利用量子計(jì)算與AI相結(jié)合的方式來“制造新的威脅”。
數(shù)據(jù)和搜索引擎優(yōu)化中毒
馬里蘭大學(xué)全球校園網(wǎng)絡(luò)安全與IT學(xué)院的大學(xué)副教授羅尼·塔庫爾表示,另一個(gè)已經(jīng)出現(xiàn)的威脅是數(shù)據(jù)中毒。
通過數(shù)據(jù)中毒,攻擊者篡改或破壞用于訓(xùn)練機(jī)器學(xué)習(xí)和深度學(xué)習(xí)模型的數(shù)據(jù)。他們可以使用各種技術(shù)來做到這一點(diǎn)。有時(shí)也被稱為模型中毒,這種攻擊的目的是影響AI決策和輸出的準(zhǔn)確性。
正如塔庫爾總結(jié)的那樣:“你可以通過毒化數(shù)據(jù)來操縱算法。”
他指出,內(nèi)部和外部的不良行為者都有可能導(dǎo)致數(shù)據(jù)中毒。此外,他說,許多企業(yè)缺乏檢測(cè)這種復(fù)雜攻擊的技能。盡管企業(yè)尚未看到或報(bào)告任何規(guī)模的此類攻擊,但研究人員已經(jīng)探索并證明,黑客實(shí)際上可能有能力進(jìn)行此類攻擊。
其他人則提到了另一個(gè)“中毒”威脅:SEO中毒,最常見的是操縱搜索引擎排名,將用戶重定向到惡意網(wǎng)站,這些網(wǎng)站將在他們的設(shè)備上安裝惡意軟件。Info-Tech Research Group在其2023年6月的威脅概況簡(jiǎn)報(bào)中指出了SEO中毒威脅,稱其是一個(gè)日益增長(zhǎng)的威脅。
為下一步做準(zhǔn)備
大多數(shù)CISO預(yù)計(jì)威脅格局將發(fā)生變化:根據(jù)搜索公司Heidrick&Struggles為其2023年全球CISO調(diào)查進(jìn)行的一項(xiàng)民意調(diào)查,58%的安全領(lǐng)導(dǎo)者預(yù)計(jì)未來五年將出現(xiàn)一系列不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
CISO將AI和ML列為最重要的網(wǎng)絡(luò)風(fēng)險(xiǎn)的首要因素,46%的人表示同意這一點(diǎn)。CISO還將地緣政治、攻擊、威脅、云、量子和供應(yīng)鏈列為其他首要網(wǎng)絡(luò)風(fēng)險(xiǎn)因素。
Heidrick&Struggles調(diào)查的作者指出,受訪者對(duì)這個(gè)話題提出了一些想法。例如,其中一人寫道,將會(huì)有一場(chǎng)持續(xù)的自動(dòng)化軍備競(jìng)賽。另一位用戶寫道:“隨著攻擊者增加攻擊周期,受訪者必須行動(dòng)更快。”三分之一的人表示,“網(wǎng)絡(luò)威脅將以機(jī)器的速度進(jìn)行,而防御將以人的速度進(jìn)行。”
作者補(bǔ)充說,“其他人表達(dá)了類似的擔(dān)憂,認(rèn)為技能不會(huì)從舊到新。還有一些人更擔(dān)心生存,理由是‘我們辨別真實(shí)和虛構(gòu)的能力受到了戲劇性的侵蝕’。”
安全領(lǐng)導(dǎo)者表示,為不斷變化的威脅和可能出現(xiàn)的任何新威脅做好準(zhǔn)備的最佳方式是遵循既定的最佳實(shí)踐,同時(shí)分層采用新技術(shù)和戰(zhàn)略,以加強(qiáng)防御,并在企業(yè)安全中創(chuàng)建主動(dòng)元素。
安全軟件公司NetSPI的CISO諾曼·克龍伯格表示:“這是在掌握基礎(chǔ)知識(shí),并在可能的情況下應(yīng)用新技術(shù)來推進(jìn)你的安全態(tài)勢(shì)并建立縱深防御,這樣你就可以達(dá)到下一個(gè)水平,這樣你就可以檢測(cè)到任何新奇的威脅。”“這種方法可以讓你有足夠的能力來識(shí)別未知的威脅。”