安全动态

2023年新出现的网络威胁,从AI到量子计算再到数据中毒

来源:聚铭网络    发布时间:2023-09-15    浏览次数:
 
网络钓鱼仍然是最常见的攻击,2023年康卡斯特商业网络安全威胁报告发现,90%的入侵客户网络的尝试都是从网络钓鱼开始的。

随着黑客和诈骗者获得新技术或想出利用旧漏洞的新方法,威胁不断演变。“这是一场猫捉老鼠的游戏,”安全公司EnTrust的CISO马克·鲁奇说。 

网络钓鱼仍然是最常见的攻击,2023年康卡斯特商业网络安全威胁报告发现,90%的入侵客户网络的尝试都是从网络钓鱼开始的。

 攻击的数量和速度都在增加,受害者付出的代价也在增加,网络安全风险投资公司发布的2022年官方网络犯罪报告估计,网络犯罪的成本将从2015年的3万亿美元跃升至2025年的10.5万亿美元。

 与此同时,安全领导人说,他们看到了标准攻击方法的新形式,比如 Midnight Blizzard发起的攻击(该公司也被命名为APT29、Cozy Bear和Nobelium)以及新的攻击策略。数据中毒、搜索引擎优化中毒和AI威胁参与者是CISO今天面临的新威胁。

 安全公司Panaseer的CISO兼该公司顾问委员会成员安德烈亚斯·武克纳表示:“当你同意成为一名CISO时,你就同意参加一场你永远不会完全获胜的比赛,而且你必须在屏幕上看到不断变化的东西。”

 AI和由AIGC支持的攻击

专家表示,一些最引人注目的新兴威胁源于AI的迅速成熟和扩散。安全官员目睹了黑客采用AI的速度,其速度超过了竞争对手——有时甚至超过了企业技术团队。

 AI支持的攻击的可能性并不出人意料。根据2019年Forrester Research的一份报告,80%的网络安全决策者预计AI将提高攻击的规模和速度,66%的人预计AI将进行人类无法想象的攻击。

 该报告进一步指出,“这些攻击将是隐蔽和不可预测的,使他们能够规避依赖规则和签名的传统安全方法,而只参考历史攻击。”

 一些专家说,这种情况现在正在发生。

 芬兰运输和通信局与总部位于赫尔辛基的网络安全公司WithSecure联合发布了一份2022年12月的报告,报告的作者断言:“AI支持的网络攻击已经是一个企业无法应对的威胁。随着我们见证AI方法的改进,以及AI专业知识变得更加广泛,这种安全威胁只会增加。”

 根据那份报告,黑客正在使用AI来分析攻击策略,从而提高他们成功的可能性,黑客也在使用AI来提高他们活动的速度、规模和范围。

 网络安全领导人指出,AI——更具体地说是AIGC——构成了其他新出现的威胁。首先是黑客利用AIGC开发恶意软件,他们还利用它来创建更多的网络钓鱼和淫秽信息,其内容准确地模仿合法电子邮件的语言、语气和设计。

 这就消除了通常有助于将它们识别为恶意消息的笨拙措辞或草率的图形。正如鲁奇所说:“今天的网络钓鱼邮件变得越来越精明,AIGC肯定会将其提升到前所未有的水平。”

电气和电子工程师协会的高级成员、超级防伪公司的CISO凯恩·麦克格拉德雷已经看到了证据。他曾与一家企业合作,该企业的高管收到了一份合同,供审查和签署。“几乎一切看起来都很正常,”麦克格拉德雷说,唯一值得注意的错误是公司名称上的一个小错误,首席法律顾问发现了这一点。

但McGladrey表示,新一代AI不仅提高了黑客的速度和复杂性,还扩大了他们的触角。黑客现在可以使用AIGC来创建具有几乎任何语言的可信文本的网络钓鱼活动,包括那些迄今为止攻击尝试较少的语言,因为这种语言很难学习,或者非母语者很少说这种语言。

麦克格拉德雷补充道:“如果没有其他原因,AIGC在翻译内容方面做得很好,所以到目前为止还没有经历过很多网络钓鱼攻击的国家可能很快就会看到更多。”

其他人警告说,其他支持AI的威胁也即将出现,他们表示,他们预计黑客将使用深度假冒来模仿个人——比如高调的高管和公民领袖(他们的声音和图像广泛公开,可以用来培训AI模型)。

 网络保险提供商Corvus的威胁情报经理瑞安·贝尔表示:“这绝对是我们正在密切关注的事情,但可能性已经相当明显。技术越来越好,更难辨别什么是真的。”他引用了乌克兰总统弗拉基米尔·泽伦斯基的深度虚假图像被用来传播虚假信息,作为该技术用于邪恶目的的证据。

 此外,芬兰的这份报告对未来的情况做出了可怕的评估:在不久的将来,快节奏的AI进步将通过自动化、隐形、社交工程或信息收集来增强和创造更广泛的攻击技术。因此,我们预测,未来五年,支持AI的攻击将在技能较低的攻击者中变得更加普遍。随着传统的网络攻击将变得过时,AI技术和工具将变得更容易获得和负担得起,从而激励攻击者使用支持AI的网络攻击。

劫持企业AI

另一方面,一些安全专家表示,黑客可以使用企业自己的聊天机器人来对付他们。

与更传统的攻击场景一样,攻击者可以尝试侵入聊天机器人系统,窃取这些系统中的任何数据,或者利用它们访问对坏人具有更大价值的其他系统。

当然,这并不是特别新奇。然而,安全公司OccamSec的安全工程师马特·兰德斯表示,黑客可能会改变受攻击的聊天机器人的用途,然后将它们用作传播恶意软件的渠道,或者可能以邪恶的方式与其他人——客户、员工或其他系统——互动。

网络风险研究团队Voyager18和安全软件公司Vulcan最近也发出了类似的警告。这些研究人员发布了一份2023年6月的咨询报告,详细介绍了黑客如何利用AIGC(包括ChatGTP)将恶意包传播到开发人员的环境中。

Wuchner表示,AI带来的新威胁并不仅限于此,他说,随着越来越多的员工——特别是IT以外的员工——使用新一代AI编写代码,以便他们能够快速部署使用,企业可能会发现错误、漏洞和恶意代码可能会进入企业。

Wuchner补充道:“所有的研究都表明,使用AI创建脚本是多么容易,但信任这些技术正在将人们从未想过的东西带入企业。”

量子计算 

美国于2022年12月通过了《量子计算网络安全准备法案》,将一项旨在保护联邦政府系统和数据免受量子网络攻击的措施写入法律。许多人预计,随着量子计算的成熟,量子网络攻击将会发生。 

几个月后,也就是2023年6月,欧洲政策中心敦促采取类似行动,呼吁欧洲官员为量子网络攻击的到来做好准备——这一预期中的事件被称为Q日。

根据专家的说法,未来五到十年,量子计算的工作可能会取得足够的进展,达到破解当今现有密码算法的能力——这一能力可能会使目前加密协议保护的所有数字信息都容易受到网络攻击。

“我们知道量子计算将在三到十年内冲击我们,但还没有人真正知道它的全部影响会是什么。”Ruchie说。更糟糕的是,他说,坏人可能会利用量子计算与AI相结合的方式来“制造新的威胁”。 

数据和搜索引擎优化中毒

马里兰大学全球校园网络安全与IT学院的大学副教授罗尼·塔库尔表示,另一个已经出现的威胁是数据中毒。

通过数据中毒,攻击者篡改或破坏用于训练机器学习和深度学习模型的数据。他们可以使用各种技术来做到这一点。有时也被称为模型中毒,这种攻击的目的是影响AI决策和输出的准确性。

正如塔库尔总结的那样:“你可以通过毒化数据来操纵算法。”

他指出,内部和外部的不良行为者都有可能导致数据中毒。此外,他说,许多企业缺乏检测这种复杂攻击的技能。尽管企业尚未看到或报告任何规模的此类攻击,但研究人员已经探索并证明,黑客实际上可能有能力进行此类攻击。

其他人则提到了另一个“中毒”威胁:SEO中毒,最常见的是操纵搜索引擎排名,将用户重定向到恶意网站,这些网站将在他们的设备上安装恶意软件。Info-Tech Research Group在其2023年6月的威胁概况简报中指出了SEO中毒威胁,称其是一个日益增长的威胁。

为下一步做准备

大多数CISO预计威胁格局将发生变化:根据搜索公司Heidrick&Struggles为其2023年全球CISO调查进行的一项民意调查,58%的安全领导者预计未来五年将出现一系列不同的网络风险。

CISO将AI和ML列为最重要的网络风险的首要因素,46%的人表示同意这一点。CISO还将地缘政治、攻击、威胁、云、量子和供应链列为其他首要网络风险因素。

Heidrick&Struggles调查的作者指出,受访者对这个话题提出了一些想法。例如,其中一人写道,将会有一场持续的自动化军备竞赛。另一位用户写道:“随着攻击者增加攻击周期,受访者必须行动更快。”三分之一的人表示,“网络威胁将以机器的速度进行,而防御将以人的速度进行。”

作者补充说,“其他人表达了类似的担忧,认为技能不会从旧到新。还有一些人更担心生存,理由是‘我们辨别真实和虚构的能力受到了戏剧性的侵蚀’。”

安全领导者表示,为不断变化的威胁和可能出现的任何新威胁做好准备的最佳方式是遵循既定的最佳实践,同时分层采用新技术和战略,以加强防御,并在企业安全中创建主动元素。

安全软件公司NetSPI的CISO诺曼·克龙伯格表示:“这是在掌握基础知识,并在可能的情况下应用新技术来推进你的安全态势并建立纵深防御,这样你就可以达到下一个水平,这样你就可以检测到任何新奇的威胁。”“这种方法可以让你有足够的能力来识别未知的威胁。”

 
 

上一篇:外媒:美国最大博彩娱乐集团遭遇黑客勒索攻击,已支付1500万美元赎金!

下一篇:2023年9月15日聚铭安全速递