本文來(lái)自微信公眾號(hào)“FreeBuf”,作者/晶顏123。
在無(wú)休止的網(wǎng)絡(luò)攻防大戰(zhàn)中,威脅一直在不斷演變。與此同時(shí),攻擊的數(shù)量和速度都在飆升,受害者所付出的代價(jià)也在增加。據(jù)Cybersecurity Ventures發(fā)布的《2022年官方網(wǎng)絡(luò)犯罪報(bào)告》預(yù)計(jì),網(wǎng)絡(luò)犯罪的成本將從2015年的3萬(wàn)億美元飆升至2025年的10.5萬(wàn)億美元。
此外,攻擊方法和策略也都發(fā)生了新的變化。數(shù)據(jù)中毒、搜索引擎優(yōu)化(SEO)中毒以及AI驅(qū)動(dòng)的攻擊成為當(dāng)今IT領(lǐng)導(dǎo)者面臨的新威脅。
AI/生成式AI驅(qū)動(dòng)的攻擊
安全專家表示,一些最引人注目的新威脅源于人工智能的迅速成熟和擴(kuò)散。無(wú)數(shù)事實(shí)證明,黑客采用人工智能的速度已經(jīng)與企業(yè)技術(shù)團(tuán)隊(duì)不相上下,有時(shí)甚至超越了企業(yè)技術(shù)團(tuán)隊(duì)。
人工智能攻擊的潛力并不出人意料。根據(jù)Forrester Research 2019年的一份報(bào)告顯示,80%的網(wǎng)絡(luò)安全決策者預(yù)計(jì)人工智能會(huì)增加攻擊的規(guī)模和速度,66%的人預(yù)計(jì)人工智能會(huì)“進(jìn)行人類無(wú)法想象的攻擊”。
該報(bào)告還進(jìn)一步指出,“AI驅(qū)動(dòng)的攻擊將是隱形且不可預(yù)測(cè)的,能夠輕松逃避依賴規(guī)則和簽名的傳統(tǒng)安全檢測(cè)法。”
一些專家指出,這種情況正在發(fā)生。2022年12月,芬蘭交通和通信局與網(wǎng)絡(luò)安全公司W(wǎng)ithSecure聯(lián)合發(fā)布了一份報(bào)告,該報(bào)告的作者斷言:
“AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊已經(jīng)成為企業(yè)無(wú)法應(yīng)對(duì)的威脅。而且,隨著人工智能方法進(jìn)一步發(fā)展,以及人工智能專業(yè)知識(shí)的普及,這種安全威脅只會(huì)越來(lái)越大。”
該報(bào)告還指出,黑客正在使用人工智能來(lái)分析攻擊策略,從而提高攻擊成功的可能性。此外,黑客也在利用人工智能來(lái)提高他們活動(dòng)的速度、規(guī)模和范圍。
網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者指出了人工智能——更具體地說(shuō),是生成式人工智能——帶來(lái)的其他新威脅。首先是黑客利用人工智能開(kāi)發(fā)惡意軟件;他們還利用它來(lái)創(chuàng)建更多的網(wǎng)絡(luò)釣魚(yú)和詐騙信息,其內(nèi)容準(zhǔn)確地模仿了合法電子郵件的語(yǔ)言、語(yǔ)氣和設(shè)計(jì),將網(wǎng)絡(luò)釣魚(yú)和詐騙提升到了前所未有的水平。
生成式AI不僅提高了黑客的攻擊速度和能力,還進(jìn)一步擴(kuò)大了攻擊范圍。黑客現(xiàn)在可以使用生成式AI來(lái)創(chuàng)建幾乎任何語(yǔ)言的可信文本的網(wǎng)絡(luò)釣魚(yú)活動(dòng),包括那些迄今為止遭受攻擊較少的語(yǔ)言,因?yàn)檫@些語(yǔ)言很難學(xué)習(xí)或很少被非母語(yǔ)人士使用。
安全專家預(yù)計(jì):
“如果不出意外的話,生成式AI在翻譯內(nèi)容方面做得很好,所以到目前為止,還沒(méi)有經(jīng)歷過(guò)很多網(wǎng)絡(luò)釣魚(yú)嘗試的國(guó)家可能很快就會(huì)看到更多此類嘗試。”
與此同時(shí),其他由AI驅(qū)動(dòng)的威脅也即將到來(lái)。專家預(yù)計(jì),黑客將利用深度偽造(deepfakes)來(lái)模仿個(gè)人(比如知名高管和公民領(lǐng)袖),通過(guò)可以公開(kāi)獲取的聲音和圖像信息對(duì)AI模型進(jìn)行訓(xùn)練。目前,這項(xiàng)技術(shù)正變得越來(lái)越好,使得辨別真?zhèn)巫兊迷絹?lái)越困難。例如,俄烏戰(zhàn)爭(zhēng)期間,攻擊者利用烏克蘭總統(tǒng)弗拉基米爾·澤倫斯基(Volodymyr Zelensky)的深度偽造圖像來(lái)傳遞虛假信息。
此外,芬蘭的報(bào)告也對(duì)AI攻擊的未來(lái)進(jìn)行了可怕的評(píng)估:
“在不久的將來(lái),快速發(fā)展的人工智能將通過(guò)自動(dòng)化、隱形、社會(huì)工程或信息收集來(lái)增強(qiáng)和創(chuàng)造更大范圍的攻擊技術(shù)。因此,我們預(yù)測(cè),在未來(lái)五年內(nèi),人工智能攻擊將在技能較低的攻擊者中變得更加普遍。隨著傳統(tǒng)的網(wǎng)絡(luò)攻擊變得過(guò)時(shí),人工智能技術(shù)、技能和工具將變得更加容易獲得和負(fù)擔(dān)得起,從而激勵(lì)攻擊者利用人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊。”
劫持企業(yè)AI
與此相關(guān)的是,一些安全專家表示,黑客可能會(huì)利用組織自己的聊天機(jī)器人來(lái)攻擊他們。
與更傳統(tǒng)的攻擊場(chǎng)景一樣,攻擊者可能會(huì)試圖侵入聊天機(jī)器人系統(tǒng),竊取這些系統(tǒng)中的任何數(shù)據(jù),或者使用它們?cè)L問(wèn)對(duì)惡意行為者更具價(jià)值的其他系統(tǒng)。
當(dāng)然,這種行為并不是特別新穎。不過(guò),安全專家指出,黑客有可能重新利用被入侵的聊天機(jī)器人,然后將它們作為傳播惡意軟件的渠道,或者以邪惡的方式與他人(客戶、員工或其他系統(tǒng))進(jìn)行互動(dòng)。
最近,網(wǎng)絡(luò)風(fēng)險(xiǎn)研究團(tuán)隊(duì)Voyager18和安全軟件公司Vulcan也發(fā)出了類似的警告。這些研究人員在2023年6月發(fā)布了一份報(bào)告,詳細(xì)介紹了黑客如何使用包括ChatGTP在內(nèi)的生成式AI將惡意軟件包傳播到開(kāi)發(fā)人員的環(huán)境中。
然而,人工智能帶來(lái)的新威脅還不止于此。隨著越來(lái)越多的員工(尤其是IT行業(yè)以外的員工)使用人工智能編寫(xiě)代碼,企業(yè)可能會(huì)發(fā)現(xiàn)錯(cuò)誤、漏洞和惡意代碼流入其中。所有的研究都表明,用人工智能創(chuàng)建腳本是多么容易,但信任這些技術(shù)正在將一些意料之外的東西帶入組織。
量子計(jì)算
美國(guó)于2022年12月通過(guò)了《量子計(jì)算網(wǎng)絡(luò)安全準(zhǔn)備法案》,將一項(xiàng)旨在保護(hù)聯(lián)邦政府系統(tǒng)和數(shù)據(jù)免受量子網(wǎng)絡(luò)攻擊的措施寫(xiě)入法律。許多人預(yù)計(jì),隨著量子計(jì)算的成熟,量子網(wǎng)絡(luò)攻擊將會(huì)發(fā)生。
到了2023年6月,歐洲政策中心(European Policy Centre)也敦促采取類似行動(dòng),呼吁歐洲官員為“量子網(wǎng)絡(luò)攻擊”(也被稱為Q-Day)的到來(lái)做好準(zhǔn)備。
據(jù)專家稱,未來(lái)5到10年,量子計(jì)算的工作可能會(huì)取得足夠的進(jìn)展,達(dá)到能夠突破當(dāng)今現(xiàn)有加密算法的程度——這種能力可能會(huì)使所有受當(dāng)前加密協(xié)議保護(hù)的數(shù)字信息容易受到網(wǎng)絡(luò)攻擊。
安全專家稱:
“我們知道量子計(jì)算將在三到十年內(nèi)沖擊我們,但沒(méi)有人真正知道它的全面影響將是什么。更糟糕的是,惡意行為者可能會(huì)利用量子計(jì)算或量子計(jì)算與AI的結(jié)合力量來(lái)制造新的威脅。
數(shù)據(jù)和SEO中毒
馬里蘭大學(xué)網(wǎng)絡(luò)安全副教授指出,另一個(gè)已經(jīng)出現(xiàn)的威脅是數(shù)據(jù)中毒(data poisoning)。
通過(guò)數(shù)據(jù)中毒,攻擊者能夠篡改或破壞用于訓(xùn)練機(jī)器學(xué)習(xí)和深度學(xué)習(xí)模型的數(shù)據(jù)。他們可以使用各種各樣的技術(shù)來(lái)做到這一點(diǎn)。這種攻擊有時(shí)也被稱為“模型中毒”,旨在影響人工智能決策和輸出的準(zhǔn)確性。
安全專家指出,內(nèi)部和外部惡意行為者都有能力投毒數(shù)據(jù)。更糟糕的是,許多組織缺乏檢測(cè)這種復(fù)雜攻擊的技能。盡管組織尚未看到或報(bào)告任何規(guī)模的此類攻擊,但研究人員已經(jīng)探索并證明黑客實(shí)際上可以進(jìn)行此類攻擊。
其他專家則提到了另一種“中毒”威脅:搜索引擎優(yōu)化(SEO)中毒,最常見(jiàn)的是操縱搜索引擎排名,將用戶重定向到惡意網(wǎng)站,這些網(wǎng)站會(huì)在用戶的設(shè)備上安裝惡意軟件。Info-Tech Research Group在其2023年6月的威脅概況簡(jiǎn)報(bào)中描述了SEO中毒威脅,并稱其為“一種日益增長(zhǎng)的威脅”。
為未來(lái)做好準(zhǔn)備
大多數(shù)安全領(lǐng)導(dǎo)者預(yù)計(jì)威脅形勢(shì)將發(fā)生變化:根據(jù)搜索公司Heidrick&Struggles為其《2023年全球CISO調(diào)查》所做的一項(xiàng)民意調(diào)查顯示,58%的安全領(lǐng)導(dǎo)者預(yù)計(jì)未來(lái)五年將出現(xiàn)一系列不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
46%的CISO將人工智能和機(jī)器學(xué)習(xí)列為最重大網(wǎng)絡(luò)風(fēng)險(xiǎn)的首要主題。CISO還將地緣政治、攻擊、威脅、云、量子和供應(yīng)鏈列為其他主要網(wǎng)絡(luò)風(fēng)險(xiǎn)主題。
Heidrick&Struggles調(diào)查的作者指出,受訪者還就這個(gè)話題提出了一些想法。例如,有人寫(xiě)道,將會(huì)有“一場(chǎng)持續(xù)的自動(dòng)化軍備競(jìng)賽”。另一位則寫(xiě)道,“隨著攻擊者增加攻擊周期,受訪者必須加快行動(dòng)。”第三個(gè)人分享說(shuō),“網(wǎng)絡(luò)威脅將以機(jī)器速度進(jìn)行,而防御將以人類速度進(jìn)行。”
安全領(lǐng)導(dǎo)者認(rèn)為,為不斷發(fā)展的威脅和可能出現(xiàn)的任何新威脅做好準(zhǔn)備的最佳方法是遵循既定的最佳實(shí)踐,同時(shí)在新技術(shù)和戰(zhàn)略中分層,以加強(qiáng)防御,并在企業(yè)安全中創(chuàng)建主動(dòng)元素。
簡(jiǎn)單來(lái)說(shuō),就是要在安全衛(wèi)生基礎(chǔ)實(shí)踐上運(yùn)用新技術(shù),盡可能地提高組織的安全態(tài)勢(shì),并建立一個(gè)“縱深防御”機(jī)制,從而將防御水平升級(jí)到新層次,同時(shí)獲取足夠的能力來(lái)識(shí)別未知的東西。