信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安在”，作者/管窺蠡測(cè)。

互聯(lián)網(wǎng)時(shí)代，新科技的發(fā)展，旨在塑造更好的數(shù)字世界。各供應(yīng)商都在努力響應(yīng)企業(yè)和消費(fèi)者的需求，為使眾人的生活更加方便，工作更具成本效益。然而，讓人感到不安的是，新技術(shù)往往會(huì)被倉(cāng)促投入生產(chǎn)，很多技術(shù)往往缺乏對(duì)安全和隱私的考慮。因此，國(guó)外安全專家提出，使網(wǎng)絡(luò)變得更加方便、高效和快速的新功能，也可能會(huì)使威脅行為者更快找到濫用這些功能的方法，并使其成為巨大的風(fēng)險(xiǎn)。

01

創(chuàng)新所帶來(lái)的安全問(wèn)題

這種情況與基于惡意軟件的攻擊不一樣，后者會(huì)在媒體上直接被標(biāo)位負(fù)面新聞，而科技發(fā)展往往給人積極的印象。以下是過(guò)去五年左右，新科技發(fā)展所帶來(lái)的威脅問(wèn)題。

1、生成式人工智能（AI）：2022年11月，隨著OpenAI的ChatGPT公開(kāi)亮相，生成式人工智能成為2023年最熱門的話題。該術(shù)語(yǔ)廣泛描述了機(jī)器學(xué)習(xí)系統(tǒng)，其能夠響應(yīng)用戶輸入的提示生成文本、圖像、代碼或其他類型內(nèi)容。而現(xiàn)實(shí)是，生成式人工智能在設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中對(duì)安全或隱私的關(guān)注太少，其能立即被威脅行為者武器化。

威脅行為者能利用生成式人工智能制造虛假信息，能使deepfake的創(chuàng)建讓任何人使用。在暗網(wǎng)論壇上，惡意生成式人工智能已經(jīng)能生成惡意代碼，協(xié)助復(fù)雜的深度偽造創(chuàng)建，并大規(guī)模生產(chǎn)更聰明、更現(xiàn)實(shí)的商業(yè)電子郵件妥協(xié)（BEC）活動(dòng)。

2、Zoom的端到端加密：視頻會(huì)議平臺(tái)Zoom在2020年引入了端到端的加密，以增強(qiáng)用戶隱私。然而，安全研究人員發(fā)現(xiàn)，Zoom的這項(xiàng)實(shí)施存在重大漏洞，這可能會(huì)影響數(shù)百萬(wàn)依賴該平臺(tái)進(jìn)行安全通信的用戶。

3、WhatsApp的加密后門：WhatsApp在2017年實(shí)現(xiàn)了端到端加密，以保護(hù)用戶消息。但是，其有一個(gè)漏洞允許攻擊者利用后門進(jìn)行攻擊。

4、英特爾的主動(dòng)管理技術(shù)（AMT）漏洞：英特爾的AMT旨在促進(jìn)設(shè)備的遠(yuǎn)程管理，其無(wú)意中存在一個(gè)關(guān)鍵漏洞，可使攻擊者能夠獲得對(duì)系統(tǒng)的未經(jīng)授權(quán)訪問(wèn)。

5、Google+API Bug：2018年，Google+推出了允許用戶選擇共享信息的功能。然而，API中的一個(gè)缺陷暴露了不應(yīng)公開(kāi)的用戶數(shù)據(jù)，最終其影響了50萬(wàn)左右的用戶。

6、智能物聯(lián)網(wǎng)設(shè)備：智能攝像頭和語(yǔ)音助手等物聯(lián)網(wǎng)設(shè)備給社會(huì)群體帶來(lái)了便利，但這也帶來(lái)了一定的風(fēng)險(xiǎn)和漏洞。其薄弱的安全措施使黑客能夠遠(yuǎn)程訪問(wèn)設(shè)備。

7、臉書(shū)的好友權(quán)限：2018年，臉書(shū)允許用戶授予第三方應(yīng)用程序訪問(wèn)其好友數(shù)據(jù)的權(quán)限，無(wú)意中為劍橋分析公司提供了便利，最終成為了丑聞。

8、手機(jī)生物識(shí)別認(rèn)證：智能手機(jī)制造商推出了面部識(shí)別和指紋傳感器等生物識(shí)別認(rèn)證方法。然而，研究人員證明，使用照片或3D模型同樣可以正常通過(guò)。

9、Spectre和Meltdown CPU漏洞：這些漏洞通過(guò)設(shè)計(jì)OEM功能來(lái)提高多個(gè)供應(yīng)商的中央處理器（CPU）性能，從而允許各種程序（包括網(wǎng)絡(luò)應(yīng)用程序和瀏覽器）查看受保護(hù)內(nèi)存區(qū)域的內(nèi)容，這些內(nèi)存區(qū)域包含密碼、登錄名、加密密鑰、緩存文件和其他敏感數(shù)據(jù)。

10、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)：2016年，Mirai僵尸網(wǎng)絡(luò)啟用了大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊。這是最嚴(yán)重的黑客攻擊之一，因?yàn)榉缸锓肿涌陕?lián)網(wǎng)數(shù)百萬(wàn)的嬰兒監(jiān)視器、防盜報(bào)警器、攝像頭、恒溫器和打印機(jī)等物聯(lián)網(wǎng)設(shè)備，以發(fā)動(dòng)大量的攻擊，這能削弱個(gè)人連接互聯(lián)網(wǎng)和亞馬遜、網(wǎng)飛、推特等大公司網(wǎng)站的能力，每次長(zhǎng)達(dá)數(shù)小時(shí)。

國(guó)外安全專家表示，如果一個(gè)組織不采取積極措施保護(hù)自己，并對(duì)這些事件做出反應(yīng)，那么就可能會(huì)對(duì)其聲譽(yù)、發(fā)展造成災(zāi)難性影響。IDC的《全球安全支出指南》預(yù)測(cè)，2023年全球安全解決方案的支出將達(dá)到2190億美元，與2022年相比增長(zhǎng)了12.1%。這些數(shù)字不包括事件或違規(guī)響應(yīng)費(fèi)用，而這些費(fèi)用會(huì)成倍增加受影響組織的成本。

02

基本的安全衛(wèi)生是企業(yè)的最佳選擇

國(guó)外安全專家指出，雖然這些缺陷中只有一些科技已經(jīng)完全被武器化，可以竊取有價(jià)值的信息，也可以擾亂業(yè)務(wù)，但它們也都可以在多戰(zhàn)線攻擊中發(fā)揮作用，因此各組織必須采取行動(dòng)。幸運(yùn)的是，除了在安全解決方案上進(jìn)行巨額投資，組織還可以采取以下預(yù)防措施：

1、定期修補(bǔ)、更新系統(tǒng)和應(yīng)用程序。

2、定期且頻繁地測(cè)試備份。

3、強(qiáng)化系統(tǒng)監(jiān)控流程。

4、采取縱深防御方式。

5、全面審查業(yè)務(wù)部門跨職能事件響應(yīng)計(jì)劃。