隨著黑客和詐騙者獲得新技術(shù)或想出利用舊漏洞的新方法，威脅不斷演變?！斑@是一場貓捉老鼠的游戲，”安全公司EnTrust的CISO馬克·魯奇說。 

網(wǎng)絡(luò)釣魚仍然是最常見的攻擊，2023年康卡斯特商業(yè)網(wǎng)絡(luò)安全威脅報(bào)告發(fā)現(xiàn)，90%的入侵客戶網(wǎng)絡(luò)的嘗試都是從網(wǎng)絡(luò)釣魚開始的。

 攻擊的數(shù)量和速度都在增加，受害者付出的代價(jià)也在增加，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司發(fā)布的2022年官方網(wǎng)絡(luò)犯罪報(bào)告估計(jì)，網(wǎng)絡(luò)犯罪的成本將從2015年的3萬億美元躍升至2025年的10.5萬億美元。

 與此同時(shí)，安全領(lǐng)導(dǎo)人說，他們看到了標(biāo)準(zhǔn)攻擊方法的新形式，比如 Midnight Blizzard發(fā)起的攻擊(該公司也被命名為APT29、Cozy Bear和Nobelium)以及新的攻擊策略。數(shù)據(jù)中毒、搜索引擎優(yōu)化中毒和AI威脅參與者是CISO今天面臨的新威脅。

 安全公司Panaseer的CISO兼該公司顧問委員會(huì)成員安德烈亞斯·武克納表示：“當(dāng)你同意成為一名CISO時(shí)，你就同意參加一場你永遠(yuǎn)不會(huì)完全獲勝的比賽，而且你必須在屏幕上看到不斷變化的東西?！?

 AI和由AIGC支持的攻擊

專家表示，一些最引人注目的新興威脅源于AI的迅速成熟和擴(kuò)散。安全官員目睹了黑客采用AI的速度，其速度超過了競爭對(duì)手——有時(shí)甚至超過了企業(yè)技術(shù)團(tuán)隊(duì)。

 AI支持的攻擊的可能性并不出人意料。根據(jù)2019年Forrester Research的一份報(bào)告，80%的網(wǎng)絡(luò)安全決策者預(yù)計(jì)AI將提高攻擊的規(guī)模和速度，66%的人預(yù)計(jì)AI將進(jìn)行人類無法想象的攻擊。

 該報(bào)告進(jìn)一步指出，“這些攻擊將是隱蔽和不可預(yù)測的，使他們能夠規(guī)避依賴規(guī)則和簽名的傳統(tǒng)安全方法，而只參考?xì)v史攻擊。”

 一些專家說，這種情況現(xiàn)在正在發(fā)生。

 芬蘭運(yùn)輸和通信局與總部位于赫爾辛基的網(wǎng)絡(luò)安全公司W(wǎng)ithSecure聯(lián)合發(fā)布了一份2022年12月的報(bào)告，報(bào)告的作者斷言：“AI支持的網(wǎng)絡(luò)攻擊已經(jīng)是一個(gè)企業(yè)無法應(yīng)對(duì)的威脅。隨著我們見證AI方法的改進(jìn)，以及AI專業(yè)知識(shí)變得更加廣泛，這種安全威脅只會(huì)增加?！?

 根據(jù)那份報(bào)告，黑客正在使用AI來分析攻擊策略，從而提高他們成功的可能性，黑客也在使用AI來提高他們活動(dòng)的速度、規(guī)模和范圍。

 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人指出，AI——更具體地說是AIGC——構(gòu)成了其他新出現(xiàn)的威脅。首先是黑客利用AIGC開發(fā)惡意軟件，他們還利用它來創(chuàng)建更多的網(wǎng)絡(luò)釣魚和淫穢信息，其內(nèi)容準(zhǔn)確地模仿合法電子郵件的語言、語氣和設(shè)計(jì)。

 這就消除了通常有助于將它們識(shí)別為惡意消息的笨拙措辭或草率的圖形。正如魯奇所說：“今天的網(wǎng)絡(luò)釣魚郵件變得越來越精明，AIGC肯定會(huì)將其提升到前所未有的水平?！?

電氣和電子工程師協(xié)會(huì)的高級(jí)成員、超級(jí)防偽公司的CISO凱恩·麥克格拉德雷已經(jīng)看到了證據(jù)。他曾與一家企業(yè)合作，該企業(yè)的高管收到了一份合同，供審查和簽署?！皫缀跻磺锌雌饋矶己苷＃丙溈烁窭吕渍f，唯一值得注意的錯(cuò)誤是公司名稱上的一個(gè)小錯(cuò)誤，首席法律顧問發(fā)現(xiàn)了這一點(diǎn)。

但McGladrey表示，新一代AI不僅提高了黑客的速度和復(fù)雜性，還擴(kuò)大了他們的觸角。黑客現(xiàn)在可以使用AIGC來創(chuàng)建具有幾乎任何語言的可信文本的網(wǎng)絡(luò)釣魚活動(dòng)，包括那些迄今為止攻擊嘗試較少的語言，因?yàn)檫@種語言很難學(xué)習(xí)，或者非母語者很少說這種語言。

麥克格拉德雷補(bǔ)充道：“如果沒有其他原因，AIGC在翻譯內(nèi)容方面做得很好，所以到目前為止還沒有經(jīng)歷過很多網(wǎng)絡(luò)釣魚攻擊的國家可能很快就會(huì)看到更多?！?

其他人警告說，其他支持AI的威脅也即將出現(xiàn)，他們表示，他們預(yù)計(jì)黑客將使用深度假冒來模仿個(gè)人——比如高調(diào)的高管和公民領(lǐng)袖(他們的聲音和圖像廣泛公開，可以用來培訓(xùn)AI模型)。

 網(wǎng)絡(luò)保險(xiǎn)提供商Corvus的威脅情報(bào)經(jīng)理瑞安·貝爾表示：“這絕對(duì)是我們正在密切關(guān)注的事情，但可能性已經(jīng)相當(dāng)明顯。技術(shù)越來越好，更難辨別什么是真的?！彼昧藶蹩颂m總統(tǒng)弗拉基米爾·澤倫斯基的深度虛假圖像被用來傳播虛假信息，作為該技術(shù)用于邪惡目的的證據(jù)。

 此外，芬蘭的這份報(bào)告對(duì)未來的情況做出了可怕的評(píng)估：在不久的將來，快節(jié)奏的AI進(jìn)步將通過自動(dòng)化、隱形、社交工程或信息收集來增強(qiáng)和創(chuàng)造更廣泛的攻擊技術(shù)。因此，我們預(yù)測，未來五年，支持AI的攻擊將在技能較低的攻擊者中變得更加普遍。隨著傳統(tǒng)的網(wǎng)絡(luò)攻擊將變得過時(shí)，AI技術(shù)和工具將變得更容易獲得和負(fù)擔(dān)得起，從而激勵(lì)攻擊者使用支持AI的網(wǎng)絡(luò)攻擊。

劫持企業(yè)AI

另一方面，一些安全專家表示，黑客可以使用企業(yè)自己的聊天機(jī)器人來對(duì)付他們。

與更傳統(tǒng)的攻擊場景一樣，攻擊者可以嘗試侵入聊天機(jī)器人系統(tǒng)，竊取這些系統(tǒng)中的任何數(shù)據(jù)，或者利用它們?cè)L問對(duì)壞人具有更大價(jià)值的其他系統(tǒng)。

當(dāng)然，這并不是特別新奇。然而，安全公司OccamSec的安全工程師馬特·蘭德斯表示，黑客可能會(huì)改變受攻擊的聊天機(jī)器人的用途，然后將它們用作傳播惡意軟件的渠道，或者可能以邪惡的方式與其他人——客戶、員工或其他系統(tǒng)——互動(dòng)。

網(wǎng)絡(luò)風(fēng)險(xiǎn)研究團(tuán)隊(duì)Voyager18和安全軟件公司Vulcan最近也發(fā)出了類似的警告。這些研究人員發(fā)布了一份2023年6月的咨詢報(bào)告，詳細(xì)介紹了黑客如何利用AIGC(包括ChatGTP)將惡意包傳播到開發(fā)人員的環(huán)境中。

Wuchner表示，AI帶來的新威脅并不僅限于此，他說，隨著越來越多的員工——特別是IT以外的員工——使用新一代AI編寫代碼，以便他們能夠快速部署使用，企業(yè)可能會(huì)發(fā)現(xiàn)錯(cuò)誤、漏洞和惡意代碼可能會(huì)進(jìn)入企業(yè)。

Wuchner補(bǔ)充道：“所有的研究都表明，使用AI創(chuàng)建腳本是多么容易，但信任這些技術(shù)正在將人們從未想過的東西帶入企業(yè)。”

量子計(jì)算 

美國于2022年12月通過了《量子計(jì)算網(wǎng)絡(luò)安全準(zhǔn)備法案》，將一項(xiàng)旨在保護(hù)聯(lián)邦政府系統(tǒng)和數(shù)據(jù)免受量子網(wǎng)絡(luò)攻擊的措施寫入法律。許多人預(yù)計(jì)，隨著量子計(jì)算的成熟，量子網(wǎng)絡(luò)攻擊將會(huì)發(fā)生。 

幾個(gè)月后，也就是2023年6月，歐洲政策中心敦促采取類似行動(dòng)，呼吁歐洲官員為量子網(wǎng)絡(luò)攻擊的到來做好準(zhǔn)備——這一預(yù)期中的事件被稱為Q日。

根據(jù)專家的說法，未來五到十年，量子計(jì)算的工作可能會(huì)取得足夠的進(jìn)展，達(dá)到破解當(dāng)今現(xiàn)有密碼算法的能力——這一能力可能會(huì)使目前加密協(xié)議保護(hù)的所有數(shù)字信息都容易受到網(wǎng)絡(luò)攻擊。

“我們知道量子計(jì)算將在三到十年內(nèi)沖擊我們，但還沒有人真正知道它的全部影響會(huì)是什么?！盧uchie說。更糟糕的是，他說，壞人可能會(huì)利用量子計(jì)算與AI相結(jié)合的方式來“制造新的威脅”。 

數(shù)據(jù)和搜索引擎優(yōu)化中毒

馬里蘭大學(xué)全球校園網(wǎng)絡(luò)安全與IT學(xué)院的大學(xué)副教授羅尼·塔庫爾表示，另一個(gè)已經(jīng)出現(xiàn)的威脅是數(shù)據(jù)中毒。

通過數(shù)據(jù)中毒，攻擊者篡改或破壞用于訓(xùn)練機(jī)器學(xué)習(xí)和深度學(xué)習(xí)模型的數(shù)據(jù)。他們可以使用各種技術(shù)來做到這一點(diǎn)。有時(shí)也被稱為模型中毒，這種攻擊的目的是影響AI決策和輸出的準(zhǔn)確性。

正如塔庫爾總結(jié)的那樣：“你可以通過毒化數(shù)據(jù)來操縱算法。”

他指出，內(nèi)部和外部的不良行為者都有可能導(dǎo)致數(shù)據(jù)中毒。此外，他說，許多企業(yè)缺乏檢測這種復(fù)雜攻擊的技能。盡管企業(yè)尚未看到或報(bào)告任何規(guī)模的此類攻擊，但研究人員已經(jīng)探索并證明，黑客實(shí)際上可能有能力進(jìn)行此類攻擊。

其他人則提到了另一個(gè)“中毒”威脅：SEO中毒，最常見的是操縱搜索引擎排名，將用戶重定向到惡意網(wǎng)站，這些網(wǎng)站將在他們的設(shè)備上安裝惡意軟件。Info-Tech Research Group在其2023年6月的威脅概況簡報(bào)中指出了SEO中毒威脅，稱其是一個(gè)日益增長的威脅。

為下一步做準(zhǔn)備

大多數(shù)CISO預(yù)計(jì)威脅格局將發(fā)生變化：根據(jù)搜索公司Heidrick&Struggles為其2023年全球CISO調(diào)查進(jìn)行的一項(xiàng)民意調(diào)查，58%的安全領(lǐng)導(dǎo)者預(yù)計(jì)未來五年將出現(xiàn)一系列不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

CISO將AI和ML列為最重要的網(wǎng)絡(luò)風(fēng)險(xiǎn)的首要因素，46%的人表示同意這一點(diǎn)。CISO還將地緣政治、攻擊、威脅、云、量子和供應(yīng)鏈列為其他首要網(wǎng)絡(luò)風(fēng)險(xiǎn)因素。

Heidrick&Struggles調(diào)查的作者指出，受訪者對(duì)這個(gè)話題提出了一些想法。例如，其中一人寫道，將會(huì)有一場持續(xù)的自動(dòng)化軍備競賽。另一位用戶寫道：“隨著攻擊者增加攻擊周期，受訪者必須行動(dòng)更快?！比种坏娜吮硎?，“網(wǎng)絡(luò)威脅將以機(jī)器的速度進(jìn)行，而防御將以人的速度進(jìn)行?！?

作者補(bǔ)充說，“其他人表達(dá)了類似的擔(dān)憂，認(rèn)為技能不會(huì)從舊到新。還有一些人更擔(dān)心生存，理由是‘我們辨別真實(shí)和虛構(gòu)的能力受到了戲劇性的侵蝕’?！?

安全領(lǐng)導(dǎo)者表示，為不斷變化的威脅和可能出現(xiàn)的任何新威脅做好準(zhǔn)備的最佳方式是遵循既定的最佳實(shí)踐，同時(shí)分層采用新技術(shù)和戰(zhàn)略，以加強(qiáng)防御，并在企業(yè)安全中創(chuàng)建主動(dòng)元素。

安全軟件公司NetSPI的CISO諾曼·克龍伯格表示：“這是在掌握基礎(chǔ)知識(shí)，并在可能的情況下應(yīng)用新技術(shù)來推進(jìn)你的安全態(tài)勢并建立縱深防御，這樣你就可以達(dá)到下一個(gè)水平，這樣你就可以檢測到任何新奇的威脅。”“這種方法可以讓你有足夠的能力來識(shí)別未知的威脅。”