本文来自安在,作者/绵总。
今年夏天,微软表示一个俄罗斯黑客组织正在利用Microsoft Teams发起网络钓鱼攻击,任何使用该平台的公司都可能会遭受攻击。据微软威胁情报部门称,这个名为"Midnight Blizzard"的黑客组织利用此前攻击企业所拥有的Microsoft 365租户来托管和发起新的社工钓鱼攻击。
网络钓鱼并不是什么新兴的攻击方式,但随着越来越多的黑客利用新技术或想出利用旧漏洞的新方法,安全威胁正在不断演变。对此,安全公司Entrust的首席信息安全官Mark Ruchie表示,安全就像是一场猫捉老鼠的游戏。
据《2023年Comcast Business网络安全威胁报告》指出,网络钓鱼仍是最常见的攻击方式。每10次入侵用户网络的尝试中,就有9次是从网络钓鱼开始的。而网络安全风险投资公司发布的《2022年网络犯罪报告》统计,网络犯罪的成本将从2015年的3万亿美元跃升至2025年的10.5万亿美元。
与此同时,很多安全负责人表示,他们看到了逐渐变化的新攻击方式。就像是俄罗斯黑客组织Midnight Blizzard(也被称为APT29、Cozy Bear和NOBELIUM)所发起的攻击那样,随着AI的发展,网络攻击的新颖度和更迭频率得到了快速的提升,今年新出现的包括数据中毒、搜索引擎优化(SEO)中毒以及人工智能化的威胁行为都与人工智能有关。换言之,人工智能所促进的以及其相关威胁行为是当今CISO面临的主要新兴威胁。
01
人工智能相关的主要攻击方式
今年最引人关注的领域莫过于人工智能(AI),而很多显著的威胁也来自于AI的快速成熟和扩散。有安全专家表示,他目睹了黑客采用AI的速度,其速度可与企业技术团队相媲美,有时甚至超过了后者。
AI在黑客攻击方面的潜力有目共睹,根据Forrester Research 2019年的一份报告显示,80%的网络安全决策者或CISO预计AI将扩大攻击规模并加快攻击速度,66%的CISO预计AI"将实施人类无法想象的攻击"。该报告进一步指出,这些攻击将以一种隐秘和不可预测的方式进行,使它们能够绕开那些只依赖安全规则和签名的传统安全解决方案。
而现在,这种情况正在发生。芬兰交通与通信管理局与网络安全公司WithSecure于2022年12月联合发布的一份报告,报告中提到,"AI支持的网络攻击已经成为组织无法应对的威胁。随着AI的进展以及AI专业知识的普及,这种安全威胁只会越来越大。"
目前,黑客正在利用AI分析攻击策略,从而提高攻击成功的可能性。此外,他们还在利用人工智能提高其活动的速度、规模和范围。对此,很多CISO认为,生成式AI是带来新威胁的根本原因。一方面,生成式AI能够帮助黑客开发恶意软件;另一方面,黑客还能利用生成式AI准确模仿电子邮件的语言、语气等等,来创建更多的网络钓鱼和网络诈骗信息。生成式AI避免了笨拙的措辞或马虎的图形,基于此,这些黑客创建的恶意邮件可以有效规避识别策略。Ruchie表示,如今的网络钓鱼邮件已经变得越来越隐蔽,而生成式AI还会将其提升到前所未有的水平。
美国电气和电子工程师学会(IEEE)资深会员、Hyperproof公司现场首席信息安全官Kayne McGladrey表示,他已经发现了网络钓鱼邮件快速发展的证据,他合作企业的高管收到了一份合同,这份合同的所有内容看起来几乎都是正确的。唯一明显的错误是公司名称中存在一个小错误,幸运的是,这家首席法律顾问发现了这个错误。
当下,生成式AI不仅提高了攻击的速度和复杂程度,还扩大了攻击范围。黑客们现在可以利用生成式AI创建任何语言的网络钓鱼邮件,其中甚至包括攻击尝试较少的语言,因为这些语言很难学习或非母语者很少使用。McGladrey表示,由于生成式AI强大的翻译能力,让那些可能因语言问题未遭遇太多网络钓鱼攻击的国家也面临着网络钓鱼的威胁。
还有部分专家表示,AI所带来的其他威胁也在陆续出现,例如用深度伪造来模仿知名高管和民间领袖等等(他们的声音和图像可广泛公开地用于训练人工智能模型)。网络保险提供商科沃斯公司(Corvus)的威胁情报经理Ryan Bell表示,他们正在关注这方面的问题,随着技术的递进,深度仿造所生产的内容让人更难辨别真假。例如,乌克兰总统泽连斯基被人利用深度伪造图像来传播虚假信息就是这项技术被恶意利用的有力证明。
上文提到的芬兰的报告对未来做出了可怕的预测:“在不久的将来,AI的快速发展将通过自动化、隐蔽性、社会工程学或信息收集来加强和创造更大范围的攻击技术。因此,我们预测,在未来五年内,AI将成为低水平黑客的主要工具,传统的网络攻击将因此变得过时。与此同时,人工智能的技术、工具将变得更加便捷、易用,这会激励更多的黑客利用AI进行网络攻击。”
02
人工智能改变了传统攻击模式
除了利用AI来创建攻击之外,有的黑客还会利用企业自己开发或采买的聊天机器人来发起攻击。这种方式类似传统的攻击模式,攻击者可能会试图入侵聊天机器人系统,以窃取这些系统中的数据,或利用它们访问更有价值的其他系统。
安全公司OccamSec的安全工程师Matt Landers表示,黑客有可能利用被入侵的聊天机器人,作为传播恶意软件的渠道,或者以其他方式与-客户、员工或其他系统-进行交互。
最近,网络风险研究团队Voyager18和安全软件公司Vulcan也发出了类似的警告。这些研究人员于2023年6月发布了一份警告,详细说明了黑客如何利用包括ChatGTP在内的生成式人AI向开发环境传播恶意软件包。
Wuchners表示,人工智能带来的新威胁还不止于此。随着越来越多的员工(特别是IT部门之外的员工)使用生成式AI编写代码,未来可能会有大量错误、漏洞以及恶意代码进入企业。所有的研究都表明,使用AI创建代码或脚本是非常简单的一件事,而这些技术会将一些前所未有的攻击带入企业。
03
量子计算相关的新威胁
美国于2022年12月通过了《量子计算网络安全准备法案》,将一项旨在确保联邦政府系统和数据安全、防范量子网络攻击的措施写入法律,许多人预计随着量子计算的成熟,量子网络攻击将会出现。
2023年6月,欧洲政策中心(European Policy Centre)也敦促采取类似行动,呼吁欧洲官员为量子网络攻击的到来做好准备,这一预期事件被称为"Q-Day"。
据专家称,未来五到十年内,量子计算可能会取得足够的进展,达到有能力破解当今现有加密算法的地步。而这种能力的诞生可能会使受当前加密协议保护的所有数字信息在网络攻击面前变得不堪一击。
Ruchie表示,很多人都能预估量子计算在未来3-10年内会对安全产生影响,但没人真正清楚会带来哪些具体的影响。更糟糕的是,黑客可能会利用量子计算或量子计算与AI的结合来制造“新的威胁”。
04
数据和搜索引擎优化(SEO)中毒
马里兰大学全球校区网络安全与信息技术学院副教授Rony Thakur表示,今年出现的另一种新型威胁是数据中毒。通过数据中毒,攻击者会篡改或破坏用于训练机器学习和深度学习模型的数据。
目前,已经有很多证据和技术来证明这种攻击方式已经存在。数据中毒也被称之为模型中毒,旨在影响人工智能决策和输出内容的准确性。
Thakur表示,攻击者可以通过污染数据的方式来操纵算法。这里的攻击者不仅仅是外部攻击者,企业内部存在的别有用心之人也有能力进行数据中毒。目前,许多组织还缺乏检测这种复杂攻击的能力。尽管目前还没有企业报告过任何规模的数据中毒攻击,但研究人员已经探索并证明,黑客已经具备实施此类攻击的能力。
最后也是较为罕见的攻击方式:搜索引擎优化(SEO)中毒。攻击者可以利用SEO来影响搜索引擎的排名,将用户指引到恶意网站,从而在其设备商安全恶意软件。实际上,SEO中毒在很多搜索引擎上都有所体现。
此前,黑客通过篡改网站页面来实现攻击,这些被篡改的网站可能没有及时被SEO规则所替换,从而导致其在SEO轮换周期内被人点开,导致其设备被攻击。而现在,攻击者可以直接攻击SEO算法,使其伪造的虚假网站呈现出正常的状态,从而误导被攻击者。换言之,SEO中毒更像是更高层次的仿冒,而这种仿冒可以影响更多人。Info-Tech Research Group在其2023年6月的威胁形势简报中指出了SEO中毒威胁,称这是一种日益严重的威胁。
05
该做哪些准备?
根据猎头公司Heidrick&Struggles的2023全球CISO民意调查显示,58%的安全领导者预计未来五年将出现一系列不同的网络风险。这意味着大多数CISO已经预计到威胁形势将发生变化。调查显示,有46%的CISO将人工智能和机器学习列为最重要的网络风险主题,此外,地缘政治、攻击、威胁、云、量子和供应链列为其他网络风险主题。
Heidrick&Struggles调查报告的作者指出,部分受访者就这一主题列出了一些想法。例如,一位受访者写道,"自动化军备竞赛将持续进行"。另一位受访者写道,"随着攻击者攻击周期的延长,CISO必须加快行动速度"。第三位受访者表示,"网络威胁将以机器的速度发展,而防御将以人类的速度发展。其他人也表达了类似的担忧,他们认为新旧安全措施无法兼容。甚至有人在担心CISO的职业寿命,因为他们辨别真假的能力正在急剧削弱。
对此,有CISO表示,应对不断演变的威胁和任何可能出现的新威胁的最佳方法是遵循既定的最佳实践,同时分层采用新技术和新策略来加强防御,并在企业安全中创造积极主动的元素。
安全软件公司NetSPI的首席信息安全官Norman Kromberg表示,这就是利用基本的安全原理和新技术来提升企业安全态势,构建纵深防御。只有基础打好,企业才有能力检测新奇事物,才有能力迎接挑战。
06
专家观点
对于今年关注的新的安全威胁,某企业安全负责人表示,今年发现的新安全威胁有MCN账号假冒、黑产冒充客户进线等等,主要以黑灰产为主。此外还有一些网站假冒、小程序假冒,但这些属于传统风险了,影响不大。当前企业主要围绕着DRP,即数字风险保护进行建设,这也是gartner提出的一个安全方向。
公安部第三研究所网络安全法律研究中心主任、研究员黄道丽认为,现在网络安全面临的最大挑战是如何把制度的能力转化为实际的治理能力。她表示,法律的特性是稳定,但网络安全风险和网络安全形势却是不断变化的,这需要产业界、运营者、数据处理者以及社会第三方共同推进。
某传统企业安全负责人表示,传统企业对于区块链、边缘计算、量子计算等目前还是不涉及。今年主要关注的还是针对增长的勒索软件和勒索攻击,通过加密用户的数据并勒索赎金,对个人用户和企业造成严重损失。
另外,随着国家乃至全球隐私法规的不断增加,人们的个人信息保护意识的不断增长,数据隐私和合规性成为企业重要的安全关注点。保护用户个人数据的安全和隐私,合规性要求的满足是一项非常非常重要的挑战。
还有一个关注点就是攻击者利用社工手段获取用户的敏感信息或诱使其进行不安全的行为,这点对于传统企业来说特别重视。