本文来自微信公众号“安在”,作者/管窥蠡测。
互联网时代,新科技的发展,旨在塑造更好的数字世界。各供应商都在努力响应企业和消费者的需求,为使众人的生活更加方便,工作更具成本效益。然而,让人感到不安的是,新技术往往会被仓促投入生产,很多技术往往缺乏对安全和隐私的考虑。因此,国外安全专家提出,使网络变得更加方便、高效和快速的新功能,也可能会使威胁行为者更快找到滥用这些功能的方法,并使其成为巨大的风险。
01
创新所带来的安全问题
这种情况与基于恶意软件的攻击不一样,后者会在媒体上直接被标位负面新闻,而科技发展往往给人积极的印象。以下是过去五年左右,新科技发展所带来的威胁问题。
1、生成式人工智能(AI):2022年11月,随着OpenAI的ChatGPT公开亮相,生成式人工智能成为2023年最热门的话题。该术语广泛描述了机器学习系统,其能够响应用户输入的提示生成文本、图像、代码或其他类型内容。而现实是,生成式人工智能在设计和实现过程中对安全或隐私的关注太少,其能立即被威胁行为者武器化。
威胁行为者能利用生成式人工智能制造虚假信息,能使deepfake的创建让任何人使用。在暗网论坛上,恶意生成式人工智能已经能生成恶意代码,协助复杂的深度伪造创建,并大规模生产更聪明、更现实的商业电子邮件妥协(BEC)活动。
2、Zoom的端到端加密:视频会议平台Zoom在2020年引入了端到端的加密,以增强用户隐私。然而,安全研究人员发现,Zoom的这项实施存在重大漏洞,这可能会影响数百万依赖该平台进行安全通信的用户。
3、WhatsApp的加密后门:WhatsApp在2017年实现了端到端加密,以保护用户消息。但是,其有一个漏洞允许攻击者利用后门进行攻击。
4、英特尔的主动管理技术(AMT)漏洞:英特尔的AMT旨在促进设备的远程管理,其无意中存在一个关键漏洞,可使攻击者能够获得对系统的未经授权访问。
5、Google+API Bug:2018年,Google+推出了允许用户选择共享信息的功能。然而,API中的一个缺陷暴露了不应公开的用户数据,最终其影响了50万左右的用户。
6、智能物联网设备:智能摄像头和语音助手等物联网设备给社会群体带来了便利,但这也带来了一定的风险和漏洞。其薄弱的安全措施使黑客能够远程访问设备。
7、脸书的好友权限:2018年,脸书允许用户授予第三方应用程序访问其好友数据的权限,无意中为剑桥分析公司提供了便利,最终成为了丑闻。
8、手机生物识别认证:智能手机制造商推出了面部识别和指纹传感器等生物识别认证方法。然而,研究人员证明,使用照片或3D模型同样可以正常通过。
9、Spectre和Meltdown CPU漏洞:这些漏洞通过设计OEM功能来提高多个供应商的中央处理器(CPU)性能,从而允许各种程序(包括网络应用程序和浏览器)查看受保护内存区域的内容,这些内存区域包含密码、登录名、加密密钥、缓存文件和其他敏感数据。
10、物联网僵尸网络:2016年,Mirai僵尸网络启用了大规模分布式拒绝服务(DDoS)攻击。这是最严重的黑客攻击之一,因为犯罪分子可联网数百万的婴儿监视器、防盗报警器、摄像头、恒温器和打印机等物联网设备,以发动大量的攻击,这能削弱个人连接互联网和亚马逊、网飞、推特等大公司网站的能力,每次长达数小时。
国外安全专家表示,如果一个组织不采取积极措施保护自己,并对这些事件做出反应,那么就可能会对其声誉、发展造成灾难性影响。IDC的《全球安全支出指南》预测,2023年全球安全解决方案的支出将达到2190亿美元,与2022年相比增长了12.1%。这些数字不包括事件或违规响应费用,而这些费用会成倍增加受影响组织的成本。
02
基本的安全卫生是企业的最佳选择
国外安全专家指出,虽然这些缺陷中只有一些科技已经完全被武器化,可以窃取有价值的信息,也可以扰乱业务,但它们也都可以在多战线攻击中发挥作用,因此各组织必须采取行动。幸运的是,除了在安全解决方案上进行巨额投资,组织还可以采取以下预防措施:
1、定期修补、更新系统和应用程序。
2、定期且频繁地测试备份。
3、强化系统监控流程。
4、采取纵深防御方式。
5、全面审查业务部门跨职能事件响应计划。
