2019年要担忧的五大新兴网络威胁. 2019-01-10
去年充斥着网络安全灾难,从数十亿微芯片爆出安全漏洞到大规模数据泄露和使用恶意软件的攻击,恶意软件锁住计算机系统直到受害者支付赎金(通常是追踪不了的数字货币)。
我们会在2019年看到更多的大规模泄密和勒索软件攻击。安全团队的重中之重是针对诸如此类的既有风险作好规划,比如对联网的消费级设备和关键基础设施(比如电网和交通运输系统)构成的威胁。但网络防御者还应关注新的威胁。下面是值得关注的几大风险:
1. 利用AI生成的伪造视频和音频
由于人工智能的进步,现在可以制作伪造的视频和音频消息,几乎能以假乱真。这些“深度伪造”内容可能在几个方面给黑客带来福音。事实已证明,旨在诱骗人们交出密码及其他敏感数据的AI生成的“网络钓鱼”电子邮件比人类生成的钓鱼邮件更有效。现在,黑客将能够增添非常逼真的伪造视频和音频,补充网络钓鱼电子邮件中的指令或作为一个独立的花招。
网络犯罪分子还可能利用这项技术来操纵股价,比如发布CEO宣布公司面临融资问题或其他危机的虚假视频。还存在这个危险:深度伪造内容可能被用来在选举中传播虚假新闻,引发地缘政治紧张局势。
这类策略曾经需要有大型电影制片厂的资源,而现在只要有一台像样的电脑和功能强大的显卡,谁都能做到。初创公司在开发检测深度伪造内容的技术,但尚不清楚效果会如何。与此同时,唯一真正的防线是安全意识培训,让人们意识到这个风险。
2. 毒害AI防御系统
安全公司纷纷采用AI模型,以此帮助预测和检测网络攻击。然而,狡猾的黑客可能会企图破坏这些防御系统。安全公司Endgame的首席执行官Nate Fick说:“AI可以帮助我们辨别干扰信息和有用信息,但也会落在坏人的手里。”生成最狡猾的攻击的也是AI。
生成式对抗网络(GAN)让两个神经网络互相对立,可用来猜测防御者在其AI模型中使用什么算法。另一个风险是,黑客锁定用于训练模型的数据集,并毒害它们――比如更换恶意代码样本上的标签,表明它们是安全的而不是可疑的。
3. 黑入智能合约
智能合约是存储在区块链上的软件程序,如果满足编码在其中的条件,就自动执行某种数字资产交换。创业家们声称智能合约用途广泛,从转账到知识产权保护,不一而足。但智能合约的发展还处于早期阶段,研究人员在发现一些智能合约的漏洞。黑客也在发现,他们已利用漏洞窃取了数百万美元的加密货币。
根本问题是区块链被设计成透明的。因此,确保与智能合约有关的数据私密性是个挑战。Dawn Song是加州大学伯克利分校的教授,也是Oasis Labs的首席执行官,这家初创公司正致力于利用特殊硬件将保护隐私的技术做入到智能合约平台中。他说:“我们需要将这种技术做入到智能合约平台上。”
4. 使用量子计算机破解加密
安全专家预测,量子计算机利用量子物理学的奇特现象来大幅提升处理能力,可以破解目前有助于保护从电子商务交易到健康记录等所有内容的加密。
量子机器仍然处于起步阶段,可能好几年后才会构成严重威胁。但是,像软件可以远程更新的汽车这类产品在十年或更久以后仍会使用。今天集成到这些产品中的加密最终很可能在量子攻击面前不堪一击。用于保护需要存储多年的敏感数据(比如财务记录)的代码也是如此。
一群美国量子专家最近的一份报告敦促企业组织开始采用能够抵御量子攻击的新型和即将出现的加密算法。美国国家标准与技术研究所(NIST)等政府组织也在制定标准,以便后量子加密更容易抵御量子攻击。
5. 来自计算云的攻击
对黑客来说,将其他公司的数据托管在自家服务器上或远程管理客户的IT系统的公司是超级诱人的目标。若能闯入这些公司的系统,黑客也可以访问其客户的那些系统。亚马逊和谷歌等各大云计算公司有能力大力投资于网络安全防御,并支付高薪,以吸引这个领域的一些顶尖人才。这并不能使它们免受攻击,但黑客更有可能盯上小公司。
这一幕开始出现了。美国政府最近指控中国黑客潜入一家为其他公司管理IT的公司的系统。据称,黑客趁机闯入了全球45家公司的计算机,涉及航空和石油天然气勘探等多个行业。
这种攻击只是冰山一角。专注于网络安全领域的风险投资公司Rain Capital的创始人Chenxi Wang表示,“你会看到[黑客]的关注点从桌面恶意软件转向规模经济效应显著的数据中心恶意软件。”
我们列出的其他一些风险可能不像这个风险来得紧迫。但是说到网络安全,应对未来威胁方面准备最充分的公司将是最愿意在今天发挥想象力的公司。