您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
互聯(lián)網(wǎng)恐怖未來:新興技術(shù)帶來更大網(wǎng)絡(luò)安全威脅
互聯(lián)網(wǎng)雖無疑帶來了種種便利,但也引入了新的問題:我們對(duì)連接的依賴不斷加深,給了網(wǎng)絡(luò)犯罪分子加以利用的機(jī)會(huì)。
網(wǎng)絡(luò)釣魚電子郵件、惡意軟件和勒索軟件攻擊,或者銀行賬戶詳情、密碼及其他個(gè)人信息竊取——互聯(lián)網(wǎng)為惡意黑客斂財(cái)和搞破壞提供了種種新手段。只要看看關(guān)鍵基礎(chǔ)設(shè)施、學(xué)校和醫(yī)院遭受網(wǎng)絡(luò)攻擊的慘狀,就可以窺一斑而知全豹,體會(huì)到網(wǎng)絡(luò)安全威脅的嚴(yán)重性。
我們尚未能完全保護(hù)網(wǎng)絡(luò)免受當(dāng)今互聯(lián)網(wǎng)威脅的侵?jǐn)_,但技術(shù)一直在發(fā)展,我們必須以某種方式準(zhǔn)備好應(yīng)對(duì)新的威脅。
量子計(jì)算:加密算法破解和加密貨幣挖礦
量子計(jì)算是我們迎來的重大技術(shù)突破之一,有望快速解決經(jīng)典計(jì)算機(jī)無能為力的復(fù)雜問題。
然而,這一技術(shù)進(jìn)步給科學(xué)研究和人類社會(huì)帶來各種好處的同時(shí),也會(huì)帶來新的挑戰(zhàn)。最值得注意的是,我們幾十年來用以保護(hù)網(wǎng)上銀行、安全通信和數(shù)字簽名等多個(gè)領(lǐng)域的加密算法,在量子計(jì)算的強(qiáng)大力量面前毫無抵抗之力,會(huì)被迅速破解。
目前,量子計(jì)算價(jià)格昂貴,且僅限大型科技公司、研究機(jī)構(gòu)和政府才具備開發(fā)量子技術(shù)所需的專業(yè)技能。但與其他創(chuàng)新技術(shù)一樣,量子計(jì)算最終會(huì)逐漸商業(yè)化,走入尋常百姓家,而網(wǎng)絡(luò)犯罪分子亦會(huì)尋求利用這一技術(shù)。
思科Talos安全研究技術(shù)主管Martin Lee表示:“有些事眼見著即將到來;尤其是量子計(jì)算能夠破解當(dāng)前加密算法這件事。”
“二十年前完全夠用的加密密鑰長度就不再夠用了。”
美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)已經(jīng)發(fā)出警告:現(xiàn)在必須采取行動(dòng),幫助保護(hù)網(wǎng)絡(luò)免遭量子計(jì)算驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊,特別是那些支持關(guān)鍵國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)。
不過,雖然量子計(jì)算驅(qū)動(dòng)的破壞性網(wǎng)絡(luò)攻擊是未來的關(guān)鍵網(wǎng)絡(luò)安全威脅,但量子計(jì)算機(jī)本身卻可能就是黑客垂涎的目標(biāo)。
以加密貨幣挖礦惡意軟件為例。攻擊者將這種惡意軟件安裝到計(jì)算機(jī)和服務(wù)器上,偷偷利用其他人的網(wǎng)絡(luò)資源挖掘加密貨幣并從中獲利,完全不用支付所耗電力和資源的費(fèi)用。
比特幣之類的加密貨幣是由計(jì)算機(jī)通過解決復(fù)雜數(shù)學(xué)問題而產(chǎn)生的,這類復(fù)雜數(shù)學(xué)問題在量子計(jì)算機(jī)網(wǎng)絡(luò)面前就是小菜一碟了。這意味著,如果能夠在量子計(jì)算機(jī)上植入加密貨幣挖礦惡意軟件,網(wǎng)絡(luò)犯罪分子就可以迅速變得非常富有,且他們自己幾乎不需要付出任何代價(jià)。
趨勢科技高級(jí)殺軟研究員David Sancho稱:“感染其中一臺(tái)就可以開始計(jì)算非常復(fù)雜的算法。”
“只要在量子計(jì)算機(jī)上植入加密貨幣挖礦機(jī),就可以極大提升挖礦速度——小型網(wǎng)絡(luò)攻擊正以此類事情為目標(biāo),這是非常容易做出的預(yù)測?!?/span>
利用人工智能(AI)和機(jī)器學(xué)習(xí)(ML)
不過,網(wǎng)絡(luò)犯罪分子想要利用的新興技術(shù)可不僅僅是量子計(jì)算一種:可以預(yù)見,他們也希望利用人工智能(AI)和機(jī)器學(xué)習(xí)(ML)的發(fā)展。
類似量子計(jì)算,AI和ML器學(xué)習(xí)有望推動(dòng)一系列領(lǐng)域的創(chuàng)新,例如機(jī)器人和無人駕駛汽車、語音和語言識(shí)別、醫(yī)療保健等等等。
能夠自適應(yīng)和學(xué)習(xí)的AI可以用于干正事,但最終,一旦變得普及,網(wǎng)絡(luò)犯罪分子利用AI輔助提高網(wǎng)絡(luò)攻擊效率就只是時(shí)間問題了。
“我們會(huì)看到惡意軟件活動(dòng)、勒索軟件操作和網(wǎng)絡(luò)釣魚活動(dòng)完全由機(jī)器學(xué)習(xí)框架自動(dòng)運(yùn)行。目前雖然還不是這樣,但實(shí)現(xiàn)起來根本不會(huì)太難。”WithSecure首席研究官M(fèi)ikko Hypp?nen表示。
編寫基于文本的生成算法來發(fā)送和回復(fù)常見垃圾郵件或執(zhí)行商務(wù)電郵入侵(BEC)活動(dòng),是利用這種技術(shù)的方式之一。
犯罪分子無需花時(shí)間人工撰寫和回復(fù)郵件,可以依靠算法來分析哪些回信最有可能是值得回復(fù)的真正受害者,而不是那些仍舊保持懷疑的人,或者那些純屬回信調(diào)戲垃圾郵件發(fā)送者的人。這一現(xiàn)實(shí)意味著未來你可能會(huì)被騙,而且是被自動(dòng)程序欺騙。
網(wǎng)絡(luò)犯罪分子還有可能利用機(jī)器學(xué)習(xí)的進(jìn)步來開發(fā)能自我編程的智能惡意軟件,這種軟件無需開發(fā)人員提供支持,可以自動(dòng)對(duì)所遇到的網(wǎng)絡(luò)防御措施做出反應(yīng),從而更新自身,最大限度地提高成功率。
Hypp?nen表示:“你可以想象一下自編程程序變得比現(xiàn)在更有能力完成人類創(chuàng)建的功能會(huì)是個(gè)什么情景——這聽起來好像很棒,直到發(fā)生在勒索軟件身上?!?/span>
“如果勒索軟件也具備了這一能力,它就可以改變代碼,讓代碼更加難以理解,讓自己每次都不一樣,嘗試創(chuàng)建無法檢測的版本。所有這些在技術(shù)上都是可行的,我們不過是還沒有看到而已,但我認(rèn)為我們總會(huì)看到的?!彼娴馈?/span>
深度偽造(Deepfakes)
但是,濫用AI驅(qū)動(dòng)網(wǎng)絡(luò)威脅不僅僅是互聯(lián)網(wǎng)未來面臨的問題——現(xiàn)在就已經(jīng)很成問題了:深度學(xué)習(xí)被用來生成看似真人或真實(shí)事件的虛假視頻,也就是深度偽造視頻(Deepfakes)。
政治誤導(dǎo)活動(dòng)和愚弄政客的惡作劇會(huì)利用深度偽造視頻,商務(wù)電郵入侵(BEC)和其他欺詐攻擊也已經(jīng)在用深度偽造技術(shù)增強(qiáng)自身可信度:網(wǎng)絡(luò)犯罪分子使用深度偽造音頻說服員工授權(quán)向攻擊者控制下的賬戶轉(zhuǎn)入大筆資金。
“我們正進(jìn)入這個(gè)深度偽造視頻會(huì)被用于犯罪的勇敢新世界。不僅僅篡改,還有虛假信息和誤導(dǎo)性信息?!盕ortalice Solutions首席執(zhí)行官兼白宮前首席信息官Theresa Payton如是說。
以面向公眾的首席執(zhí)行官(CEO)為例。他們會(huì)出現(xiàn)在電視上,會(huì)發(fā)表演講,網(wǎng)上也有他們的視頻,所以找到聽起來像他們的錄音相對(duì)容易,而且詐騙犯已有可能通過深度偽造技術(shù)利用這些資源來模仿他們的聲音了。
畢竟,如果接到公司主管電話讓做某事,員工是很可能聽命行事的,策劃此類攻擊的網(wǎng)絡(luò)犯罪分子深知這一事實(shí)。
“利用深度偽造音頻成功說服某人打錢的案例,我都知道三起了。就我知道的樣本量都有三起,這事兒令我十分驚訝?!盤ayton表示。
而隨著深度偽造背后的技術(shù)繼續(xù)發(fā)展,以后想要分辨誰真誰假就只會(huì)更難了。
Payton稱:“我越來越擔(dān)心我們?nèi)狈φ嬲柚姑褚獠倏v活動(dòng)的能力?!?/span>
被黑物聯(lián)網(wǎng)
如果沒能保護(hù)好互聯(lián)網(wǎng)的未來,深度偽造就不是網(wǎng)絡(luò)威脅影響我們?nèi)粘I畹奈ㄒ活I(lǐng)域了。智能物聯(lián)網(wǎng)(IoT)設(shè)備日漸走入千家萬戶,成為我們?nèi)粘I畹闹匾M成部分,各種傳感器、家電、可穿戴設(shè)備和其他聯(lián)網(wǎng)產(chǎn)品紛紛出現(xiàn)在家庭、辦公室、工廠等場所。
將物聯(lián)網(wǎng)設(shè)備接入家庭網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)雖然可以帶來一些便利,但聯(lián)網(wǎng)水平提升也為網(wǎng)絡(luò)犯罪分子開拓了攻擊面,他們可以利用的點(diǎn)又增加了。
“給日常設(shè)備加上聯(lián)網(wǎng)功能,黑客就有可能入侵這些設(shè)備。不可黑的設(shè)備變成了可黑的?;蛟S想黑不容易,但總歸是可行的。世上不存在安全計(jì)算機(jī)。沒有不可黑的設(shè)備?!盚ypp?nen解釋道
“這就是我們這個(gè)時(shí)代正在發(fā)生的事情,而且無法阻止。我們?cè)趺聪氩⒉恢匾瑹o論如何這事兒都會(huì)發(fā)生,而且會(huì)越來越隱蔽。”
想想你家里的電器:是不是越來越“智能”,甚至還可以連接互聯(lián)網(wǎng)了?從電視機(jī)到牙刷,各種東西現(xiàn)在都可以聯(lián)網(wǎng)。
但對(duì)于家電制造商來說,打造聯(lián)網(wǎng)設(shè)備還是個(gè)相對(duì)較新的現(xiàn)象,很多家電制造商以前不需要考慮網(wǎng)絡(luò)安全威脅。有些供應(yīng)商甚至可能在設(shè)計(jì)過程中就壓根兒沒想過這事,導(dǎo)致自己的產(chǎn)品在黑客面前如待宰羔羊。
被黑客盯上家里咖啡機(jī)或魚缸聽起來似乎并不值得擔(dān)憂,但此類家電也是網(wǎng)絡(luò)上的一個(gè)點(diǎn),可以訪問并用作攻擊更重要設(shè)備和敏感數(shù)據(jù)的入口。
雖然物聯(lián)網(wǎng)安全應(yīng)該(有望)隨其普及而提高,但需要考慮的還有另一個(gè)問題?,F(xiàn)實(shí)中早已部署了無數(shù)不安全的物聯(lián)網(wǎng)設(shè)備,而這些設(shè)備甚至可能不支持安全更新。
想想有多少智能手機(jī)幾年之后就無法接收安全更新,然后將這一現(xiàn)實(shí)推廣到快速發(fā)展的物聯(lián)網(wǎng)——如果冰箱或汽車等不常換的設(shè)備可以繼續(xù)使用數(shù)十年,將會(huì)出現(xiàn)什么狀況?
“世界上沒有哪家軟件供應(yīng)商會(huì)支持20年前編寫的軟件。這事兒它壓根兒就不會(huì)發(fā)生?!盚ypp?nen說道,并建議制造商不再支持所出品的設(shè)備時(shí)將之開源,方便他人提供支持。
“就像為其他服務(wù)付費(fèi)一樣,你可以為支持服務(wù)付費(fèi),從而獲得自己老舊過時(shí)設(shè)備的安全補(bǔ)丁?!?/span>
聯(lián)網(wǎng)設(shè)備如今遍布整個(gè)人類社會(huì),而且這種趨勢毫無放緩跡象,智慧城市未來將會(huì)成為常態(tài)。但如果網(wǎng)絡(luò)安全與合規(guī)不是推動(dòng)這一趨勢的關(guān)鍵力量,這種趨勢就可能會(huì)給社會(huì)帶來負(fù)面影響。
“只要沒解決這些問題,攻擊就會(huì)以前所未見的規(guī)模和速度洶涌而來——壞事會(huì)更快。這種情況令人十分憂心?!盤ayton表示,并認(rèn)為勒索軟件攻擊劫持智慧城市只是時(shí)間問題。
“智慧城市會(huì)成為黑客攻擊的目標(biāo),我們可能會(huì)體驗(yàn)到某種程度的持續(xù)破壞?!彼a(bǔ)充道。
網(wǎng)絡(luò)安全軍備競賽
盡管存在潛在威脅,但Payton對(duì)互聯(lián)網(wǎng)的未來持樂觀態(tài)度。網(wǎng)絡(luò)犯罪分子雖然會(huì)利用新技術(shù)來幫助改進(jìn)其攻擊,但網(wǎng)絡(luò)防御者也會(huì)部署同樣的技術(shù)來幫助防止攻擊。
“我們可以持續(xù)建模惡意行為,然后用人工智能、大數(shù)據(jù)、數(shù)據(jù)分析和各種機(jī)器學(xué)習(xí)算法持續(xù)改進(jìn)技術(shù),我對(duì)此感到非常興奮。”她解釋道。
“現(xiàn)在能阻止所有惡意行為嗎?顯然不能,因?yàn)榫W(wǎng)絡(luò)犯罪分子總在調(diào)整他們的戰(zhàn)術(shù)。但我確實(shí)非常樂觀,覺得我們將能夠阻止更多今天看似能突破防御機(jī)制的中低端威脅?!?/span>
Hypp?nen回顧了近幾年來的技術(shù)發(fā)展情況,對(duì)未來也持有同樣的樂觀態(tài)度。她認(rèn)為網(wǎng)絡(luò)安全一直在改善,即使新技術(shù)不斷涌現(xiàn),也并不意味著網(wǎng)絡(luò)犯罪分子和其他惡意黑客就能輕易掌握。
“計(jì)算機(jī)安全從未像今天這么良好過。這個(gè)評(píng)價(jià)略有爭議——路人很可能會(huì)覺得數(shù)據(jù)安全從未如此糟糕,因?yàn)樗麄冎豢吹搅烁鞣N安全事件。他們只看到黑客事件頻頻登上新聞?lì)^條。”Hypp?nen表示。
“但事實(shí)是,如果對(duì)比我們當(dāng)前的計(jì)算機(jī)安全和十年前的計(jì)算機(jī)安全,那差距就像天上地下那么大。我們的安全越來越好,而攻擊者則越來越難以突破安全防御?!?/span>
希望這種情況仍將延續(xù)——互聯(lián)網(wǎng)未來是否穩(wěn)定就取決于這種情況是否能夠保持了。
來源:數(shù)世咨詢