1.內(nèi)置物聯(lián)網(wǎng)威脅
網(wǎng)絡(luò)攻擊者利用物聯(lián)網(wǎng)帶來(lái)的風(fēng)險(xiǎn)與企業(yè)應(yīng)對(duì)這些風(fēng)險(xiǎn)準(zhǔn)備不足之間的差距進(jìn)行攻擊。
物聯(lián)網(wǎng)設(shè)備本質(zhì)上是不安全的,它們連接著網(wǎng)絡(luò),這意味著網(wǎng)絡(luò)攻擊者有機(jī)會(huì)訪問(wèn)和攻擊它們。物聯(lián)網(wǎng)設(shè)備通常缺乏諸如加密等基本的防護(hù)能力,并且其成本越來(lái)越低,使用戶可以輕松地部署大量物聯(lián)網(wǎng)設(shè)備,為物聯(lián)網(wǎng)威脅帶來(lái)了更多的機(jī)會(huì)。根據(jù)統(tǒng)計(jì),到2021年底,全球可能有350億個(gè)物聯(lián)網(wǎng)設(shè)備。
據(jù)調(diào)查,很多企業(yè)的IT團(tuán)隊(duì)可能沒(méi)有授權(quán)或甚至不知道使用的物聯(lián)網(wǎng)設(shè)備。物聯(lián)網(wǎng)設(shè)備成為勒索軟件攻擊的首選目標(biāo)。僵尸網(wǎng)絡(luò)、高級(jí)持久性威脅、分布式拒絕服務(wù)(DDoS)攻擊、身份盜竊、數(shù)據(jù)盜竊、中間人攻擊、社交工程攻擊和其他攻擊也是網(wǎng)絡(luò)攻擊者選擇的措施。
物聯(lián)網(wǎng)威脅和那些攻擊數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)威脅將與2021年的其他發(fā)展趨勢(shì)相互交織。在自動(dòng)化程度不斷提高的世界里,許多網(wǎng)絡(luò)攻擊都集中在供應(yīng)鏈和制造業(yè)上。物聯(lián)網(wǎng)在這些領(lǐng)域得到了廣泛的應(yīng)用,而更新設(shè)備并不總是首要任務(wù)。當(dāng)企業(yè)遇到更多新的物聯(lián)網(wǎng)攻擊時(shí),有一個(gè)問(wèn)題尤為重要,可以更新老化的固件來(lái)提供它所需要的防御功能嗎?
2.物聯(lián)網(wǎng)威脅中的人工智能
2021年很可能是人工智能驅(qū)動(dòng)物聯(lián)網(wǎng)威脅的元年,這并不奇怪。
基于人工智能的網(wǎng)絡(luò)攻擊自從2007年以來(lái)日益增長(zhǎng),主要用于社交工程攻擊(模擬人類聊天)和增強(qiáng)DDoS攻擊。,一篇關(guān)于人工智能威脅的研究文章在2018年發(fā)表,討論了惡意使用人工智能技術(shù)的問(wèn)題。
隨著時(shí)間的推移,更完善的算法將會(huì)更好地模仿網(wǎng)絡(luò)上的用戶,并阻止尋找不良行為的檢測(cè)系統(tǒng)的檢測(cè)。網(wǎng)絡(luò)攻擊中使用人工智能的最新發(fā)展是用于構(gòu)建和使用人工智能系統(tǒng)的工具的民主化。網(wǎng)絡(luò)威脅參與者現(xiàn)在能夠自行構(gòu)建人工智能工具,而幾年前只有研究人員才能構(gòu)建。
人工智能系統(tǒng)比人類更擅長(zhǎng)執(zhí)行物聯(lián)網(wǎng)威脅的許多元素,例如重復(fù)性任務(wù)、交互式響應(yīng)和處理大規(guī)模的數(shù)據(jù)集。一般來(lái)說(shuō),人工智能將幫助網(wǎng)絡(luò)攻擊者擴(kuò)大他們的物聯(lián)網(wǎng)威脅,使其實(shí)現(xiàn)自動(dòng)化,并使其更加靈活。
而且,不要只在2021年尋找新的基于人工智能的物聯(lián)網(wǎng)威脅。與其相反,需要尋找常見(jiàn)的,并且部署速度更快、規(guī)模更大、更靈活的網(wǎng)絡(luò)漏洞和其他攻擊。
3.成為物聯(lián)網(wǎng)威脅的Deepfake
越來(lái)越多的網(wǎng)絡(luò)攻擊者采用Deepfake視頻等工具進(jìn)行物聯(lián)網(wǎng)攻擊,例如暴力攻擊和欺騙性生物特征識(shí)別。例如,大學(xué)研究人員的研究證明了生成對(duì)抗網(wǎng)絡(luò)(GAN)技術(shù)可以強(qiáng)行使用Deepfake模擬的指紋。他們通過(guò)數(shù)千次嘗試以強(qiáng)行使用密碼的方式來(lái)執(zhí)行這一操作。
實(shí)際上,人們已經(jīng)看到在惡意攻擊中使用了Deepfake技術(shù)。Deepfake涉及偽造的聲音。例如網(wǎng)絡(luò)攻擊者模擬了一名首席執(zhí)行官的聲音,打電話給其員工命令其轉(zhuǎn)帳,造成不必要的損失。
音頻和圖像偽造技術(shù)如今日益成熟,也就是說(shuō),可以創(chuàng)建大多數(shù)人無(wú)法分辨的聲音和照片。Deepfake更高級(jí)的使用是視頻。時(shí)至今日,以這種方式制作的視頻仍然看起來(lái)很神奇。但是,網(wǎng)絡(luò)攻擊者還可以使Deepfake視頻更加完善,從而使視頻通話在社交工程攻擊中更具說(shuō)服力,這只是時(shí)間問(wèn)題。他們還可以將偽造的視頻用于網(wǎng)絡(luò)破壞和勒索。
4.更專業(yè)的網(wǎng)絡(luò)犯罪
網(wǎng)絡(luò)攻擊者在技術(shù)和措施方面不斷完善。這種物聯(lián)網(wǎng)威脅的長(zhǎng)期趨勢(shì)將繼續(xù)下去,因?yàn)?021年將有更多的專業(yè)化攻擊和外包行為。網(wǎng)絡(luò)攻擊者將會(huì)追求更多的利益。而一次網(wǎng)絡(luò)攻擊就可能涉及多個(gè)團(tuán)本,每個(gè)團(tuán)體都擅長(zhǎng)執(zhí)行各自的任務(wù)。
例如,一個(gè)團(tuán)體可能專門從事信息收集和竊取,然后在暗網(wǎng)上出售有價(jià)值信息,而另一方可能購(gòu)買這些信息,然后通過(guò)社會(huì)工程技術(shù)詐騙受害者。該團(tuán)隊(duì)聘請(qǐng)?jiān)O(shè)計(jì)師來(lái)制作更具說(shuō)服力的電子郵件。一旦他們獲得訪問(wèn)權(quán)限,就可以雇用技術(shù)專家進(jìn)行勒索軟件、比特幣挖礦和其他攻擊。
就像企業(yè)從專業(yè)化、多元化和業(yè)務(wù)外包中受益一樣,物聯(lián)網(wǎng)攻擊者也是如此。
5.政府層面的資助和犯罪攻擊之間的細(xì)分
上述趨勢(shì)(專業(yè)化和外包化)將進(jìn)一步模糊政府層面資助的網(wǎng)絡(luò)攻擊與犯罪攻擊之間的界限。許多獲得政府資助的網(wǎng)絡(luò)攻擊實(shí)際上是由與政府機(jī)構(gòu)有聯(lián)系的犯罪團(tuán)伙實(shí)施的,其中包括軍事和間諜機(jī)構(gòu)。
隨著專業(yè)化和外包工具的增加,一些國(guó)家希望獲得物聯(lián)網(wǎng)威脅等網(wǎng)絡(luò)攻擊的成果。他們將雇傭網(wǎng)絡(luò)攻擊者來(lái)從事特定的惡意攻擊工作。
毫無(wú)疑問(wèn),網(wǎng)絡(luò)安全領(lǐng)域?qū)⒊蔀?021年令人關(guān)注的領(lǐng)域。企業(yè)需要重點(diǎn)關(guān)注物聯(lián)網(wǎng)威脅的這五個(gè)發(fā)展趨勢(shì)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)