|
隨著2020年轉(zhuǎn)瞬即逝,2021年正向我們翩翩走來(lái),是時(shí)候展望2021年和網(wǎng)絡(luò)安全領(lǐng)域的新篇章了����。物聯(lián)網(wǎng)近幾年來(lái)的快速發(fā)展��,令聯(lián)網(wǎng)設(shè)備數(shù)量與日俱增�。然而,有網(wǎng)絡(luò)的地方就會(huì)有安全問(wèn)題�,物聯(lián)網(wǎng)領(lǐng)域也未能幸免。盡管毋庸置疑存在許多種可能的攻擊��,但有五種攻擊行為在物聯(lián)網(wǎng)(IoT)領(lǐng)域正變得越來(lái)越流行和普遍。
1.內(nèi)置物聯(lián)網(wǎng)安全威脅
雖然人們已熱衷接受物聯(lián)網(wǎng)�,但仍缺乏如何保護(hù)物聯(lián)網(wǎng)的指導(dǎo)方針。
物聯(lián)網(wǎng)設(shè)備本質(zhì)上是不安全的��。它們連接在一起���,這意味著黑客可以訪問(wèn)它們�����。但是物聯(lián)網(wǎng)設(shè)備缺乏諸如加密之類的基本保護(hù)能力��。它們還往往因?yàn)榱畠r(jià)���,從而使用戶易于部署大量的設(shè)備,到2021年底����,全球可能有350億個(gè)IoT設(shè)備。
IT員工可能對(duì)這些物聯(lián)網(wǎng)設(shè)備不作身份認(rèn)證處理�,甚至可能都不知道有這些設(shè)備。許多情況下�,雇主甚至都對(duì)這些設(shè)備沒(méi)有所有權(quán)。
物聯(lián)網(wǎng)可能會(huì)成為勒索軟件攻擊的首選目標(biāo)�。僵尸網(wǎng)絡(luò)��、高級(jí)持續(xù)性威脅�����、分布式拒絕服務(wù)(DDoS)攻擊�、身份盜用�����、數(shù)據(jù)盜用���、中間人攻擊�、社會(huì)工程攻擊等也可能會(huì)青睞這些設(shè)備����。
物聯(lián)網(wǎng)的安全威脅,包括那些攻擊數(shù)據(jù)庫(kù)的威脅�����,將在2021年成為趨勢(shì)��。在自動(dòng)化程度日益提高的世界中����,許多攻擊都集中在供應(yīng)鏈和設(shè)備上。
物聯(lián)網(wǎng)在這些領(lǐng)域中被廣泛使用��,更新設(shè)備并不總是最重要的��。隨著我們?cè)谖锫?lián)網(wǎng)上遇受更新穎的攻擊��,一個(gè)問(wèn)題變得尤為重要:我們可以更新老化的固件以提供所需的防護(hù)嗎�����?
2.物聯(lián)網(wǎng)中的人工智能攻擊
可能到2021年�����,AI攻擊將成為物聯(lián)網(wǎng)安全威脅的趨勢(shì)���,這不足為奇���。
自2007年以來(lái),基于AI的攻擊持續(xù)發(fā)生�����,主要用于社交工程攻擊(模擬人類聊天)和增強(qiáng)DDoS攻擊。2018年��,有人發(fā)表了關(guān)于AI攻擊的開(kāi)創(chuàng)性研究論文���,從此對(duì)AI的惡意使用就出現(xiàn)在人們的視野中�。
隨著時(shí)間的流逝����,更精細(xì)的算法將更好地模仿網(wǎng)絡(luò)上的普通用戶,以規(guī)避搜尋異常行為的檢測(cè)系統(tǒng)����。
在網(wǎng)絡(luò)攻擊中使用AI的最新發(fā)展是用于構(gòu)建和使用AI系統(tǒng)的工具的大眾化,這使黑客攻擊者現(xiàn)在可以構(gòu)建使用AI工具����,而幾年前只有研究人員可以構(gòu)建。
在執(zhí)行IoT威脅的許多要素(例如重復(fù)任務(wù)�����、交互式響應(yīng)和處理非常大的數(shù)據(jù)集)方面��,人工智能系統(tǒng)比人類做得要好?���?傮w而言��,人工智能將幫助黑客擴(kuò)大其物聯(lián)網(wǎng)攻擊�����,使其自動(dòng)化并使其更加靈活��。
當(dāng)然�,我們不要僅僅在2021年關(guān)注奇特的、新的基于AI的IoT威脅���,而要關(guān)注常見(jiàn)的網(wǎng)絡(luò)漏洞和其他攻擊���,但要比過(guò)去更快、更大規(guī)模地部署�����,并且具有更大的靈活性��、自動(dòng)化和自定義。
3.物聯(lián)網(wǎng)中的Deepfake威脅
Deepfake�����,即深度機(jī)器學(xué)習(xí)���,攻擊者應(yīng)用Deepfake技術(shù)工具來(lái)攻擊IoT���,例如暴力攻擊和欺騙性生物特征識(shí)別。
例如���,研究人員已經(jīng)證明了深度學(xué)習(xí)模型中的生成式對(duì)抗網(wǎng)絡(luò)(GAN, Generative Adversarial Networks )技術(shù)可以強(qiáng)行使用偽造的但有效的指紋����。他們通過(guò)相同方法經(jīng)過(guò)數(shù)千次嘗試后����,成功暴力破解密碼。
實(shí)際上�,我們已經(jīng)看到了Deepfake技術(shù)在惡意攻擊中的使用。第一波涉及偽造聲音��。攻擊者訓(xùn)練計(jì)算機(jī)系統(tǒng)以模仿首席執(zhí)行官的聲音��,然后發(fā)送偽造的首席執(zhí)行官音頻下令員工進(jìn)行匯款操作等。
音頻和圖像偽造技術(shù)現(xiàn)已基本成熟���,也就是說(shuō)�,您可以創(chuàng)建大多數(shù)人無(wú)法分辨的聲音和照片��。
深度學(xué)習(xí)的經(jīng)典成果是偽造視頻�。時(shí)至今日�����,以這種方式制作的視頻仍顯得不可思議����。但是,攻擊者仍在不斷完善Deepfake偽造視頻技術(shù)�,從而使視頻通話社交工程攻擊更具說(shuō)服力,這只是時(shí)間問(wèn)題�。他們還可以使用偽造的視頻進(jìn)行網(wǎng)絡(luò)破壞、敲詐和勒索����。
4.更專業(yè)的網(wǎng)絡(luò)犯罪
網(wǎng)絡(luò)犯罪的整個(gè)歷史無(wú)不涉及到黑客在攻擊中技能的不斷提升和完善。我們可以預(yù)期�����,到2021年,物聯(lián)網(wǎng)安全威脅的這種長(zhǎng)期趨勢(shì)將繼續(xù)��,黑客的專業(yè)化和外包將大大增加�����。
黑客組織將追逐更大的收入���,它們將傾向團(tuán)隊(duì)合作�����,而不是一個(gè)人或一個(gè)黑客組織負(fù)責(zé)整個(gè)工作����。因此�,一次攻擊可能涉及多個(gè)黑客組織,每個(gè)黑客組織都發(fā)揮自己擅長(zhǎng)的作用�����。
例如���,一個(gè)黑客組織可能專門(mén)從事大規(guī)模偵察��,然后以一定價(jià)格在暗網(wǎng)上分享他們的成果����。另一個(gè)黑客組織可以購(gòu)買(mǎi)此物品,然后雇用另一個(gè)黑客組織以社會(huì)工程學(xué)攻擊破壞受害者���。該黑客組織可以聘請(qǐng)說(shuō)母語(yǔ)的人和圖形設(shè)計(jì)師來(lái)制作更具說(shuō)服力的電子郵件�����。一旦他們獲得訪問(wèn)權(quán)限,黑客組織可以雇用多個(gè)專家進(jìn)行勒索軟件�����、比特幣挖礦和其他攻擊�����。
這就像企業(yè)從外包中獲取專業(yè)及多元服務(wù)并受益一樣�,黑客組織也是如此。
5.國(guó)家資助的黑客攻擊
上述組織趨勢(shì)(專業(yè)化和外包)將進(jìn)一步模糊國(guó)家資助的黑客攻擊與黑客組織團(tuán)體攻擊之間的界限��。
實(shí)際上,許多所謂的國(guó)家贊助的網(wǎng)絡(luò)攻擊是由與政府機(jī)構(gòu)(包括軍事和間諜機(jī)構(gòu))相關(guān)的黑客組織實(shí)施的���。
隨著專業(yè)化和外包的增加�����,由國(guó)家提供資助支持的物聯(lián)網(wǎng)攻擊將越來(lái)越多����,雖然這些檢測(cè)到的攻擊是否是國(guó)家發(fā)起的至今難有證據(jù)支持���。
毫無(wú)疑問(wèn)�����,2021年將是網(wǎng)絡(luò)安全領(lǐng)域又一個(gè)令人振奮的一年�。我們應(yīng)將物聯(lián)網(wǎng)安全威脅的這五種趨勢(shì)作為重點(diǎn)關(guān)注領(lǐng)域��,保護(hù)好我們的物聯(lián)網(wǎng)��!
| 
