1. 內(nèi)置物聯(lián)網(wǎng)威脅
在實(shí)體采用物聯(lián)網(wǎng)時(shí),他們在威脅防范方面依然會落后于國防和指導(dǎo)部門���。此外����,威脅實(shí)施者會充分利用物聯(lián)網(wǎng)帶來的風(fēng)險(xiǎn)與實(shí)體在應(yīng)對這些風(fēng)險(xiǎn)所做準(zhǔn)備之間的差距��。
物聯(lián)網(wǎng)設(shè)備本質(zhì)上是不安全的���。它們會連接到網(wǎng)絡(luò)�����,這意味著攻擊者也可以訪問它們�。但是物聯(lián)網(wǎng)設(shè)備缺乏加密等基本保護(hù)的處理能力��。此外�����,它們往往十分重要但價(jià)格不高���,用戶可以輕松部署大量的設(shè)備(到 2021 年底���,全球 IoT 設(shè)備的總量可能達(dá)到 350億臺)�����。
IT 可能未得到授權(quán)����,甚至可能不知道這些設(shè)備��。在很多情況下���,雇主甚至都沒有它們的所有權(quán)����。
物聯(lián)網(wǎng)可能會成為勒索軟件攻擊的首選目標(biāo)���。僵尸網(wǎng)絡(luò)、高級持續(xù)性威脅�����、分布式拒絕服務(wù) (DDoS) 攻擊��、身份盜用��、數(shù)據(jù)盜用、中間人攻擊��、社交工程攻擊等也可能會以物聯(lián)網(wǎng)作為攻擊媒介��。
物聯(lián)網(wǎng)威脅���,包括那些針對數(shù)據(jù)庫的威脅�����,也與 2021 年的一些其他趨勢有交疊����。在自動(dòng)化程度日益提高的世界中�����,許多攻擊都將重點(diǎn)放在供應(yīng)鏈和制造領(lǐng)域���。物聯(lián)網(wǎng)在這些領(lǐng)域中使用得非常廣泛���,而設(shè)備更新并非總是第一優(yōu)先事項(xiàng)。隨著物聯(lián)網(wǎng)網(wǎng)絡(luò)遭遇更多新型攻擊��,一個(gè)問題變得尤為重要,那就是:我們是否可以更新老化的固件�,為其提供所需的防護(hù)?
2. AI 在 IoT 威脅中的作用
在 2021 年,由 AI 驅(qū)動(dòng)的物聯(lián)網(wǎng)威脅很有可能會大行其道�。這一點(diǎn)并不奇怪。
自 2007 年以來����,基于 AI 的攻擊一直都在發(fā)生,主要用于社交工程攻擊(模擬人類聊天)和增強(qiáng) DDoS 攻擊�����。2018 年�,在一份關(guān)于威脅的開創(chuàng)性研究報(bào)告發(fā)表之后,對 AI 的惡意使用便出現(xiàn)在每個(gè)人的視野之中�。
隨著時(shí)間的推移,更精細(xì)的算法將能夠更好地模仿網(wǎng)絡(luò)上的普通用戶����,進(jìn)而阻止檢測系統(tǒng)發(fā)現(xiàn)異常行為����。在網(wǎng)絡(luò)攻擊對 AI 的利用方面,近期的最大發(fā)展是用于構(gòu)建和使用 AI 系統(tǒng)的工具已變得“平民化”��。威脅實(shí)施者現(xiàn)在可以構(gòu)建 AI 工具,而在幾年前�����,只有研究人員可以構(gòu)建 AI 工具���。
在執(zhí)行 IoT 威脅的許多元素(例如重復(fù)性任務(wù)����、交互式響應(yīng)和超大數(shù)據(jù)集處理)方面����,AI 系統(tǒng)比人類做得更好??傮w而言,AI 將會助推威脅實(shí)施者擴(kuò)大物聯(lián)網(wǎng)威脅����,實(shí)現(xiàn)其自動(dòng)化并讓其更加靈活。
此外����,在 2021年,我們不能只關(guān)注基于 AI 的新型物聯(lián)網(wǎng)威脅�����。相反,我們也要關(guān)注常見的網(wǎng)絡(luò)漏洞和其他攻擊�����,不過與過去相比�����,它們的部署速度更快���、規(guī)模更大��,而且在靈活性�、自動(dòng)化和可定制化方面也更加強(qiáng)大����。
3. 采用 Deepfake 技術(shù)實(shí)施 IoT 威脅
攻擊者會采用與 Deepfake 視頻相同的工具來實(shí)施 IoT 威脅,例如蠻力攻擊��、欺騙性生物特征識別等�����。舉例來說����,大學(xué)研究人員已經(jīng)證明了生成對抗網(wǎng)絡(luò) (GAN) 技術(shù)可以強(qiáng)行使用偽造但實(shí)用的指紋。�。和強(qiáng)行使用密碼一樣,他們通過數(shù)千次的強(qiáng)行嘗試來實(shí)施攻擊��。
實(shí)際上����,我們已經(jīng)看到,一些惡意攻擊已經(jīng)開始使用 Deepfake 技術(shù)�。攻擊者在最開始的時(shí)候是偽造聲音。攻擊者會對計(jì)算機(jī)系統(tǒng)進(jìn)行訓(xùn)練����,使它們能夠發(fā)出聽起來像是某個(gè)首席執(zhí)行官的聲音,然后假冒該首席執(zhí)行官打電話給員工�,要求員工匯款或做其他事情。
音頻和圖像方面的 Deepfake 技術(shù)現(xiàn)在已基本完善����,也就是說,您可以創(chuàng)建大多數(shù)人都無法分辨的聲音和照片。
視頻領(lǐng)域是 Deepfake 技術(shù)的“天堂”��。即便是如今�����,以這種方式制作的視頻仍舊令人不可思議����。不過攻擊者還可以完善 Deepfake 視頻,讓視頻通話社交工程攻擊更具說服力����,這只是時(shí)間問題。他們還可以使用偽造的視頻進(jìn)行網(wǎng)絡(luò)破壞��、敲詐和勒索�。
4. 更專業(yè)的網(wǎng)絡(luò)犯罪
縱觀網(wǎng)絡(luò)犯罪的整個(gè)歷史,會發(fā)現(xiàn)攻擊者一直都在不斷完善��。這種完善經(jīng)常反映了正當(dāng)業(yè)務(wù)中的趨勢�����。物聯(lián)網(wǎng)威脅的這一長期趨勢仍將繼續(xù)��,因?yàn)槲覀冾A(yù)計(jì) 2021年將會出現(xiàn)更多的專業(yè)化和外包服務(wù)。威脅實(shí)施者會追逐更大的利益��。他們不會由單個(gè)人或單個(gè)團(tuán)伙負(fù)責(zé)所有工作�,而是由多個(gè)團(tuán)伙提供有償服務(wù)�����。一次攻擊可能會涉及多個(gè)團(tuán)伙���,每個(gè)團(tuán)伙都發(fā)揮自己的特長���。
舉例來說,一個(gè)團(tuán)伙可能專門負(fù)責(zé)大規(guī)模偵察�,然后以一定價(jià)格在暗網(wǎng)上提供他們的知識。另一個(gè)團(tuán)伙可能會購買這些知識�,然后雇用另一個(gè)團(tuán)伙通過社交工程攻擊對受害者實(shí)施攻擊。該團(tuán)伙可能會反過來聘請母語人士和圖形設(shè)計(jì)師來制作更具說服力的電子郵件���。一旦他們獲得訪問權(quán)限��,便會雇傭多個(gè)專業(yè)團(tuán)伙進(jìn)行勒索���、比特幣挖礦、敲詐和其他攻擊。
就像企業(yè)運(yùn)營已變得專業(yè)化�����、多元化并從外包中受益一樣��,構(gòu)建物聯(lián)網(wǎng)威脅的攻擊者也是如此�����。
5. 國家贊助的攻擊與犯罪攻擊之間的細(xì)分
上述組織化趨勢(專業(yè)化和外包)將進(jìn)一步模糊國家贊助的攻擊與團(tuán)伙攻擊之間的界限����。這一點(diǎn)其實(shí)很好理解。實(shí)際上�,許多所謂的國家贊助網(wǎng)絡(luò)攻擊是由與政府機(jī)構(gòu)(包括軍事和間諜機(jī)構(gòu))有關(guān)聯(lián)的犯罪團(tuán)伙實(shí)施的。
通過提升專業(yè)化水平并增加外包服務(wù)的使用��,民族國家將會從網(wǎng)絡(luò)攻擊(比如物聯(lián)網(wǎng)威脅)中獲益��,得到更多的金錢利益����。各個(gè)民族國家會雇用其他與政府機(jī)構(gòu)無關(guān)聯(lián)的網(wǎng)絡(luò)團(tuán)隊(duì)實(shí)施特定的惡意攻擊或承擔(dān)攻擊中的特定部分工作。
即使在今天����,也很難界定檢測到的攻擊是否是由某個(gè)國家所贊助的���。從 2021年開始到無限的未來,幾乎都不可能準(zhǔn)確界定��。毫無疑問���,2021 年又將會是網(wǎng)絡(luò)安全的攻堅(jiān)年。我們需要將物聯(lián)網(wǎng)威脅的這五種趨勢作為重點(diǎn)領(lǐng)域加以關(guān)注�。
