各机构现在就要着手防范 2019 年的威胁了, 特别要警惕使用人工智能( AI)“模糊测试” 技术、 机器学习技术和“集群”( swarm) 技术的网络犯罪分子。
为了管理日益分散和复杂的网络, 各机构正在采用人工智能( AI)和机器学习技术,将繁琐、 耗时、通常需要大量人工监督和干预的活动自动化。 网络犯罪团伙适应安全生态系统的这一转变, 也开始朝着这一技术方向演进。
根据 Fortinet 公司《2019 年威胁全景预测》报告, 本文总结了五个新兴的恶意趋势。
1
AI“模糊测试”
零日漏洞利用主要涉及未知的威胁向量,因此对犯罪团伙来说,此技术常常特别有效。幸运的是, 发现和利用零日漏洞涉及一种称为“模糊测试”的技术, 这需要大量的时间和专业知识, 因此零日漏洞并不常见。
模糊测试是一项复杂的技术, 专业威胁研究人员经常在实验室环境中使用该技术, 来识别硬件和软件接口及应用程序中的漏洞。他们将无效、异常或半随机数据注入接口或程序,然后监控崩溃、 未记录的跳转、 调试例程、失效代码和内存泄漏等事件, 以此来识别漏洞。目前,大多数网络犯罪分子还不具备通过模糊测试寻找零日漏洞的能力。 但是, 随着人工智能和机器学习模型在模糊测试中的应用, 该技术将会变得更加高效和有效。因此, 网络犯罪分子将会发现更多的零日漏洞,而这也会对网络设备和系统的保护产生重大影响。
2
零日漏洞继续肆虐
虽然大量的已知漏洞仍在肆虐,但是攻击者实际上只利用了这其中不到 6%的漏洞。 然而,在一些具体的对抗场景中,我们无从知晓犯罪团伙会利用哪些具体漏洞,因此就要求安全工具不得不监控所有这些 6%的安全漏洞。 此外, 随着潜在威胁的数量持续增长, 以及潜在漏洞利用的范围不断扩大, 各机构对安全工具的性能要求不断升级。为了跟上这些要求,安全工具需要越来越智能地检测威胁(备注: 原文有错误)。
虽然一些框架( 如“零信任” 环境) 可以防御威胁,但是公平地说,大多数机构都没有为即将到来的下一代威胁(特别是那些基于 AI 的模糊测试技术) 做好准备。传统的安全方法,例如对已知攻击的修复或监控, 很可能会过时,因为它们无法预测设备的哪个方面可能会被利用。在一个无休止且高度商品化的零日攻击环境中,即使是用于检测未知威胁的工具(如沙箱) 也会很快被攻破。
3
“集群即服务”( Swarms-as-a-Service)
基于集群的智能技术不断进步, 这使得我们更容易受到基于集群的僵尸网络的攻击。 这些所谓的“集群” 僵尸网络可以协同、 自主地运行, 以攻破现有的防御系统。这些集群僵尸网络不仅会提高保护各机构的技术门槛,而且,就像零日挖矿一样,它们还会对潜在的犯罪商业模式产生影响, 为网络犯罪分子提供更多的机会。
目前,犯罪生态系统是由“人” 驱动的。 专业黑客通过挖掘自定义的漏洞利用代码来获取不当收益。 甚至像“勒索软件即服务”( Ransomware-as-a-Service, RaaS) 这样的新技术也需要专业黑客来整合不同的资源。但是,当提供自主的、 自我学习的“集群即服务” 时,客户和专业黑客之间的直接交互量将急剧下降,从而降低了专业黑客被发现的风险, 于此同时还能提高黑客的盈利能力。
4
自定义的集群
将集群划分为多个任务以实现预期结果, 这与虚拟化非常相似。在虚拟网络中,可以根据需要增加或减少虚拟机,以解决带宽等问题。同样, 在集群网络中,可以分配或重新分配资源,以解决攻击链中遇到的特定挑战。在“集群即服务” 环境中,犯罪分子利用一系列分析工具和漏洞利用代码, 对“集群”( swarm) 的各个部分进行预编程,包括感染策略、 规避策略和秘密数据泄露策略等。 此外, 集群中有一种“自我集群”( self-swarm),它们几乎不需要来自集群主机的交互或反馈,也不需要与 C&C 中心交互。 这能够克服大多数漏洞利用的致命弱点。
5
机器学习投毒
机器学习是最有前途的网络安全工具之一。 各机构可以训练设备和系统, 使它们自主地执行特定任务, 如确定行为基准,应用行为分析来识别复杂的威胁,或者在面对复杂的威胁时采取有效的对策等。繁琐的手动任务, 如跟踪和修复设备,也可以移交给经过适当训练的系统。但是, 机器学习技术可能是一把“双刃剑” ——它们无法识别“好”和“坏”,因此它们也会执行蓄意的恶意指令。通过攻击机器学习过程并投毒,网络犯罪分子可以训练设备或系统, 使其不对特定设备打补丁或执行更新,忽略特定类型的应用程序或行为,或不记录特定流量, 使犯罪分子更好地规避检测。
为明天的威胁做好准备
上文介绍了一些最具前瞻性的恶意行为者的前进方向。为了有效地进行防御, 各机构应重新考虑他们当前的安全策略。鉴于目前的全球威胁形势, 各机构必须以机器速度应对威胁——机器学习和人工智能技术能够对此提供帮助。 将机器语言和 AI 集成到整个分布式网络中的端点产品中,结合自动化和创新, 能够有效地帮助各机构打击日益激进的网络犯罪。然而, 需要注意的是, 网络犯罪分子将很快采用相同的技术来对抗我们, 我们应该为此做好准备。
来源:中国信息安全
新闻,人物,趣事,生活,功能
领取专属 10元无门槛券
私享最新 技术干货