网络安全和事件响应领域始终不变的趋势是:网络攻击的复杂性、速度和严重程度都在不断提升。这种情况很可能会持续下去,原因如下:
- 日益强大的技术工具,包括可用于提高网络攻击效力和效率的智能人工智能的进步,以及量子计算机破解目前用于保护数据的加密技术的未来风险;
- 日益动荡的地缘格局,可能导致国家支持或与其相关的网络攻击增加;
- 在一个日益互联的世界中,企业依赖第三方服务提供商进行日常运营,这增加了攻击面,降低了企业对支持和保护其运营的系统的可见性和控制力。
对于希望构建具有弹性的系统并以现实和优先的方式应对或最大限度减少这些攻击影响的公司而言,了解这些相互关联的趋势和发展、它们的普遍性和它们的潜在影响至关重要。
威胁行为者利用智能人工智能发动网络攻击
功能强大的前沿人工智能模型和能够自主推理执行的人工智能代理的出现,对各行各业都产生了重大影响,而且这种影响预计还会不断扩大。网络犯罪领域也出现了类似的趋势,据报道,犯罪分子正在利用人工智能工具和代理来提高攻击的效率和效果。
例如,网络犯罪分子利用人工智能工具对目标公司进行广泛的研究和侦察,从而制作高度个性化、定制化的钓鱼邮件,使其效果显著。此外,他们还利用人工智能工具进行翻译,用自己不熟悉的语言撰写精心制作的钓鱼邮件。网络犯罪分子还部署了高度逼真的深度伪造技术,这些技术极难与真人区分开来。这使得网络犯罪分子能够伪装成受信任的人员,请求或批准员工采取的行动。因此,获得系统访问权限的人员可能会以某种方式为网络犯罪分子的攻击活动提供便利。
一旦威胁行为者在目标环境中站稳脚跟,他们就能利用人工智能工具以远超人类的速度识别有价值的数据,例如个人数据、专有客户数据或知识产权。借助人工智能工具,威胁行为者可以迅速窃取这些数据,并以前所未有的速度对企业发起勒索。
此外,威胁行为者还可以利用人工智能工具来识别最近发现的漏洞,这些漏洞可以在目标公司有机会修复之前(有时甚至在补丁可用之前)被利用。
这些例子说明了威胁行为者如何利用人工智能工具来改进和加速网络攻击中的某些步骤。然而,也有报道称,威胁行为者利用人工智能代理发起网络攻击,而几乎无需人为干预。例如,威胁行为者通过冒充渗透测试人员,识别漏洞以帮助企业加强安全控制,从而绕过了人工智能代理内置的安全防护措施。通过这种方式,威胁行为者绕过了模型的安全防护,并试图渗透多家公司。人为干预的范围仅限于威胁行为者在少数几个关键节点确认人工智能代理是否继续执行;除此之外,代理会主动执行攻击。值得称赞的是,人工智能平台遭到滥用的开发商公开报告了此事,以提高人们对当前威胁的认识。
量子计算威胁着现有的加密方法
尽管智能体人工智能目前已被威胁行为者利用,但量子计算对现有的密码学方法构成了重大且长期的威胁,而密码学是任何安全程序不可或缺的组成部分。如今的主要风险是"先捕获后解密"攻击,即攻击者捕获并存储加密数据,期望在构建出可用于密码分析的量子计算机后对其进行解密。
对于那些使用目前难以破解但未来量子计算可能破解的加密技术来保护敏感数据的组织而言,这构成了一项重大风险。法律框架中强制要求采取"最先进"甚至"合理"的安全措施,可能会被解读为要求采用更强大的加密方法。因此,各组织明智的做法是制定向后量子加密技术迁移的战略路线图。在医疗保健机构和金融服务等受监管行业运营的组织,由于受保护的健康信息和数字账本的安全受到法规的强制要求,随着技术的进步,其合规性和业务风险可能会显著增加。
网络研究观
https://blog.csdn.net/qq_29607687
动荡的地缘格局助长了国家支持的网络攻击
如果说新技术有助于解释网络攻击的演变,那么当前动荡的地缘格局则有助于解释为何民族国家及其附属组织越来越多地发动网络攻击以实现地缘目标。例如,朝鲜已将网络犯罪作为规避国际制裁、获取收入、资助军事项目以及攻击关键基础设施和扰乱对手行动的手段。商业间谍活动则是隐蔽且无处不在的网络攻击背后的驱动力。
朝鲜开展的旨在获取经济利益的国家支持型网络犯罪活动,就是一个特别普遍的例子。该活动旨在渗透企业,冒充高技能的外包IT人员。这些人使用窃取或伪造的身份信息,并在面试过程中利用人工智能工具生成深度伪造视频,最终被多家公司聘用,提供远程IT服务。
一旦被录用,这些IT人员可能拥有合法且可信的权限,可以访问组织的核心资产,例如源代码库、内部网络、数据库、通信平台,以及用于保护敏感信息和金融资产的凭证和私钥。有时,一名IT人员甚至可以同时为多个组织获取工作,并将工作发送给身处朝鲜或其他外国司法管辖区的技能较低的员工。通过这种内部威胁活动,朝鲜非法获利数百万美元。
虽然此类IT员工阴谋的最初动机通常是经济利益,但这种内部访问权限也可能被用于进行间谍活动和收集威胁情报。例如,拥有合法可信访问权限的IT员工可以绘制内部网络拓扑图、窃取凭证,或在系统中植入隐藏的后门,以便日后利用。当IT员工被告知组织怀疑或已知其为外国特工时,这些事件也可能演变为涉及数据泄露的勒索活动。
同样,加密货币盗窃在朝鲜也十分盛行。例如,2025年,朝鲜的拉撒路组织被指控从ByBit交易所窃取了价值约15亿美元的以太坊。据报道,该犯罪团伙操纵了交易审批,并盗空了约2600个冷钱包。这一事件表明,网络犯罪带来的经济利益可以成为国际贸易之外的直接途径。
除了直接的国家行为之外,以经济利益为目的的犯罪集团与民族国家之间的界限正日益模糊。据报道,朝鲜利用网络犯罪分子资助其武器研发并规避制裁,伊朗也曾利用网络犯罪以类似方式规避制裁,而俄罗斯则与网络犯罪分子合作,为其对乌克兰的战争提供资金。此外,国家行为体经常采用网络犯罪分子首创的最有效技术,以加强自身的间谍活动、破坏活动和非法牟利活动。
针对安全计划中最薄弱的环节发起攻击
威胁行为者利用的一种有效技术是攻击广泛使用的第三方服务平台中的漏洞,从而获取这些平台客户系统的访问权限。能够访问客户系统的第三方供应商构成了一个可被利用的入口点,因为组织的网络安全韧性取决于其各个第三方供应商的网络安全韧性。例如,组织可能更新并修复了自身系统中的漏洞,但如果其云服务提供商、软件即服务 (SaaS) 供应商或硬件供应商缺乏足够的安全控制措施,则客户可能容易受到攻击。通过这种策略,威胁行为者不再需要针对单个组织。他们无需攻击并攻破单个广泛使用的平台,而是可以尝试访问成千上万的下游受害者。
MOVEit Transfer漏洞就是一个广为人知且非常成功的例子。它表明,单个企业文件传输应用程序中的零日漏洞如何导致影响数千家机构的大量安全事件。Clop勒索软件组织发现了这个零日漏洞并加以利用。在软件开发商发现漏洞之前,Clop就已自动发起攻击,扫描互联网上存在漏洞的MOVEit服务器,并系统性地从中窃取了大量数据。
也有报道称,在零日漏洞公布后,攻击者会系统性地扫描易受攻击的系统,并试图在补丁发布前利用这些漏洞。这一趋势与人工智能工具的强大功能密切相关,这些工具能够快速高效地扫描漏洞,从而对多个组织发起攻击。安全分析师发现,勒索软件的平均潜伏时间(即攻击者在系统中保持不被发现的时间)已降至不到一周。许多组织只有在收到攻击者的通知后,才发现其系统已被入侵,数据已被窃取。
除了系统(包括第三方系统)本身的漏洞之外,由于诸多因素,人往往被认为是网络安全中最薄弱的环节,例如:
- 网络安全意识有限;
- 网络钓鱼;
- 社会工程学;
- 弱密码习惯;以及
- 内部威胁。
例如,一种常见的攻击方式是,威胁行为者欺骗人员解锁对其系统和文档的访问权限,包括冒充 IT 服务台工作人员和 BPO 提供商,并让这些人员禁用其帐户上的多因素身份验证。
除了现有的安全控制措施外,组织还应实施更严格的安全措施并利用更强大的工具。
如上所述,威胁行为者正在利用功能更强大的前沿人工智能模型和代理来支持其网络攻击活动,但安全团队也可以而且应该利用这些工具来防御此类攻击。例如,人工智能代理可以用于防御,自主地对警报进行分类、调查事件,甚至实时遏制威胁,从而大幅缩短响应时间。此外,此类工具还可以用于:
- 确保代码开发安全;
- 减轻对易受攻击系统的危害;或
- 识别组织系统中的漏洞,以便在威胁行为者发现它们之前进行修复。
为了防范内部风险,例如朝鲜IT从业人员攻击事件,组织应实施零信任模型,将系统配置为默认情况下不信任任何用户或设备,无论其位于网络边界内外。此外,组织还应确保其安全程序对每个用户进行严格身份验证,包括使用防钓鱼的多因素身份验证、验证每个设备的安全性,并仅授予完成特定任务所需的最低权限("最小权限原则")。
此外,随着攻击潜伏时间缩短至短短几天,组织机构事件响应的速度和效率对于最大限度地减少损失至关重要,进而有助于减轻监管审查和诉讼风险。因此,建立健全的补丁管理流程,尽早且频繁地进行补丁更新,以及定期通过桌面演练来维护事件响应计划,将有助于应对攻击者不断缩短的潜伏时间。
这些不断演变的威胁可能会提高监管机构对"合理"安全措施的标准。如果一个组织仍然依赖过时的安全措施或存在已知漏洞的安全措施,则可能被视为维持着不合理的安全方案。凭证盗窃的普遍存在,使得法律对实施强大的身份和访问管理控制措施提出了更高的要求,尤其是防钓鱼的多因素身份验证。
网络安全之争已然改变。它比以往任何时候都更加迅猛、复杂,也与全球冲突的交织更加紧密。它不再仅仅是一个需要解决的IT问题,而是一个需要持续管控的、持续存在的业务风险。那些能够理解这一新现实,并建立起不断适应、积极治理和真正韧性的企业文化的组织,才能蓬勃发展。