信息化觀察網(wǎng)

本文來自微信公眾號“安在”，作者/管窺蠡測。

互聯(lián)網(wǎng)時代，新科技的發(fā)展，旨在塑造更好的數(shù)字世界。各供應(yīng)商都在努力響應(yīng)企業(yè)和消費者的需求，為使眾人的生活更加方便，工作更具成本效益。然而，讓人感到不安的是，新技術(shù)往往會被倉促投入生產(chǎn)，很多技術(shù)往往缺乏對安全和隱私的考慮。因此，國外安全專家提出，使網(wǎng)絡(luò)變得更加方便、高效和快速的新功能，也可能會使威脅行為者更快找到濫用這些功能的方法，并使其成為巨大的風險。

01

創(chuàng)新所帶來的安全問題

這種情況與基于惡意軟件的攻擊不一樣，后者會在媒體上直接被標位負面新聞，而科技發(fā)展往往給人積極的印象。以下是過去五年左右，新科技發(fā)展所帶來的威脅問題。

1、生成式人工智能（AI）：2022年11月，隨著OpenAI的ChatGPT公開亮相，生成式人工智能成為2023年最熱門的話題。該術(shù)語廣泛描述了機器學習系統(tǒng)，其能夠響應(yīng)用戶輸入的提示生成文本、圖像、代碼或其他類型內(nèi)容。而現(xiàn)實是，生成式人工智能在設(shè)計和實現(xiàn)過程中對安全或隱私的關(guān)注太少，其能立即被威脅行為者武器化。

威脅行為者能利用生成式人工智能制造虛假信息，能使deepfake的創(chuàng)建讓任何人使用。在暗網(wǎng)論壇上，惡意生成式人工智能已經(jīng)能生成惡意代碼，協(xié)助復(fù)雜的深度偽造創(chuàng)建，并大規(guī)模生產(chǎn)更聰明、更現(xiàn)實的商業(yè)電子郵件妥協(xié)（BEC）活動。

2、Zoom的端到端加密：視頻會議平臺Zoom在2020年引入了端到端的加密，以增強用戶隱私。然而，安全研究人員發(fā)現(xiàn)，Zoom的這項實施存在重大漏洞，這可能會影響數(shù)百萬依賴該平臺進行安全通信的用戶。

3、WhatsApp的加密后門：WhatsApp在2017年實現(xiàn)了端到端加密，以保護用戶消息。但是，其有一個漏洞允許攻擊者利用后門進行攻擊。

4、英特爾的主動管理技術(shù)（AMT）漏洞：英特爾的AMT旨在促進設(shè)備的遠程管理，其無意中存在一個關(guān)鍵漏洞，可使攻擊者能夠獲得對系統(tǒng)的未經(jīng)授權(quán)訪問。

5、Google+API Bug：2018年，Google+推出了允許用戶選擇共享信息的功能。然而，API中的一個缺陷暴露了不應(yīng)公開的用戶數(shù)據(jù)，最終其影響了50萬左右的用戶。

6、智能物聯(lián)網(wǎng)設(shè)備：智能攝像頭和語音助手等物聯(lián)網(wǎng)設(shè)備給社會群體帶來了便利，但這也帶來了一定的風險和漏洞。其薄弱的安全措施使黑客能夠遠程訪問設(shè)備。

7、臉書的好友權(quán)限：2018年，臉書允許用戶授予第三方應(yīng)用程序訪問其好友數(shù)據(jù)的權(quán)限，無意中為劍橋分析公司提供了便利，最終成為了丑聞。

8、手機生物識別認證：智能手機制造商推出了面部識別和指紋傳感器等生物識別認證方法。然而，研究人員證明，使用照片或3D模型同樣可以正常通過。

9、Spectre和Meltdown CPU漏洞：這些漏洞通過設(shè)計OEM功能來提高多個供應(yīng)商的中央處理器（CPU）性能，從而允許各種程序（包括網(wǎng)絡(luò)應(yīng)用程序和瀏覽器）查看受保護內(nèi)存區(qū)域的內(nèi)容，這些內(nèi)存區(qū)域包含密碼、登錄名、加密密鑰、緩存文件和其他敏感數(shù)據(jù)。

10、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)：2016年，Mirai僵尸網(wǎng)絡(luò)啟用了大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊。這是最嚴重的黑客攻擊之一，因為犯罪分子可聯(lián)網(wǎng)數(shù)百萬的嬰兒監(jiān)視器、防盜報警器、攝像頭、恒溫器和打印機等物聯(lián)網(wǎng)設(shè)備，以發(fā)動大量的攻擊，這能削弱個人連接互聯(lián)網(wǎng)和亞馬遜、網(wǎng)飛、推特等大公司網(wǎng)站的能力，每次長達數(shù)小時。

國外安全專家表示，如果一個組織不采取積極措施保護自己，并對這些事件做出反應(yīng)，那么就可能會對其聲譽、發(fā)展造成災(zāi)難性影響。IDC的《全球安全支出指南》預(yù)測，2023年全球安全解決方案的支出將達到2190億美元，與2022年相比增長了12.1%。這些數(shù)字不包括事件或違規(guī)響應(yīng)費用，而這些費用會成倍增加受影響組織的成本。

02

基本的安全衛(wèi)生是企業(yè)的最佳選擇

國外安全專家指出，雖然這些缺陷中只有一些科技已經(jīng)完全被武器化，可以竊取有價值的信息，也可以擾亂業(yè)務(wù)，但它們也都可以在多戰(zhàn)線攻擊中發(fā)揮作用，因此各組織必須采取行動。幸運的是，除了在安全解決方案上進行巨額投資，組織還可以采取以下預(yù)防措施：

1、定期修補、更新系統(tǒng)和應(yīng)用程序。

2、定期且頻繁地測試備份。

3、強化系統(tǒng)監(jiān)控流程。

4、采取縱深防御方式。

5、全面審查業(yè)務(wù)部門跨職能事件響應(yīng)計劃。