信息化觀察網(wǎng)

本文來自微信公共號“安全牛”。

Forrester近日發(fā)布《2024年網(wǎng)絡(luò)安全威脅預(yù)測報告》指出，人工智能正重塑網(wǎng)絡(luò)安全格局，武器化大語言模型正成為首選攻擊工具，安全團隊在應(yīng)對武器化人工智能攻擊方面將面臨日益嚴峻的挑戰(zhàn)。

此外，F(xiàn)orrester還預(yù)測2024年網(wǎng)絡(luò)安全行業(yè)將面臨諸多新興威脅，熱點包括深度偽造、APT組織和網(wǎng)絡(luò)犯罪團伙兜售的“勒索軟件即服務(wù)”、FraudGPT惡意大模型、物聯(lián)網(wǎng)攻擊服務(wù)，以及無痕攻擊（無法被網(wǎng)絡(luò)安全系統(tǒng)檢測到的定制化惡意軟件攻擊）。

根據(jù)CrowdStrike最新發(fā)布的《2024年全球威脅報告》顯示，無痕攻擊在所有攻擊事件中的占比從2022年的71%上升到2023年的75%。

數(shù)據(jù)泄露平均成本高達218萬美元

2024年企業(yè)網(wǎng)絡(luò)安全態(tài)勢空前嚴峻。Forrester最近針對安全和風險管理專業(yè)人士的調(diào)查發(fā)現(xiàn)，近八成(78%)的受訪者表示其組織的敏感數(shù)據(jù)在過去12個月中至少被泄露或入侵過一次。報告指出：“一次成功的網(wǎng)絡(luò)攻擊會成為未來攻擊的信號彈。”對比2022年和2023年的安全調(diào)查數(shù)據(jù)，過去12個月內(nèi)經(jīng)歷過6到10次攻擊的受訪者比例增加了13%。

48%的受訪者曾遭遇過損失超過100萬美元的網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露事件。其中大多數(shù)數(shù)據(jù)泄露事件的修復(fù)成本在200萬至500萬美元之間(27%)，還有3%的事件的修復(fù)成本超過1000萬美元。

數(shù)據(jù)泄露的平均預(yù)估成本為218萬美元。接受采訪的每3位安全和風險管理專業(yè)人士中就有1位遭受過總損失額在200萬至1000萬美元以上的數(shù)據(jù)泄露事件。——Forrester

Forrester評選的2024年五大安全威脅

利用虛假信息操縱輿論、日益增長的深度造假風險、生成式人工智能數(shù)據(jù)泄露、人工智能軟件供應(yīng)鏈漏洞以及太空安全是Forrester今年警告的五大安全威脅。下面將逐一進行概述。

01

大選年的敘事（輿論）操控攻擊

輿論操控攻擊通過操縱信息、破壞其可信度來抹黑或扭曲敘事的真實含義。Forrester的報告寫道：“新技術(shù)使傳播復(fù)雜的虛假信息和錯誤信息變得更加輕松快捷。2024年將有64個國家舉行選舉，因此旨在塑造輿論和影響行為的敘事操控攻擊將尤為盛行。”

Forrester指出，俄羅斯國家攻擊者就曾利用輿論操控攻擊試圖在美國和墨西哥邊境爭論問題上挑動政治分歧。美國情報界最近發(fā)布的《2024年年度威脅評估》詳細解釋了國家攻擊者如何利用輿論操控攻擊和其他技術(shù)擾亂外交政策和選舉。

02

深度偽造引發(fā)身份安全危機

深度造假是快速增長的威脅之一，其背后的推動力包括易于獲取的廉價計算能力、生成式人工智能算法（包括生成對抗網(wǎng)絡(luò)(GAN)和自動編碼器）以及用于轉(zhuǎn)換人物圖像（例如換臉）的移動應(yīng)用程序激增。其目標是創(chuàng)建具有高度音視頻可信度的逼真人物形象。深度偽造通常用于創(chuàng)建用于欺詐、實施勒索軟件攻擊、竊取數(shù)據(jù)和知識產(chǎn)權(quán)(IP)的合成身份。

Forrester指出，一些深度偽造案例被用于操縱股價、損害企業(yè)聲譽和品牌、降低員工和客戶體驗以及放大錯誤信息。識別和阻止深度偽造威脅需要能夠檢測音頻和圖像篡改的算法。

Forrester建議IT和安全團隊研究如何使用身份驗證器應(yīng)用程序來控制媒體源，并通過額外的驗證和保護層封裝面部和語音生物識別技術(shù)，包括行為生物識別、設(shè)備ID指紋識別/信譽、機器人管理和檢測、數(shù)字技術(shù)欺詐管理和無密碼身份驗證。

03

生成式人工智能數(shù)據(jù)泄露

對于許多CISO來說，防御生成式人工智能泄露敏感數(shù)據(jù)的重點是提示工程、提示注入和重復(fù)提示攻擊。隨著越來越多的企業(yè)引入基于生成人工智能的應(yīng)用程序，數(shù)據(jù)泄露風險正不斷累積。鑒于微軟Copilot、Salesforce Einstein GPT、Anthropic的Claude或Perplexity等大語言模型工具帶來的生產(chǎn)力提升，CISO并不愿意完全禁止使用這些工具。

Forrester指出，目前已經(jīng)涌現(xiàn)出一些用于內(nèi)容分析和過濾的新技術(shù)，包括PrivateAI、Prompt Security、ProtectAI和數(shù)據(jù)泄露防護(DLP)供應(yīng)商，這些供應(yīng)商正試圖重新定位或轉(zhuǎn)向提供此領(lǐng)域的安全控制。此外，思科、CradlePoint的Ericom生成人工智能數(shù)據(jù)泄露防護、Menlo Security、Nightfall A.I、Wiz和Zscaler是市場上提供此類安全方案的代表性廠商。

其中，CradlePoint的獨特之處在于它依賴于無客戶端方法，該方法在Ericom云平臺內(nèi)的虛擬瀏覽器中執(zhí)行用戶與生成人工智能網(wǎng)站的交互。CradlePoint表示，這種方法能夠在其云平臺中部署數(shù)據(jù)丟失防護和訪問策略控制。通過將所有流量路由到專有云平臺，可以防止將個人身份信息(PII)或其他敏感數(shù)據(jù)提交到ChatGPT等生成式人工智能網(wǎng)站。

04

人工智能軟件供應(yīng)鏈攻擊

在人工智能軟件供應(yīng)鏈的源代碼中嵌入惡意可執(zhí)行程序是一種特別難以防范的威脅。攻擊軟件供應(yīng)鏈并制造混亂是勒索軟件攻擊者偏愛的策略。國家黑客攻擊者、網(wǎng)絡(luò)犯罪集團和高級持續(xù)威脅(APT)組織也經(jīng)常攻擊軟件供應(yīng)鏈，因為它們從來都是軟件公司或企業(yè)防御最薄弱的環(huán)節(jié)。

值得注意的是，在短短一年內(nèi)，91%的企業(yè)成為軟件供應(yīng)鏈事件的受害者，這凸顯了對持續(xù)集成/持續(xù)部署(CI/CD)管道采取更好保護措施的必要性。

GitHub和Hugging Face是最受歡迎的開源模型和框架之一。在人工智能軟件供應(yīng)鏈入侵嘗試中，攻擊者還會尋找利用供應(yīng)鏈和框架的機會。Forrester援引了OpenAI的ChatGPT被泄露的事件，該事件是由于惡意行為者利用了Redis開源庫中的漏洞造成的。大語言模型只是高度復(fù)雜的AI生態(tài)系統(tǒng)的一小部分。

05

太空成為安全戰(zhàn)略高點

間諜衛(wèi)星和先進技術(shù)是各國攻擊武器庫的核心組成部分。美國外交關(guān)系委員會發(fā)現(xiàn)，2022年78%的國家網(wǎng)絡(luò)攻擊的目的是間諜活動，到2023年這一比例上升到82%。

衛(wèi)星正成為越來越需要保護的關(guān)鍵威脅面。2023年4月，網(wǎng)絡(luò)空間日光委員會敦促白宮將太空設(shè)施納入關(guān)鍵基礎(chǔ)設(shè)施范疇，此前俄羅斯在入侵烏克蘭期間攻擊了Viasat的衛(wèi)星網(wǎng)絡(luò)。2023年晚些時候，德國研究人員披露了衛(wèi)星技術(shù)中發(fā)現(xiàn)的巨大漏洞。鑒于不斷變化的地緣政治格局，衛(wèi)星供應(yīng)鏈正受到更嚴格的審查。

構(gòu)建更具網(wǎng)絡(luò)彈性的衛(wèi)星離不開強大的安全網(wǎng)絡(luò)為衛(wèi)星供應(yīng)鏈（包括地面和航天器）提供保護。截至2022年底，共有6718顆活躍衛(wèi)星環(huán)繞地球運行，預(yù)計到2030年還將發(fā)射5.8萬顆衛(wèi)星。美國國防情報局在其2022年《太空安全挑戰(zhàn)》報告中寫道：“太空正變得越來越軍事化。一些國家已經(jīng)開發(fā)、測試和部署了各種衛(wèi)星和反太空武器。中國和俄羅斯正在開發(fā)新的太空系統(tǒng)以提高其軍事能力并減少對美國太空系統(tǒng)的依賴。”