【51CTO.com快譯】去年充斥著網(wǎng)絡(luò)安全災(zāi)難，從數(shù)十億微芯片爆出安全漏洞到大規(guī)模數(shù)據(jù)泄露和使用惡意軟件的攻擊，惡意軟件鎖住計(jì)算機(jī)系統(tǒng)直到受害者支付贖金(通常是追蹤不了的數(shù)字貨幣)。

[[255116]]

我們會(huì)在2019年看到更多的大規(guī)模泄密和勒索軟件攻擊。安全團(tuán)隊(duì)的重中之重是針對(duì)諸如此類的既有風(fēng)險(xiǎn)作好規(guī)劃，比如對(duì)聯(lián)網(wǎng)的消費(fèi)級(jí)設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施(比如電網(wǎng)和交通運(yùn)輸系統(tǒng))構(gòu)成的威脅。但網(wǎng)絡(luò)防御者還應(yīng)關(guān)注新的威脅。下面是值得關(guān)注的幾大風(fēng)險(xiǎn)：

1. 利用AI生成的偽造視頻和音頻

由于人工智能的進(jìn)步，現(xiàn)在可以制作偽造的視頻和音頻消息，幾乎能以假亂真。這些“深度偽造”內(nèi)容可能在幾個(gè)方面給黑客帶來福音。事實(shí)已證明，旨在誘騙人們交出密碼及其他敏感數(shù)據(jù)的AI生成的“網(wǎng)絡(luò)釣魚”電子郵件比人類生成的釣魚郵件更有效?，F(xiàn)在，黑客將能夠增添非常逼真的偽造視頻和音頻，補(bǔ)充網(wǎng)絡(luò)釣魚電子郵件中的指令或作為一個(gè)獨(dú)立的花招。

網(wǎng)絡(luò)犯罪分子還可能利用這項(xiàng)技術(shù)來操縱股價(jià)，比如發(fā)布CEO宣布公司面臨融資問題或其他危機(jī)的虛假視頻。還存在這個(gè)危險(xiǎn)：深度偽造內(nèi)容可能被用來在選舉中傳播虛假新聞，引發(fā)地緣政治緊張局勢(shì)。

這類策略曾經(jīng)需要有大型電影制片廠的資源，而現(xiàn)在只要有一臺(tái)像樣的電腦和功能強(qiáng)大的顯卡，誰都能做到。初創(chuàng)公司在開發(fā)檢測深度偽造內(nèi)容的技術(shù)，但尚不清楚效果會(huì)如何。與此同時(shí)，唯一真正的防線是安全意識(shí)培訓(xùn)，讓人們意識(shí)到這個(gè)風(fēng)險(xiǎn)。

2. 毒害AI防御系統(tǒng)

安全公司紛紛采用AI模型，以此幫助預(yù)測和檢測網(wǎng)絡(luò)攻擊。然而，狡猾的黑客可能會(huì)企圖破壞這些防御系統(tǒng)。安全公司Endgame的首席執(zhí)行官Nate Fick說：“AI可以幫助我們辨別干擾信息和有用信息，但也會(huì)落在壞人的手里。”生成最狡猾的攻擊的也是AI。

生成式對(duì)抗網(wǎng)絡(luò)(GAN)讓兩個(gè)神經(jīng)網(wǎng)絡(luò)互相對(duì)立，可用來猜測防御者在其AI模型中使用什么算法。另一個(gè)風(fēng)險(xiǎn)是，黑客鎖定用于訓(xùn)練模型的數(shù)據(jù)集，并毒害它們――比如更換惡意代碼樣本上的標(biāo)簽，表明它們是安全的而不是可疑的。

3. 黑入智能合約

智能合約是存儲(chǔ)在區(qū)塊鏈上的軟件程序，如果滿足編碼在其中的條件，就自動(dòng)執(zhí)行某種數(shù)字資產(chǎn)交換。創(chuàng)業(yè)家們聲稱智能合約用途廣泛，從轉(zhuǎn)賬到知識(shí)產(chǎn)權(quán)保護(hù)，不一而足。但智能合約的發(fā)展還處于早期階段，研究人員在發(fā)現(xiàn)一些智能合約的漏洞。黑客也在發(fā)現(xiàn)，他們已利用漏洞竊取了數(shù)百萬美元的加密貨幣。

根本問題是區(qū)塊鏈被設(shè)計(jì)成透明的。因此，確保與智能合約有關(guān)的數(shù)據(jù)私密性是個(gè)挑戰(zhàn)。Dawn Song是加州大學(xué)伯克利分校的教授，也是Oasis Labs的首席執(zhí)行官，這家初創(chuàng)公司正致力于利用特殊硬件將保護(hù)隱私的技術(shù)做入到智能合約平臺(tái)中。他說：“我們需要將這種技術(shù)做入到智能合約平臺(tái)上。”

4. 使用量子計(jì)算機(jī)破解加密

安全專家預(yù)測，量子計(jì)算機(jī)利用量子物理學(xué)的奇特現(xiàn)象來大幅提升處理能力，可以破解目前有助于保護(hù)從電子商務(wù)交易到健康記錄等所有內(nèi)容的加密。

量子機(jī)器仍然處于起步階段，可能好幾年后才會(huì)構(gòu)成嚴(yán)重威脅。但是，像軟件可以遠(yuǎn)程更新的汽車這類產(chǎn)品在十年或更久以后仍會(huì)使用。今天集成到這些產(chǎn)品中的加密最終很可能在量子攻擊面前不堪一擊。用于保護(hù)需要存儲(chǔ)多年的敏感數(shù)據(jù)(比如財(cái)務(wù)記錄)的代碼也是如此。

一群美國量子專家最近的一份報(bào)告敦促企業(yè)組織開始采用能夠抵御量子攻擊的新型和即將出現(xiàn)的加密算法。美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)等政府組織也在制定標(biāo)準(zhǔn)，以便后量子加密更容易抵御量子攻擊。

5. 來自計(jì)算云的攻擊

對(duì)黑客來說，將其他公司的數(shù)據(jù)托管在自家服務(wù)器上或遠(yuǎn)程管理客戶的IT系統(tǒng)的公司是超級(jí)誘人的目標(biāo)。若能闖入這些公司的系統(tǒng)，黑客也可以訪問其客戶的那些系統(tǒng)。亞馬遜和谷歌等各大云計(jì)算公司有能力大力投資于網(wǎng)絡(luò)安全防御，并支付高薪，以吸引這個(gè)領(lǐng)域的一些頂尖人才。這并不能使它們免受攻擊，但黑客更有可能盯上小公司。

這一幕開始出現(xiàn)了。美國政府最近指控中國黑客潛入一家為其他公司管理IT的公司的系統(tǒng)。據(jù)稱，黑客趁機(jī)闖入了全球45家公司的計(jì)算機(jī)，涉及航空和石油天然氣勘探等多個(gè)行業(yè)。

這種攻擊只是冰山一角。專注于網(wǎng)絡(luò)安全領(lǐng)域的風(fēng)險(xiǎn)投資公司Rain Capital的創(chuàng)始人Chenxi Wang表示，“你會(huì)看到[黑客]的關(guān)注點(diǎn)從桌面惡意軟件轉(zhuǎn)向規(guī)模經(jīng)濟(jì)效應(yīng)顯著的數(shù)據(jù)中心惡意軟件。”

我們列出的其他一些風(fēng)險(xiǎn)可能不像這個(gè)風(fēng)險(xiǎn)來得緊迫。但是說到網(wǎng)絡(luò)安全，應(yīng)對(duì)未來威脅方面準(zhǔn)備最充分的公司將是最愿意在今天發(fā)揮想象力的公司。

原文標(biāo)題：Five emerging cyber-threats to worry about in 2019，作者：Martin Giles

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】