如今，越來越多的企業(yè)關(guān)注網(wǎng)絡(luò)安全。毫無疑問，網(wǎng)絡(luò)攻擊方式也越來越多，其中5種攻擊方式在企業(yè)遭受物聯(lián)網(wǎng)威脅的攻擊中越來越普遍。

[[394667]]

1. 內(nèi)置物聯(lián)網(wǎng)威脅

網(wǎng)絡(luò)攻擊者利用物聯(lián)網(wǎng)帶來的風(fēng)險(xiǎn)與企業(yè)應(yīng)對(duì)這些風(fēng)險(xiǎn)準(zhǔn)備不足之間的差距進(jìn)行攻擊。

物聯(lián)網(wǎng)設(shè)備本質(zhì)上是不安全的，它們連接著網(wǎng)絡(luò)，這意味著網(wǎng)絡(luò)攻擊者有機(jī)會(huì)訪問和攻擊它們。物聯(lián)網(wǎng)設(shè)備通常缺乏諸如加密等基本的防護(hù)能力，并且其成本越來越低，使用戶可以輕松地部署大量物聯(lián)網(wǎng)設(shè)備，為物聯(lián)網(wǎng)威脅帶來了更多的機(jī)會(huì)。根據(jù)統(tǒng)計(jì)，到2021年底，全球可能有350億個(gè)物聯(lián)網(wǎng)設(shè)備。

據(jù)調(diào)查，很多企業(yè)的IT團(tuán)隊(duì)可能沒有授權(quán)或甚至不知道使用的物聯(lián)網(wǎng)設(shè)備。物聯(lián)網(wǎng)設(shè)備成為勒索軟件攻擊的首選目標(biāo)。僵尸網(wǎng)絡(luò)、高級(jí)持久性威脅、分布式拒絕服務(wù)(DDoS)攻擊、身份盜竊、數(shù)據(jù)盜竊、中間人攻擊、社交工程攻擊和其他攻擊也是網(wǎng)絡(luò)攻擊者選擇的措施。

物聯(lián)網(wǎng)威脅和那些攻擊數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)威脅將與2021年的其他發(fā)展趨勢(shì)相互交織。在自動(dòng)化程度不斷提高的世界里，許多網(wǎng)絡(luò)攻擊都集中在供應(yīng)鏈和制造業(yè)上。物聯(lián)網(wǎng)在這些領(lǐng)域得到了廣泛的應(yīng)用，而更新設(shè)備并不總是首要任務(wù)。當(dāng)企業(yè)遇到更多新的物聯(lián)網(wǎng)攻擊時(shí)，有一個(gè)問題尤為重要，可以更新老化的固件來提供它所需要的防御功能嗎?

2. 物聯(lián)網(wǎng)威脅中的人工智能

2021年很可能是人工智能驅(qū)動(dòng)物聯(lián)網(wǎng)威脅的元年，這并不奇怪。

基于人工智能的網(wǎng)絡(luò)攻擊自從2007年以來日益增長(zhǎng)，主要用于社交工程攻擊(模擬人類聊天)和增強(qiáng)DDoS攻擊。，一篇關(guān)于人工智能威脅的研究文章在2018年發(fā)表，討論了惡意使用人工智能技術(shù)的問題。

隨著時(shí)間的推移，更完善的算法將會(huì)更好地模仿網(wǎng)絡(luò)上的用戶，并阻止尋找不良行為的檢測(cè)系統(tǒng)的檢測(cè)。網(wǎng)絡(luò)攻擊中使用人工智能的最新發(fā)展是用于構(gòu)建和使用人工智能系統(tǒng)的工具的民主化。網(wǎng)絡(luò)威脅參與者現(xiàn)在能夠自行構(gòu)建人工智能工具，而幾年前只有研究人員才能構(gòu)建。

人工智能系統(tǒng)比人類更擅長(zhǎng)執(zhí)行物聯(lián)網(wǎng)威脅的許多元素，例如重復(fù)性任務(wù)、交互式響應(yīng)和處理大規(guī)模的數(shù)據(jù)集。一般來說，人工智能將幫助網(wǎng)絡(luò)攻擊者擴(kuò)大他們的物聯(lián)網(wǎng)威脅，使其實(shí)現(xiàn)自動(dòng)化，并使其更加靈活。

而且，不要只在2021年尋找新的基于人工智能的物聯(lián)網(wǎng)威脅。與其相反，需要尋找常見的，并且部署速度更快、規(guī)模更大、更靈活的網(wǎng)絡(luò)漏洞和其他攻擊。

3. 成為物聯(lián)網(wǎng)威脅的Deepfake

越來越多的網(wǎng)絡(luò)攻擊者采用Deepfake視頻等工具進(jìn)行物聯(lián)網(wǎng)攻擊，例如暴力攻擊和欺騙性生物特征識(shí)別。例如，大學(xué)研究人員的研究證明了生成對(duì)抗網(wǎng)絡(luò)(GAN)技術(shù)可以強(qiáng)行使用Deepfake模擬的指紋。他們通過數(shù)千次嘗試以強(qiáng)行使用密碼的方式來執(zhí)行這一操作。

實(shí)際上，人們已經(jīng)看到在惡意攻擊中使用了Deepfake技術(shù)。Deepfake涉及偽造的聲音。例如網(wǎng)絡(luò)攻擊者模擬了一名首席執(zhí)行官的聲音，打電話給其員工命令其轉(zhuǎn)帳，造成不必要的損失。

音頻和圖像偽造技術(shù)如今日益成熟，也就是說，可以創(chuàng)建大多數(shù)人無法分辨的聲音和照片。Deepfake更高級(jí)的使用是視頻。時(shí)至今日，以這種方式制作的視頻仍然看起來很神奇。但是，網(wǎng)絡(luò)攻擊者還可以使Deepfake視頻更加完善，從而使視頻通話在社交工程攻擊中更具說服力，這只是時(shí)間問題。他們還可以將偽造的視頻用于網(wǎng)絡(luò)破壞和勒索。

4. 更專業(yè)的網(wǎng)絡(luò)犯罪

網(wǎng)絡(luò)攻擊者在技術(shù)和措施方面不斷完善。這種物聯(lián)網(wǎng)威脅的長(zhǎng)期趨勢(shì)將繼續(xù)下去，因?yàn)?021年將有更多的專業(yè)化攻擊和外包行為。網(wǎng)絡(luò)攻擊者將會(huì)追求更多的利益。而一次網(wǎng)絡(luò)攻擊就可能涉及多個(gè)團(tuán)本，每個(gè)團(tuán)體都擅長(zhǎng)執(zhí)行各自的任務(wù)。

例如，一個(gè)團(tuán)體可能專門從事信息收集和竊取，然后在暗網(wǎng)上出售有價(jià)值信息，而另一方可能購(gòu)買這些信息，然后通過社會(huì)工程技術(shù)詐騙受害者。該團(tuán)隊(duì)聘請(qǐng)?jiān)O(shè)計(jì)師來制作更具說服力的電子郵件。一旦他們獲得訪問權(quán)限，就可以雇用技術(shù)專家進(jìn)行勒索軟件、比特幣挖礦和其他攻擊。

就像企業(yè)從專業(yè)化、多元化和業(yè)務(wù)外包中受益一樣，物聯(lián)網(wǎng)攻擊者也是如此。

5. 政府層面的資助和犯罪攻擊之間的細(xì)分

上述趨勢(shì)(專業(yè)化和外包化)將進(jìn)一步模糊政府層面資助的網(wǎng)絡(luò)攻擊與犯罪攻擊之間的界限。許多獲得政府資助的網(wǎng)絡(luò)攻擊實(shí)際上是由與政府機(jī)構(gòu)有聯(lián)系的犯罪團(tuán)伙實(shí)施的，其中包括軍事和間諜機(jī)構(gòu)。

隨著專業(yè)化和外包工具的增加，一些國(guó)家希望獲得物聯(lián)網(wǎng)威脅等網(wǎng)絡(luò)攻擊的成果。他們將雇傭網(wǎng)絡(luò)攻擊者來從事特定的惡意攻擊工作。

毫無疑問，網(wǎng)絡(luò)安全領(lǐng)域?qū)⒊蔀?021年令人關(guān)注的領(lǐng)域。企業(yè)需要重點(diǎn)關(guān)注物聯(lián)網(wǎng)威脅的這五個(gè)發(fā)展趨勢(shì)。