在每年的RSAC大會上，網(wǎng)絡(luò)安全研究與培訓(xùn)機(jī)構(gòu)SANS Institute都會對當(dāng)前網(wǎng)絡(luò)安全攻擊技術(shù)的發(fā)展特點(diǎn)和趨勢進(jìn)行介紹，以幫助企業(yè)安全領(lǐng)導(dǎo)者洞察不斷變化的威脅狀況，并防患于未然。日前，SANS的安全專家們在今年的大會上發(fā)表了其最新研究成果，對2023年度最值得關(guān)注的5種新興網(wǎng)絡(luò)攻擊技術(shù)及其特點(diǎn)進(jìn)行了介紹。

01對抗性AI攻擊

對抗性攻擊是指利用AI模型中的不足和漏洞，破壞AI模型用來學(xué)習(xí)的數(shù)據(jù)，并生成能夠欺騙模型的對抗樣本。這些樣本看起來與正常數(shù)據(jù)非常相似，但是卻能夠?qū)е履Ｐ彤a(chǎn)生錯誤的輸出結(jié)果。目前，對抗性攻擊已經(jīng)成為了人工智能技術(shù)應(yīng)用領(lǐng)域中一個非常重要的研究方向。

在對抗性攻擊中，攻擊者會用多種方法生成對抗樣本，例如快速梯度符號方法（FGSM）、基于梯度的優(yōu)化方法（BIM）、投影算法攻擊（PGD）等。這些方法都是通過對原始數(shù)據(jù)進(jìn)行擾動，從而欺騙AI模型。

SANS研究員、攻擊性網(wǎng)絡(luò)作戰(zhàn)研究負(fù)責(zé)人Stephen Sims表示：就對抗性AI攻擊而言，威脅分子通過操縱AI工具，可以更方便地識別復(fù)雜應(yīng)用系統(tǒng)中存在的安全漏洞。從簡化惡意軟件編碼流程到普及社會工程伎倆，對抗性AI已經(jīng)改變了攻防對抗中的游戲規(guī)則。為此，組織需要部署縱深化防御的安全模式，提供層次化保護(hù)、自動化檢測和響應(yīng)操作，并支持更有效的事件處理流程。

02利用ChatGPT的社會工程攻擊

ChatGPT可以非常真實(shí)流暢地模仿人類寫作，這個特點(diǎn)使其有可能成為一種強(qiáng)大的網(wǎng)絡(luò)釣魚和社會工程工具，特別是當(dāng)威脅分子需要進(jìn)行跨語種的欺詐攻擊時，ChatGPT可能被用來更有效地分發(fā)惡意軟件。

SANS研究員Heather Mahalik表示，在ChatGPT技術(shù)加持下的社會工程攻擊會更具欺騙性和危害性，這也意味著企業(yè)組織將比以往任何時候都更容易受到傷害，只需誤點(diǎn)擊一個惡意文件，就可能使整個公司面臨風(fēng)險。在這種更嚴(yán)峻的攻擊面管理挑戰(zhàn)下，需要組織自上而下倡導(dǎo)網(wǎng)絡(luò)謹(jǐn)慎文化，以確保員工能夠提前認(rèn)識到與ChatGPT相關(guān)的攻擊。

03SEO優(yōu)化攻擊

SEO搜索引擎優(yōu)化技術(shù)已經(jīng)被廣大網(wǎng)站運(yùn)營者廣泛使用，但它同樣可以被網(wǎng)絡(luò)攻擊者所使用，使得非法欺詐網(wǎng)站的訪問量大幅提高，從而提升攻擊活動的成功率。SANS認(rèn)證講師Katie Nickels表示，SEO優(yōu)化攻擊是一種危險的新興攻擊方法。攻擊者們開始大量利用常用的網(wǎng)絡(luò)推廣策略，以實(shí)現(xiàn)其非法攻擊目標(biāo)。

在這種攻擊情況下，攻擊者利用SEO關(guān)鍵字誘騙受害者訪問欺騙網(wǎng)站、下載惡意文件，通過漏洞利用實(shí)現(xiàn)遠(yuǎn)程用戶訪問，還會使用一些技巧保護(hù)惡意樣本長期潛伏。SEO優(yōu)化攻擊表明網(wǎng)絡(luò)攻擊者開始變得更加積極主動，他們逐漸拋棄那些容易防御的傳統(tǒng)攻擊技術(shù)。為了應(yīng)對SEO優(yōu)化攻擊，企業(yè)組織需要實(shí)施更有針對性的安全意識培訓(xùn)計(jì)劃。

04惡意廣告利用攻擊

與利用SEO優(yōu)化技術(shù)來擴(kuò)大惡意網(wǎng)站的訪問類似，攻擊者還在利用付費(fèi)的廣告搜索技術(shù)，來提升欺詐網(wǎng)站的搜索引擎展示效果。盡管SEO優(yōu)化攻擊和惡意廣告利用攻擊使用的都不是全新技術(shù)，但是研究人員認(rèn)為，這些攻擊在2023年會變得非常流行。

SANS研究員Nniels表示，通過惡意廣告利用，可以人為地提高某些非法惡意網(wǎng)站搜索排名，從而誤導(dǎo)受害者。以一款名為Blender的免費(fèi)3D圖形軟件的模仿廣告為例。當(dāng)用戶搜索這個關(guān)鍵詞時，排在最上部的三個網(wǎng)站鏈接都指向了惡意的欺詐網(wǎng)站，直到第四個結(jié)果，用戶才能訪問到真正合法的軟件網(wǎng)站。而那些非法的惡意網(wǎng)站看起來和真正的Blender官網(wǎng)幾乎完全相同，一般用戶很難分別其真?zhèn)巍?/p>

05軟件供應(yīng)鏈攻擊

研究數(shù)據(jù)顯示，現(xiàn)代軟件系統(tǒng)的底層代碼中超過90%都是開源的，這意味著幾乎所有軟件的研發(fā)與應(yīng)用都存在著一條供應(yīng)鏈，包括各種組件的引用，以及在軟件設(shè)計(jì)、開發(fā)、測試、部署和維護(hù)期間所涉及的各種環(huán)節(jié)，安全漏洞隨時可能出現(xiàn)，因此在企業(yè)軟件供應(yīng)鏈中可能導(dǎo)致安全風(fēng)險的因素也非常復(fù)雜。

SANS Technology Institute研究院院長Johannes Ullrich博士表示，軟件供應(yīng)鏈攻擊已經(jīng)成為現(xiàn)代企業(yè)組織必須高度重視的最危險攻擊方式之一。2022年的LastPass漏洞事件就是最好的證明，攻擊者會利用第三方軟件漏洞繞過現(xiàn)有控制措施并訪問特權(quán)環(huán)境。對于各大行業(yè)的企業(yè)組織而言，LastPass漏洞攻擊再次強(qiáng)調(diào)了要與第三方軟件供應(yīng)商保持緊密合作的重要性，以便實(shí)現(xiàn)整體的安全架構(gòu)、分享威脅情報(bào)，并熟悉不斷發(fā)展的攻擊技術(shù)。企業(yè)組織在解決軟件供應(yīng)鏈安全問題時，需要基于軟件應(yīng)用的全生命周期來考慮，監(jiān)控和保護(hù)其中的每個環(huán)節(jié)。

參考鏈接：https://www.csoonline.com/article/3694892/5-most-dangerous-new-attack-techniques.html