为管理分布式复杂网络,公司企业采用人工智能(AI)和机器学习来自动化通常需要高度人工监督与干预的繁琐耗时任务。这一安全生态系统的转型促使网络罪犯也转向了相同的方向。
Fortinet《2019威胁态势预测》揭示了5种新兴恶意趋势:
1. AI模糊测试
因为针对的是未知威胁方法,利用零日漏洞是个特别有效的网络犯罪战术。幸运的是,网络罪犯想要发现并利用零日漏洞也是需要大量时间和专业技能的,因而零日漏洞攻击并不多见。零日漏洞发现与利用需要一种名为模糊测试的技术。
模糊测试技术常为专业威胁研究人员在实验室环境中所用,是用于发现硬件、软件接口及应用中漏洞的复杂技术。通过向接口或程序注入无效、非预期或半随机数据后再观察各种异常情况,比如程序崩溃、非法调试程序跳转、代码断言失败、潜在内存泄漏等,研究人员便可以发现被测对象中的未知漏洞。尽管使用模糊测试发现零日漏洞目前还是大多数网络罪犯能力范围之外的事,随着AI和机器学习模型被应用到这一过程上,零日漏洞发现也开始变得更为高效。因此,零日漏洞利用相对罕见的情况将发生改变,网络设备与系统防护将受到重大影响。
2. 持续不断的零日漏洞
虽然野生已知漏洞利用程序很多,网络罪犯实际上只利用了其中6%。但为保证有效防护,安全工具却必须覆盖全部,因为你没办法知道罪犯到底使用的是哪6%。而且,随着潜在威胁数量持续上升,随着潜在漏洞利用版图不断扩张,安全工具的性能要求也在不断攀升。为跟上威胁发展步调,安全工具需得在锁定监测目标上变得更加智能。
零信任环境之类的框架可能在应对威胁规模扩大方面有一定作用,但可以说,绝大多数人尚未准备好面对即将到来的下一代威胁——尤其是AI模糊测试技术将很快开始发现的那些。传统安全方法,比如打补丁或监测已知攻击,将因为无法预测设备的哪个方面会被漏洞利用而逐渐淘汰。在零日漏洞攻击可能无穷无尽且高度商品化的世界里,甚至沙箱之类就是为检测未知威胁而设计出来的工具,都有可能很快便不堪重负。
3. 蠕虫即服务
蠕虫智能技术的发展正将我们带入蠕虫僵尸网络可协作自主地碾压现有防御的现实。此类蠕虫网络不仅会提升防御技术的门槛,还会对底层犯罪商业犯罪模式产生影响,令网络罪犯机会大增,就像零日漏洞挖掘一样。
当前的犯罪生态系统主要还是人力驱动的。职业黑客打造定制漏洞利用在黑市售卖,甚至勒索软件即服务之类的新鲜事物也要求黑帽子工程师维护不同资源。但如果交付自治、自学习的蠕虫即服务,客户与黑帽子商人之间的直接交互量就会显著下降,从而使黑客在减少风险的同时还提升收益。
4. 定制蠕虫
将蠕虫划分至多个任务以达成所需产出与虚拟化非常类似。在虚拟化网络中,资源可按需启动或关闭虚拟机以解决特定问题,比如带宽。与之类似,蠕虫网络中的资源也可以分配或重分配去解决攻击链中遇到的特定问题。蠕虫即服务环境中,黑客商人应能以多种分析工具及漏洞利用程序重编程蠕虫,从入侵策略到逃逸和秘密数据渗漏都是黑客供货单上的选项。而且,因为蠕虫从设计上就有自治属性,它们几乎不需要来自蠕虫主人的交互或反馈,也不存在大多数漏洞利用程序的痛点——命令与控制中心。
5. 机器学习中毒
机器学习是大有前景的网络安全工具之一,可以训练设备及系统自主执行特定任务,比如划定基线行为、应用行为分析识别高级威胁,或者在面对复杂威胁时采取有效应对。繁琐人工任务,比如跟踪和修复设备,也可以交给经过恰当训练的系统来处理。然而,该过程也是把双刃剑。机器学习无关善恶,不良输入也会被当成良好输入来处理。网络罪犯可以通过给机器学习过程下毒,来训练设备或系统不在特定设备上应用补丁或更新,忽略特定类型的应用或行为,甚至不去记录特定流量,以便更好地规避检测。
为明日威胁做好准备
公司企业需重新思考自身当前安全策略,才能够理解某些具有前瞻性思维的恶意黑客所选定的道路。鉴于当今威胁态势全球化的本质,公司企业必须以机器速度响应威胁。AI与机器学习可以帮助公司企业打赢网络攻防战。在分布式网络中部署的终端产品上集成进机器学习与AI,再结合自动化与创新,公司企业在面对越来越激进的网络犯罪时便能更有底气。但要记住,同样的工具也可以被网络罪犯利用来攻击你。所以,做好准备。
Fortinet《2019威胁态势预测》: