數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

随着2021年的到來(lái)，是時(shí)候來(lái)關注一下2021年以及網絡安全領域的新篇章。毫無疑問，可(kě)能的攻擊方式有(yǒu)很(hěn)多(duō)種，但(dàn)本文以下所列的五種攻擊類型在利用物聯網(IoT)威脅的攻擊者中，正變得(de)越來(lái)越流行(xíng)和(hé)普遍。

1.內(nèi)置物聯網威脅

在實體(tǐ)采用物聯網時(shí)，他們在威脅防範方面依然會(huì)落後于國防和(hé)指導部門(mén)。此外，威脅實施者會(huì)充分利用物聯網帶來(lái)的風險與實體(tǐ)在應對這些(xiē)風險所做(zuò)準備之間(jiān)的差距。

物聯網設備本質上(shàng)是不安全的。它們會(huì)連接到網絡，這意味着攻擊者也可(kě)以訪問它們。但(dàn)是物聯網設備缺乏加密等基本保護的處理(lǐ)能力。此外，它們往往十分重要但(dàn)價格不高(gāo)，用戶可(kě)以輕松部署大(dà)量的設備(到2021年底，全球IoT設備的總量可(kě)能達到350億台)。

IT可(kě)能未得(de)到授權，甚至可(kě)能不知道(dào)這些(xiē)設備。在很(hěn)多(duō)情況下，雇主甚至都沒有(yǒu)它們的所有(yǒu)權。

物聯網可(kě)能會(huì)成為(wèi)勒索軟件攻擊的首選目标。僵屍網絡、高(gāo)級持續性威脅、分布式拒絕服務(DDoS)攻擊、身份盜用、數(shù)據盜用、中間(jiān)人(rén)攻擊、社交工程攻擊等也可(kě)能會(huì)以物聯網作(zuò)為(wèi)攻擊媒介。

物聯網威脅，包括那(nà)些(xiē)針對數(shù)據庫的威脅，也與2021年的一些(xiē)其他趨勢有(yǒu)交疊。在自動化程度日益提高(gāo)的世界中，許多(duō)攻擊都将重點放在供應鏈和(hé)制(zhì)造領域。物聯網在這些(xiē)領域中使用得(de)非常廣泛，而設備更新并非總是第一優先事項。随着物聯網網絡遭遇更多(duō)新型攻擊，一個(gè)問題變得(de)尤為(wèi)重要，那(nà)就是：我們是否可(kě)以更新老化的固件，為(wèi)其提供所需的防護?

2.AI在IoT威脅中的作(zuò)用

在2021年，由AI驅動的物聯網威脅很(hěn)有(yǒu)可(kě)能會(huì)大(dà)行(xíng)其道(dào)。這一點并不奇怪。

自2007年以來(lái)，基于AI的攻擊一直都在發生(shēng)，主要用于社交工程攻擊(模拟人(rén)類聊天)和(hé)增強DDoS攻擊。2018年，在一份關于威脅的開(kāi)創性研究報告發表之後，對AI的惡意使用便出現在每個(gè)人(rén)的視(shì)野之中。

随着時(shí)間(jiān)的推移，更精細的算(suàn)法将能夠更好地模仿網絡上(shàng)的普通(tōng)用戶，進而阻止檢測系統發現異常行(xíng)為(wèi)。在網絡攻擊對AI的利用方面，近期的最大(dà)發展是用于構建和(hé)使用AI系統的工具已變得(de)“平民化”。威脅實施者現在可(kě)以構建AI工具，而在幾年前，隻有(yǒu)研究人(rén)員可(kě)以構建AI工具。

在執行(xíng)IoT威脅的許多(duō)元素(例如重複性任務、交互式響應和(hé)超大(dà)數(shù)據集處理(lǐ))方面，AI系統比人(rén)類做(zuò)得(de)更好。總體(tǐ)而言，AI将會(huì)助推威脅實施者擴大(dà)物聯網威脅，實現其自動化并讓其更加靈活。

此外，在2021年，我們不能隻關注基于AI的新型物聯網威脅。相反，我們也要關注常見的網絡漏洞和(hé)其他攻擊，不過與過去相比，它們的部署速度更快、規模更大(dà)，而且在靈活性、自動化和(hé)可(kě)定制(zhì)化方面也更加強大(dà)。

3.采用Deepfake技(jì)術(shù)實施IoT威脅

攻擊者會(huì)采用與Deepfake視(shì)頻相同的工具來(lái)實施IoT威脅，例如蠻力攻擊、欺騙性生(shēng)物特征識别等。舉例來(lái)說，大(dà)學研究人(rén)員已經證明(míng)了生(shēng)成對抗網絡(GAN)技(jì)術(shù)可(kě)以強行(xíng)使用僞造但(dàn)實用的指紋。。和(hé)強行(xíng)使用密碼一樣，他們通(tōng)過數(shù)千次的強行(xíng)嘗試來(lái)實施攻擊。

實際上(shàng)，我們已經看到，一些(xiē)惡意攻擊已經開(kāi)始使用Deepfake技(jì)術(shù)。攻擊者在最開(kāi)始的時(shí)候是僞造聲音(yīn)。攻擊者會(huì)對計(jì)算(suàn)機系統進行(xíng)訓練，使它們能夠發出聽(tīng)起來(lái)像是某個(gè)首席執行(xíng)官的聲音(yīn)，然後假冒該首席執行(xíng)官打電(diàn)話(huà)給員工，要求員工彙款或做(zuò)其他事情。

音(yīn)頻和(hé)圖像方面的Deepfake技(jì)術(shù)現在已基本完善，也就是說，您可(kě)以創建大(dà)多(duō)數(shù)人(rén)都無法分辨的聲音(yīn)和(hé)照片。

視(shì)頻領域是Deepfake技(jì)術(shù)的“天堂”。即便是如今，以這種方式制(zhì)作(zuò)的視(shì)頻仍舊(jiù)令人(rén)不可(kě)思議。不過攻擊者還(hái)可(kě)以完善Deepfake視(shì)頻，讓視(shì)頻通(tōng)話(huà)社交工程攻擊更具說服力，這隻是時(shí)間(jiān)問題。他們還(hái)可(kě)以使用僞造的視(shì)頻進行(xíng)網絡破壞、敲詐和(hé)勒索。

4.更專業的網絡犯罪

縱觀網絡犯罪的整個(gè)曆史，會(huì)發現攻擊者一直都在不斷完善。這種完善經常反映了正當業務中的趨勢。物聯網威脅的這一長期趨勢仍将繼續，因為(wèi)我們預計(jì)2021年将會(huì)出現更多(duō)的專業化和(hé)外包服務。威脅實施者會(huì)追逐更大(dà)的利益。他們不會(huì)由單個(gè)人(rén)或單個(gè)團夥負責所有(yǒu)工作(zuò)，而是由多(duō)個(gè)團夥提供有(yǒu)償服務。一次攻擊可(kě)能會(huì)涉及多(duō)個(gè)團夥，每個(gè)團夥都發揮自己的特長。

舉例來(lái)說，一個(gè)團夥可(kě)能專門(mén)負責大(dà)規模偵察，然後以一定價格在暗網上(shàng)提供他們的知識。另一個(gè)團夥可(kě)能會(huì)購買這些(xiē)知識，然後雇用另一個(gè)團夥通(tōng)過社交工程攻擊對受害者實施攻擊。該團夥可(kě)能會(huì)反過來(lái)聘請(qǐng)母語人(rén)士和(hé)圖形設計(jì)師(shī)來(lái)制(zhì)作(zuò)更具說服力的電(diàn)子郵件。一旦他們獲得(de)訪問權限，便會(huì)雇傭多(duō)個(gè)專業團夥進行(xíng)勒索、比特币挖礦、敲詐和(hé)其他攻擊。

就像企業運營已變得(de)專業化、多(duō)元化并從外包中受益一樣，構建物聯網威脅的攻擊者也是如此。

5.國家(jiā)贊助的攻擊與犯罪攻擊之間(jiān)的細分

上(shàng)述組織化趨勢(專業化和(hé)外包)将進一步模糊國家(jiā)贊助的攻擊與團夥攻擊之間(jiān)的界限。這一點其實很(hěn)好理(lǐ)解。實際上(shàng)，許多(duō)所謂的國家(jiā)贊助網絡攻擊是由與政府機構(包括軍事和(hé)間(jiān)諜機構)有(yǒu)關聯的犯罪團夥實施的。

通(tōng)過提升專業化水(shuǐ)平并增加外包服務的使用，民族國家(jiā)将會(huì)從網絡攻擊(比如物聯網威脅)中獲益，得(de)到更多(duō)的金錢(qián)利益。各個(gè)民族國家(jiā)會(huì)雇用其他與政府機構無關聯的網絡團隊實施特定的惡意攻擊或承擔攻擊中的特定部分工作(zuò)。

即使在今天，也很(hěn)難界定檢測到的攻擊是否是由某個(gè)國家(jiā)所贊助的。從2021年開(kāi)始到無限的未來(lái)，幾乎都不可(kě)能準确界定。毫無疑問，2021年又将會(huì)是網絡安全的攻堅年。我們需要将物聯網威脅的這五種趨勢作(zuò)為(wèi)重點領域加以關注。