人工智能將成網絡安全的趨勢 機械人大戰即將上演
人工智能將成網絡安全的趨勢 機械人大戰即將上演
自動化及人工智能已經升級犯罪工具,它們如何攻擊企業?。網絡保安服務供應商Fortinet® (納斯達克:FTNT)於本月5日公布FortiGuard Labs研究團隊針對2019年的威脅概況預測。Fotinet研究人員在預測中列出網絡犯罪份子將有可能會使用的方法和技術,同時並說明有關能夠幫助抵禦這些迎面而來的攻擊的策略改變。
網絡攻擊會變得更聰明、更精密
對於很多網絡犯罪組織而言,攻擊技術不僅僅單從它們的成效來評估,亦包括技術發展、改良和實行中所產生的成本開支。因此,有些攻擊可能會受人、過程及技術的改變而受到干擾。其中一個方法是引入新技術和策略,例如利用機器學習和自動化來處理需要大量人力監督和介入、既沉悶又耗時的工作。這些較新的防禦策略很可能會影響網絡犯罪策略,令他們改變攻擊方法和加強技術發展。
人工智能模糊測試(Artificial Intelligence Fuzzing,AIF)及漏洞檢測:模糊測試一向是針對網絡威脅的專業實驗室研究人員用來偵測硬件和軟件介面及應用程式漏洞的精密技術。 透過在介面或程式輸入無效、無關連性或半隨機的數據,研究人員會進行監察並檢測程式崩潰、沒有記錄的跳轉、偵錯常式、錯誤代碼和潛在的記憶體流失等事件。隨著加入機器學習功能,我們預測這種技術將會變得更有效和量身定制。由於網絡犯罪分子開始利用機器學習來開發自動化模糊測試程式,他們將可加快發現零日漏洞,並增加針對不同程式和平台的零日攻擊。
利用AIF的零日挖掘: 當AIF到位時,它可以利用受控環境中的代碼來挖掘零日漏洞,零日攻擊的速度亦會顯著加快。一旦啟用零日挖掘即服務,它將徹底改變機構處理保安問題的方法,因為這些零日攻擊的出現將會無法預測,也無從計算正確防禦的方法。現時,很多機構正使用獨立或傳統的遺留防護工具,這亦將會變得更具挑戰性。
零日的「代價」: 一直以來,零日漏洞的代價都很高,主要是因為發挖它們所需的時間、精力和技能。但隨著人工智能技術的應用,這些漏洞成果將從極為稀有變成一件商品。我們已經親身目睹一些更傳統的漏洞成果變得商品化,例如勒索軟件和殭屍網絡,結果將許多傳統保安公司推至極限。急劇加速的漏洞數量與種類,包括快速製造零日漏洞的能力並轉化成服務,可能會徹底改變暗網上的服務類型和成本。
蜂群智能即服務(Swarm-as-a-Service):以蜂群智能技術驅動的精密攻擊再進一步廷伸至殭屍網絡,我們稱之為蜂巢網絡(hivenets)。這種新型威脅可以用作製造進行協同合作和自動化運行的大規模蜂群智能機器人。 蜂群智能技術網絡不僅提高了制定防禦措施所需的技術門檻,但跟零日挖掘一樣,他們亦會對潛在的網絡犯罪分子商業模式有影響。最終,隨著漏洞挖掘技術和攻擊方法不斷演變,最深受影響的會是網絡犯罪組織的商業模式,而目前其生態圈主要由人所主導。專業黑客多數按照度身定造的漏洞挖掘方式而擬定收費,即使一些嶄新先進技術如勒索軟件即服務,或需要黑帽工程師來支援不同項目,例如構建和測試漏洞,及管理後端C2服務器。當實施自動化、自動學習的蜂群智能技術即服務投入後,黑客顧客和黑帽企業家的直接互動量將急劇下降。
自選的蜂群智能技術:把蜂群智能劃分為不同任務去達致理想結果的能力與世界走向虛擬化方向發展的方式非常相似。虛擬化網絡可以完全基於需要,啟動或減緩虛擬機器去處理一些特定的問題如頻寬。同樣地,蜂群智能網絡的資源可以彈性分配或按照攻擊鏈上遇到的特定問題再重新分配。犯罪商人利用一系列分析工具和漏洞以預先編制蜂群智能,配合自動學習,讓他們可以團隊形式一起改善他們的攻擊協定,令到網絡犯罪分子輕而易舉地像在自選菜單任意選購攻擊項目。
投毒的機器學習:機器學習是其中一個在防禦保安工具包裏最有保證的工具。你可以調控保安裝置和系統自動執行特定任務,例如行為基線、使用行爲分析來識別複雜的威脅風險或者追蹤和修復裝置。可惜,網絡罪犯同時亦會濫用這項技術。針對機器學習流程,網絡罪犯可以調控裝置或系統以停止使用漏洞修補或更新某個特定裝置、忽視特定的應用程式種類或行爲、或者暫停記錄特定流量以逃避偵測。這會對機器學習和人工智能科技的將來有著重大的革命性影響。
防禦會變得更精密
爲了應對這些技術發展,機構需要針對網絡罪犯提高難度。每一個防禦預測都會對犯罪組織有影響,逼使他們改變策略、修改攻擊方式,並尋求新方法去發掘機會。對他們而言,實行攻擊的代價會上升,令犯罪開發者需要花費更高的資源去換取一樣的結果,或尋找一個更容易進入的網絡來攻擊。
先進的詐騙手法:於保安策略中引入詐騙技術,虛假資訊構建的網絡會逼使攻擊者反覆驗證他們的威脅情報、花費更多時間和資源來檢測誤報,以確保他們可以看到的網絡資源是準確的。由於在虛假網絡資源的任何攻擊都可以被即時偵測,並自動觸發防禦對策,攻擊者需要極度謹慎去執行策略,即使是探測網絡的基本舉動。
統一的開放式合作:其中一個網絡罪犯最容易把一個現有攻擊的投資最大化、甚至有可能逃避偵測的方法,就是簡單地作出一個微小的改變,例如改變互聯網協定地址(IP address)。其中一個緊貼這些改變的有效方法是積極分享威脅情報。持續更新的威脅情報可以讓保安產品及服務供應商及其客戶密切了解最新的威脅概況。如果威脅研究機構、業界聯盟、保安產品製造商及執法機構公開合作,透過暴露攻擊者的手法,將大幅縮短偵測最新威脅的時間。與其靜觀其變,倒不如通過開放式合作,以實時數據結合行爲分析,讓防禦者有效預測惡意軟件的潛在風險,從而擊退目前網絡罪犯重複利用現有惡意軟件進行攻擊的模式。
速度、整合和自動化都是重要的網絡安全關鍵
如你的未來防禦策略要引進自動化或機器學習,你可利用智能響應技術的精密度,集中收集、處理威脅情報或根據那些情報而作出相應行動。為應付日益複雜的威脅風險,機構必需將所有安全組件整合在一個Fortinet的保安纖維,方便快速和大規模地尋找和回應。在安全組件之間有關聯或共享的先進威脅情報需要自動化,來減低風險並儘快進行補救。整合分佈式網絡中的產品,結合策略性網絡分割,將對於抵禦愈趨智能化和自動化的攻擊有很大幫助。