近日,Fortinet FortiGuard威胁研究与响应实验室基于多年的威胁研究与分析,就2018年全球威胁态势作出预测,指出越来越多的犯罪分子正在利用数字社会提供的新机会进行攻击,企业机构需要利用机器学习、人工智能等创新技术增强防御能力,以便保护企业的数据资产。
监督与无监督学习可能带来网络风险
专家预测,如果没有适当的控制,真正自主的自学习人工智能将能够通过我们超级连接的数字世界自由移动,适应新的数字环境,并访问几乎所有的数字资源。人工智能更现实的风险在于,人工智能的自我学习能力可能导致监督与无监督学习模型的任何一个错误被放大,出现出现意想不到的危险结果。网络犯罪分子往往不关注这些危险结果,他们可能开发基于AI的无监督学习模型用于网络攻击,其极快的发展速度或导致难以控制的后果。
针对这种智能和自动化威胁的最佳防御措施是集成、协作和高度自适应的安全架构。就像人工智能一样,只要能够获得基于架构的安全系统,利用机器学习和人工智能等技术,将会有一个高度智能的主动安全防御系统,防御自学习的网络攻击。
自动化与机器学习
黑客已经在其攻击手段,技术和程序(TTP)中利用了自动化和机器学习,他们会利用自动化前端挖掘信息和漏洞,并通过AI分析大量被窃取的结构化和非结构化数据。为了获得自动化与机器学习所需要的计算能力,网络犯罪分子正在使用云服务和公共基础设施来发起和管理攻击活动,并使用高性能计算(HPC)进行CPU密集型攻击。
暗网市场上已经有提供机器学习的高级服务。 例如,被称为FUD(fully undetected)的服务允许犯罪分子将攻击代码和恶意软件上传到分析服务中,分析这些恶意代码是否能被安全工具检测到,这可以帮助恶意软件逃避安全系统的查杀。为了做到这一点,这些网络犯罪服务提供商已经开始创建自己的计算集群,利用自有的和被劫持的计算资源来执行扫描、测试和改进恶意软件。
我们很可能会开始看到完全由基于自动化漏洞检测和复杂数据分析的机器编写的恶意软件,然后根据检测到的弱点的独特特征开发漏洞。下一代的“形态恶意软件”将使用全新的自定义攻击,这些攻击不仅仅是基于静态算法的变体,而且将采用自动化和机器学习将它们定制到一个独特的目标,同时使它们更难以检测。
预测:HIVWNETS 与 SWARMBOTS的上升
Fortinet预测,网络罪犯将开始使用围绕群技术构建的智能攻击设备集群,取代传统的僵尸网络,以创建更有效的攻击。蜂巢网络(Hivenets)和机器人集群(Swarmbots)将更为普遍,Hivenets 将能够使用群集的受感染设备或 Swarmbots 来同时识别和处理不同的攻击媒介。随着 Hivenet 识别并攻陷更多的设备,它将能够以指数级增长,从而扩大其同时攻击多个受害者的能力。
目前很少有人能够有效地抵御这种攻击。传统的安全工具允许组织同时防御单个甚至多个攻击者,但应对群体是一个完全不同的挑战,特别是当面对持续、多重DDoS攻击的时候,传统安全工具根本没有足够的响应能力。
要保护网络和服务不受群体攻击的影响,需要基于识别网络中潜在的攻击媒介和工程漏洞的系统方法,未来,利用集成安全设备的自适应安全结构将替换现有的安全工具。
云服务提供商 - 目标松散和单点故障
勒索软件的下一个大型目标很可能是云服务提供商,这首先是因为随着云服务市场的增长,针对云服务商的攻击会带来明确的金钱利益。此外,集中式的云服务会出现巨大的潜在攻击面,一旦犯罪分子渗透到单个云环境,将可能有权访问数十个或数百个组织的数据,窃取大量的数据资产。随着新的云产品的出现,犯罪分子还可能通过攻击获得商业数据、PII(个人身份信息)等高价值的数据,以便在黑暗网络出售。
我们预测,网络犯罪分子将开始将AI技术与多向量攻击相结合,以扫描、检测并利用云提供商环境中的弱点,对云服务商进行攻击。这会削弱许多组织对云服务的信任,并可能对数字经济产生毁灭性的影响。
医疗及关键基础设施 – 安全能力的“装备竞赛”
在所有可能受到网络犯罪技术进步影响的行业中,医疗行业和关键基础设施提供商在风险方面继续位居榜首。为了满足消费者需要,很多医疗与关键基础设施服务提供商牺牲了安全能力,这使他们变得脆弱。
由于这些网络的价值很高,如果这些网络被破坏或者被迫离线,可能会造成破坏性的后果,关键的基础设施和医疗服务提供商现在正在与网络犯罪组织进行“装备”竞赛。一方面相信新的互联系统提供了更多的智能和安全,另一方面面临的风险是真实存在的。
响应: 系统将更趋向于智能与整合 ——“专家级系统”的出现
对恶意软件和网络犯罪技术进步的一个关键反应是开发“专家系统”。 专家系统是一个集成的软件和编程设备的集合,使安全架构能够协同工作,从而消除和阻止高级威胁。除了集成多云和移动设备之外,还需要对未分割的和不安全的网络进行主动监视和保护。
最大的挑战之一将是最后一公里的安全 —— 建立自动化基础安全环境,跨越物理和虚拟环境的复杂的多云生态系统和超融合网络使得执行这些基本的安全实践非常困难。人工智能和自动化需要填补这个空白,用集成的专家安全系统来执行确定设备漏洞、跟踪和修补设备执行、监控安全设备和网络设备的配置、根据信任对设备进行排名等基本安全功能和日常任务。
响应:高级网络威胁情报的利用
IP地址、恶意软件、流量行为和域名是网络攻击的基本组成部分,他们可以很容易地改变和移动,使他们更难以发现,大多数传统安全解决方案很快就会过时。
威胁情报需要将IP地址和文件哈希之外的信息关联,并将重点放在网络犯罪分子难以改变的事情上。 其中之一就是攻击模式和技巧,通过来自遍布分布式网络的紧密集成架构解决方案的智能与来自全球威胁源的实时数据进行汇总和关联,复杂的分析将能够提供可以快速识别和跟踪恶意行为。最后,所有威胁行为者都有独特的行为、签名和模式。 一旦能够根据犯罪活动的行为识别和隔离不同的威胁行为者,企业将能够根据历史趋势预测恶意行为,并制定相应对策。
结论
网络犯罪分子组织有序、资金充足、动力十足。 他们正在部署先进的恶意软件,利用云计算资源,开发基于AI和机器学习的尖端工具,不仅规避先进的安全防范,而且还扩大了攻击的范围和规模。
企业需要作出响应,制造商围绕集成安全技术,提升威胁情报质量,通过开放标准和动态可配置安全架构更好的进行有效的安全管控。安全还需要以数字速度运行,这意味着自动化安全响应,应用智能和自我学习,使网络可以做出有效和自主的决定。安全的架构设计应从耦合型转为高度的协同型,不仅能够承受严重和持续的攻击,还能自动适应和响应。