行业媒体eWEEK对2020年预测:我们还看到了有关人工智能和机器学习“中毒”的预测,这可能会引起新的网络安全问题。这些新的变化将如何影响文化,还有待观察。
网络犯罪即服务是否会成为一种实际的商业趋势?看到它在2020年发生,不要感到惊讶。
安全漏洞新闻在2019年变得如此普遍,以至于常常在头条报道。勒索软件和网络钓鱼如2018年一样失去控制;黑客24小时进行攻击;密码泄露;复杂的恶意软件攻击不断蔓延;尽管2018年5月欧盟制定了一套国际规则《通用数据保护条例》,但数据遭到破坏,世界各国政府再次围绕隐私规则展开工作。
还有一些国家旨在通过社交网络在2020年美国大选中影响美国选民。Facebook、Instagram、YouTube等网络再次发现自己如何减轻仇恨言论,虚假新闻页面,虚假模因以及在其网页上发布的其他多种文化入侵的影响。
现在,我们看到了有关人工智能和机器学习“中毒”的预测,它们可能会引起新的网络安全问题。这些新的变化将如何影响文化还有待观察。
根据每天都在进行这些斗争的专业人士的说法,没有理由相信2020年的问题将比2019年少。
这是其中一些专业人员提供的2020年安全预测的列表。eWEEK可能会在今年年底之前发布更多此类文章,因为该领域非常活跃。
Atos公司北美大数据与安全首席技术官Eric Taylor:我们会在2020年看到我们首例人工智能中毒的例子吗?机器学习中毒真的会发生吗?
机器学习所使用的高级过程称为推理。推理是指机器学习引擎根据已经接受的训练做出决策。执行机器学习中毒攻击的最简单的方法可能是用中毒的数据覆盖现有的训练数据,从而导致推理过程的崩溃。网络犯罪分子会想办法毒害端点安全技术的人工智能推理能力,以此绕过安全控制。当人们将人工智能处理推向其他应用程序的边缘时,攻击者将找到毒害人工智能推理模型的方法,从而对模型造成严重破坏——随着时间的推移,可能导致人工智能模型“归零”。
Callsign公司首席安全官IanCruxton:身份变得个人化。
在当今的现代银行中,欺诈部门的任务是识别何时发生欺诈并缓解事件。他们的工作是简单地检测欺诈活动的存在,而不是正确地识别帐户持有人。但是,越来越多的隐私法律和其他法规(例如欧洲的PSD2)正在呼吁银行等组织确认身份,因此安全专业人员必须超越欺诈解决方案。到2020年,人们知道的身份识别将成为个人身份。
Bugcrowd公司总裁创始人兼首席技术官CaseyEllis:选举中网络安全是一个公民问题。
新媒体和西方民主进程将在网络安全战场上发生冲突。更高比例的数字原生首次选民的结合;越来越依赖联网系统进行注册、统计和投票。而且,从2016年开始,俄罗斯广为宣传的信息手册也得到了广泛的了解和分享,这向人们表明,这将在2020年大选中大放异彩-不仅在美国,而且不只是俄罗斯作为潜在的侵略者。
有关选举安全性的选民叙述大部分都集中在网络安全要素上。到2020年,这将推动消费者对各种类型的供应商和政府的需求快速增长,以证明他们为保持客户数据和流程的机密性,集成性和可用性而采取的措施的责任。
好消息是,随着各机构间漏洞披露程序的呼吁,人们已经看到了朝着正确方向迈进的一步,这将使白帽黑客能够在选举之前或通过选举来帮助掩盖选举网站和应用程序中的漏洞。
LogicGate首席执行官Matt Mattkel:董事会与网络安全
最终,董事会会考虑资金和成本,其中包括最高和最低财务要求。随着数据泄露、勒索攻击和网络事件的数量增加,再加上企业用于日常经营业务的技术数量的增加(相当于大量支出),网络安全越来越受到关注在董事会一级的重要性。首席执行官也有帮助。根据《企业风险管理状况:从最高处看》,网络安全是最担心运营风险的三分之一首席执行官的头等大事。这将继续成为2020年的重点。
ThetaRay首席执行官MarkGazit表示:网络安全世界将看到攻击的复杂性越来越高。利用商业公司和政府开发并泄漏的源代码和漏洞利用的恶意行为将大大增加。-犯罪分子将具有更高的能力来感染以前被认为比“传统”网络和服务器更安全的设备,尤其是移动设备。戡其结果是,这将加剧金融网络犯罪,因为该技术将允许更轻松地渗透和接管Android和iOS等移动操作系统。
人们将看到对物联网设备的攻击增加,包括智能家庭设备、家庭自动化系统等。我们可能会看到新形式的物联网金融网络犯罪,建立在第一代物联网攻击自动柜员机及其网络的基础上。网络犯罪分子将利用支付服务和开放银行业务,如谷歌计划提供支票账户、苹果支付、谷歌支付,可能还有Facebook的Libra。这些技术将为利用下一代支付服务提供商入侵账户、不仅访问客户数据,还窃取资金的新型网络罪犯提供机会。
另一方面,我们还将看到更多基于人工智能的系统,帮助企业保护自己。我们甚至会看到以前被认为太好而不真实的解决方案,例如模拟人类决策的人工直觉,已经被一级金融机构用作反洗钱、反恐融资和欺诈侦查工作的一部分。市场将认识到,保护自己的唯一方法是使用最先进的解决方案。Carbonite产品管理高级总监Jamie Zajac:
企业意识到,无论采取什么保护措施,攻击者总是试图至少保持领先地位,企业需要制定事件响应计划。能够快速响应和修复机器是关键。在过去的几年中,人们已经看到网络犯罪分子从造成破坏的方向转变为侧重于威胁,使他们可以从结果中获得经济利益。人们已经看到勒索软件和个人信息泄露之类的东西变得越来越流行,因为它们的赚钱能力之间存在着方向相关性。对用户进行网络钓鱼教育,防止通过DNS访问恶意软件,阻止恶意软件运行以及在必要时恢复系统,将成为2020年的重点,以支持企业和个人数据的可用性和安全性。
Atos北美公司大数据与安全首席技术官Eric Taylor:
2020年,业界将看到基于人工智能和机器学习的检测,以及作为回报的基于人工智能和机器学习的攻击。网络安全公司越来越多地使用人工智能和机器学习来训练系统以识别表明妥协的异常。网络犯罪分子还在不断升级的猫和老鼠游戏中采用了机器学习工具,其中攻击和防御措施的发展比以往任何时候都快。网络安全公司和事件响应者将发现,利用防御者可以使用的更先进的人工智能进行攻击性攻击,可以利用网络犯罪即服务。我们很有可能在2020年发现将使用更高级的人工智能和机器学习进行攻击。
Carbonite公司Webroot的网络安全策略高级总监Joe Jaroch:
针对基于人工智能的安全产品的对抗性攻击的范围和复杂性将不断增加。人工智能提供者将分叉,这些攻击将突出显示哪些系统容易受到高级攻击者的攻击。显而易见的是,网络安全中基本上有两种类型的人工智能:像智能常规签名一样起作用的人工智能和内置于基于云计算的智能平台的各个方面的人工智能,该平台能够交叉引用并防御自身的对抗性攻击。
Bugcrowd公司总裁、创始人兼首席技术官Casey Ellis:容器可以更快、更省力地做出错误的安全决策。
在2020年,预测是容器配置不当,网络卫生和容器本身的突破将成为主要目标。了解企业整个攻击面,确定资产的优先级,并领先于组织的潜在后门。长期以来,未知资产一直是引起头条安全事件的原因。
Webroot公司安全情报总监Grayson Milbourne:
随着从违规收集的数据被合并到网络钓鱼电子邮件中,网络钓鱼将变得更具针对性。密码和最近的交易之类的事情在说服人们电子邮件合法性方面可以大有帮助。
Bugcrowd公司解决方案架构总监GrantMcCracken:“未知”是企业在2020年将面临的最大网络威胁。
当防御诸如WannaCry之类的元素或其他已知威胁时,组织可以清楚了解敌人的面貌,从而可以采用成功的防御技术来防御此类已知威胁。但是,现在最大的威胁是直到明天或更晚才知道的威胁。
下一个重大漏洞正在发生,而人们将在几个月后才了解到它。与被修补的旧的(但已知的)漏洞(例如Apache Struts)相比,暴露的但未知的攻击面更容易使组织陷入困境。尽管从根本上无法预期会出现意外情况,但组织可以采取措施以确保减少未知数。这样,减少他们的可用空间以备不时之需,并领先于组织的潜在后门。