根据谷歌最新发布的2024年云安全预测报告,新的一年恶意生成式AI(例如FraudGPT和WormGPT)的流行将引发大规模网络攻击活动。与此同时,基于大语言模型的AI应用也将大大提升网络安全防御的效率和能力,网络安全领域将进入惨烈的“大模型作战”阶段,并深刻地改变安全运营、云安全、黑客与网络犯罪模式、政治选举、巴黎奥运会和关键基础设施防护。
以下为谷歌安全团队对2024年新安全威胁的20大预测:
- 生成式AI被大规模用于网络钓鱼和虚假信息传播:2024年AI和大型语言模型将被广泛用于提高钓鱼邮件和社会工程攻击的专业化水平。大语言模型生成的攻击内容更加难以被员工和检测工具辨别,而且攻击者能够利用AI工具实施大规模攻击。与此同时,生成式AI将被攻击者用于大规模创建虚假新闻和深度伪造内容,可能影响主流新闻,并降低公众对新闻和在线信息的信任。2024年,恶意大语言模型和生成式AI工具的云服务,将被广泛用于协助攻击者实施目标入侵,如网络钓鱼和传播虚假信息。
- AI网络安全技术将大大提高安全运营效率。在防御端,AI将大大提高数据分析能力并加固防御体系。防御者将大量利用AI技术强化侦测、响应和归因,以及大大加快数据/代码/事件分析和逆向工程等耗时任务,提高安全运营效率并降低成本。
- 零日漏洞利用和边缘设备攻击增长:自2012年以来,零日漏洞的使用逐年增长,预计2024年国家级黑客组织和网络犯罪团伙将更多地使用零日漏洞,以便长时间保持对环境的访问。攻击者将转向利用零日漏洞和边缘设备,因为它们难以监控,从而容易躲避安全团队的侦测。
- 美国总统大选遭受网络攻击:2024年是选举年(包括美国、欧盟、印度、印尼、韩国等),国家级和其他黑客组织将发动各种网络攻击活动,包括针对选举系统的间谍行为、舆情操弄、在社交媒体上冒充总统候选人发布虚假内容,以及针对选民本身的信息操作。预计这些活动在2024年将更加普遍,因为生成式AI工具可以大大提高信息战和网络战的规模和速度。
- 破坏性黑客主义活动盛行:2022年和2023年业界见证了黑客主义活动的死灰复燃以及黑客活动的政治化趋势(包括国家黑客部队的介入和参与),尤其是在俄罗斯或乌克兰、以色列或哈马斯的冲突中,形成了按意识形态和地缘政治划分的两大黑客组织阵营。这些黑客组织的破坏性活动主要包括分布式拒绝服务(DDoS)攻击、数据泄露和网页篡改。这种活动可能扩展到对民用和军事目标的网络攻击,甚至可能用于实施物理设施(或关键基础设施)的破坏。
- 擦除器成为所有国家黑客武器库的标配:在2022年俄罗斯入侵乌克兰之前,俄罗斯APT组织入侵了乌克兰目标并发起了破坏性攻击。预计在2024年,更多国家会效仿俄罗斯在重要战略目标处埋设破坏性的擦除器恶意软件。
- 发生针对太空基础设施的攻击:乌克兰的局势表明了地缘军事冲突对太空技术的高度依赖。预计2024年将有国家支持的黑客组织全方位地利用计算机网络开发能力,侵入太空基础设施及相关地面支持基础设施和通信渠道,以达到干扰、破坏、欺骗或进行间谍活动的目的。
- 针对混合云和多云环境的攻击日益成熟且破坏性更大:攻击者不断寻找新方法在不同的云环境中持久驻留并横向移动,例如利用云安全常见的配置错误和身份与访问管理漏洞。
- 云中的无服务器技术将被更广泛利用:预测2024年网络犯罪分子和国家级黑客将更广泛地利用云中的无服务器技术,因为这些技术提供更大的可扩展性、灵活性,并可通过自动化工具部署。
- 勒索软件攻击进一步增长:勒索操作仍然是对企业和全球社会最具影响力的网络犯罪形式。尽管2022年增长停滞,但2023年关于盗窃数据的广告和勒索收入估计显示这一威胁正在增长,预计这种增长将在2024年持续,除非市场出现重大干扰因素。
- 间谍活动创建“休眠僵尸网络”:网络间谍组织将寻找更多扩大攻击规模的方法,同时不断提高操作安全性。这些组织将使用新旧漏洞,利用易受攻击的物联网、小型办公室/家庭办公室设备和路由器创建“休眠僵尸网络”,并在被发现或使用后废弃(休眠),使追踪和归因工作复杂化。
- 老旧技术的复兴:攻击者重新采用一些古老但未被(防御技术)广泛覆盖的技术来躲避检测。例如,使用WindowsAPI中未记录的SystemFunctionXXX功能,而不是常见的加密功能。
- 恶意软件开发转向现代编程语言:恶意软件作者将继续使用Go、Rust和Swift等现代编程语言开发更多恶意软件。这些“安全语言”提供了良好的开发体验,使得快速开发复杂的恶意软件更为便宜,更容易规避检测。
- 通过软件包管理器发动针对开发者的供应链攻击:近年来,针对NPM(Node.js包管理器)等软件包管理器的供应链攻击表明软件开发者已经成为攻击者的热门目标。这种低成本、高影响力的攻击形式的流行趋势可能会持续增长。
- 移动网络犯罪日益普及:预计2024年大量网络犯罪分子或电诈人员将采用全新的社交工程策略,例如伪造家政服务信息、假社交媒体账户、银行或政府官员的信息,以及伪造的弹出警报,诱骗受害者在其移动设备上安装恶意应用。
- 围绕SecOps的方案整合。到2024年,随着越来越多的客户要求在安全运营解决方案中整合风险管理和威胁情报,预计SecOps(安全运营)市场将面临更多整合。客户将要求一个覆盖其整个网络资产的综合生态系统——包括云环境、多云环境、本地部署和混合环境——并且越来越期望供应商能提供有见解的工作流程、指导和内容,以便开箱即用地启动他们的安全计划。
- 亚太地区网络攻击技术变得更为复杂。EDR(端点检测和响应)解决方案在亚太地区得到进一步普及,亚太地区组织的安全成熟度正在提高。因此,资源充足的攻击者将越来越多地采用检测绕过策略,这在全球范围已经形成趋势。该地区的防御者应该准备好应对安全、网络和虚拟化软件中的零日漏洞利用;针对路由器和其他边缘设备的攻击;以及使用其他方法在受害者网络内外传输和伪装攻击流量。
- 亚太区“杀猪盘”电信诈骗继续让人头痛。2024年,“杀猪盘”诈骗,这种既包含网络欺诈犯罪又包含人口贩运的犯罪行为,将继续成为亚太国家执法部门面临的棘手难题。2023年8月的一份联合国报告详细说明,许多诈骗者本身也是受害者,他们被贩卖并被迫参与诈骗行为。2023年7月,在菲律宾有2700人从被迫的网络犯罪劳动中被救出。联合国报告称,“形势仍在变化:来自该地区及其他地方的数十万人被强迫参与在线犯罪活动。”
- 2024年奥运会扩大巴黎的攻击面。预计在2024年巴黎夏季奥运会期间,网络犯罪分子将瞄准售票系统和商品,通过大量的网络钓鱼活动窃取财务信息或凭证。公共机构和银行需要保持警惕。我们还可能看到利用奥运会进行地缘政治活动。奥运会也可能成为错误信息和虚假信息的目标,无论是直接与该事件相关(例如门票销售),还是间接相关(如住宿租赁、公共交通)。
- 网络安全保费趋于稳定。网络安全保险市场以其波动性而闻名。过去几年,由于安全风险不断累积,网络安全保险费不断上涨且保险覆盖范围缩小。2024年,随着网络安全保险市场的竞争加剧,网络安全保险费用将趋于稳定,承保范围扩大。