隨著黑客和詐騙者獲得新技術或想出利用舊漏洞的新方法，威脅不斷演變。“這是一場貓捉老鼠的游戲，”安全公司EnTrust的CISO馬克·魯奇說。

網絡釣魚仍然是最常見的攻擊，2023年康卡斯特商業網絡安全威脅報告發現，90%的入侵客戶網絡的嘗試都是從網絡釣魚開始的。

攻擊的數量和速度都在增加，受害者付出的代價也在增加，網絡安全風險投資公司發布的2022年官方網絡犯罪報告估計，網絡犯罪的成本將從2015年的3萬億美元躍升至2025年的10.5萬億美元。

與此同時，安全領導人說，他們看到了標準攻擊方法的新形式，比如 Midnight Blizzard發起的攻擊(該公司也被命名為APT29、Cozy Bear和Nobelium)以及新的攻擊策略。數據中毒、搜索引擎優化中毒和AI威脅參與者是CISO今天面臨的新威脅。

安全公司Panaseer的CISO兼該公司顧問委員會成員安德烈亞斯·武克納表示：“當你同意成為一名CISO時，你就同意參加一場你永遠不會完全獲勝的比賽，而且你必須在屏幕上看到不斷變化的東西。”

AI和由AIGC支持的攻擊

專家表示，一些最引人注目的新興威脅源于AI的迅速成熟和擴散。安全官員目睹了黑客采用AI的速度，其速度超過了競爭對手——有時甚至超過了企業技術團隊。

AI支持的攻擊的可能性并不出人意料。根據2019年Forrester Research的一份報告，80%的網絡安全決策者預計AI將提高攻擊的規模和速度，66%的人預計AI將進行人類無法想象的攻擊。

該報告進一步指出，“這些攻擊將是隱蔽和不可預測的，使他們能夠規避依賴規則和簽名的傳統安全方法，而只參考歷史攻擊。”

一些專家說，這種情況現在正在發生。

芬蘭運輸和通信局與總部位于赫爾辛基的網絡安全公司WithSecure聯合發布了一份2022年12月的報告，報告的作者斷言：“AI支持的網絡攻擊已經是一個企業無法應對的威脅。隨著我們見證AI方法的改進，以及AI專業知識變得更加廣泛，這種安全威脅只會增加。”

根據那份報告，黑客正在使用AI來分析攻擊策略，從而提高他們成功的可能性，黑客也在使用AI來提高他們活動的速度、規模和范圍。

網絡安全領導人指出，AI——更具體地說是AIGC——構成了其他新出現的威脅。首先是黑客利用AIGC開發惡意軟件，他們還利用它來創建更多的網絡釣魚和淫穢信息，其內容準確地模仿合法電子郵件的語言、語氣和設計。

這就消除了通常有助于將它們識別為惡意消息的笨拙措辭或草率的圖形。正如魯奇所說：“今天的網絡釣魚郵件變得越來越精明，AIGC肯定會將其提升到前所未有的水平。”

電氣和電子工程師協會的高級成員、超級防偽公司的CISO凱恩·麥克格拉德雷已經看到了證據。他曾與一家企業合作，該企業的高管收到了一份合同，供審查和簽署。“幾乎一切看起來都很正常，”麥克格拉德雷說，唯一值得注意的錯誤是公司名稱上的一個小錯誤，首席法律顧問發現了這一點。

但McGladrey表示，新一代AI不僅提高了黑客的速度和復雜性，還擴大了他們的觸角。黑客現在可以使用AIGC來創建具有幾乎任何語言的可信文本的網絡釣魚活動，包括那些迄今為止攻擊嘗試較少的語言，因為這種語言很難學習，或者非母語者很少說這種語言。

麥克格拉德雷補充道：“如果沒有其他原因，AIGC在翻譯內容方面做得很好，所以到目前為止還沒有經歷過很多網絡釣魚攻擊的國家可能很快就會看到更多。”

其他人警告說，其他支持AI的威脅也即將出現，他們表示，他們預計黑客將使用深度假冒來模仿個人——比如高調的高管和公民領袖(他們的聲音和圖像廣泛公開，可以用來培訓AI模型)。

網絡保險提供商Corvus的威脅情報經理瑞安·貝爾表示：“這絕對是我們正在密切關注的事情，但可能性已經相當明顯。技術越來越好，更難辨別什么是真的。”他引用了烏克蘭總統弗拉基米爾·澤倫斯基的深度虛假圖像被用來傳播虛假信息，作為該技術用于邪惡目的的證據。

此外，芬蘭的這份報告對未來的情況做出了可怕的評估：在不久的將來，快節奏的AI進步將通過自動化、隱形、社交工程或信息收集來增強和創造更廣泛的攻擊技術。因此，我們預測，未來五年，支持AI的攻擊將在技能較低的攻擊者中變得更加普遍。隨著傳統的網絡攻擊將變得過時，AI技術和工具將變得更容易獲得和負擔得起，從而激勵攻擊者使用支持AI的網絡攻擊。

劫持企業AI

另一方面，一些安全專家表示，黑客可以使用企業自己的聊天機器人來對付他們。

與更傳統的攻擊場景一樣，攻擊者可以嘗試侵入聊天機器人系統，竊取這些系統中的任何數據，或者利用它們訪問對壞人具有更大價值的其他系統。

當然，這并不是特別新奇。然而，安全公司OccamSec的安全工程師馬特·蘭德斯表示，黑客可能會改變受攻擊的聊天機器人的用途，然后將它們用作傳播惡意軟件的渠道，或者可能以邪惡的方式與其他人——客戶、員工或其他系統——互動。

網絡風險研究團隊Voyager18和安全軟件公司Vulcan最近也發出了類似的警告。這些研究人員發布了一份2023年6月的咨詢報告，詳細介紹了黑客如何利用AIGC(包括ChatGTP)將惡意包傳播到開發人員的環境中。

Wuchner表示，AI帶來的新威脅并不僅限于此，他說，隨著越來越多的員工——特別是IT以外的員工——使用新一代AI編寫代碼，以便他們能夠快速部署使用，企業可能會發現錯誤、漏洞和惡意代碼可能會進入企業。

Wuchner補充道：“所有的研究都表明，使用AI創建腳本是多么容易，但信任這些技術正在將人們從未想過的東西帶入企業。”

量子計算

美國于2022年12月通過了《量子計算網絡安全準備法案》，將一項旨在保護聯邦政府系統和數據免受量子網絡攻擊的措施寫入法律。許多人預計，隨著量子計算的成熟，量子網絡攻擊將會發生。

幾個月后，也就是2023年6月，歐洲政策中心敦促采取類似行動，呼吁歐洲官員為量子網絡攻擊的到來做好準備——這一預期中的事件被稱為Q日。

根據專家的說法，未來五到十年，量子計算的工作可能會取得足夠的進展，達到破解當今現有密碼算法的能力——這一能力可能會使目前加密協議保護的所有數字信息都容易受到網絡攻擊。

“我們知道量子計算將在三到十年內沖擊我們，但還沒有人真正知道它的全部影響會是什么。”Ruchie說。更糟糕的是，他說，壞人可能會利用量子計算與AI相結合的方式來“制造新的威脅”。

數據和搜索引擎優化中毒

馬里蘭大學全球校園網絡安全與IT學院的大學副教授羅尼·塔庫爾表示，另一個已經出現的威脅是數據中毒。

通過數據中毒，攻擊者篡改或破壞用于訓練機器學習和深度學習模型的數據。他們可以使用各種技術來做到這一點。有時也被稱為模型中毒，這種攻擊的目的是影響AI決策和輸出的準確性。

正如塔庫爾總結的那樣：“你可以通過毒化數據來操縱算法。”

他指出，內部和外部的不良行為者都有可能導致數據中毒。此外，他說，許多企業缺乏檢測這種復雜攻擊的技能。盡管企業尚未看到或報告任何規模的此類攻擊，但研究人員已經探索并證明，黑客實際上可能有能力進行此類攻擊。

其他人則提到了另一個“中毒”威脅：SEO中毒，最常見的是操縱搜索引擎排名，將用戶重定向到惡意網站，這些網站將在他們的設備上安裝惡意軟件。Info-Tech Research Group在其2023年6月的威脅概況簡報中指出了SEO中毒威脅，稱其是一個日益增長的威脅。

為下一步做準備

大多數CISO預計威脅格局將發生變化：根據搜索公司Heidrick&Struggles為其2023年全球CISO調查進行的一項民意調查，58%的安全領導者預計未來五年將出現一系列不同的網絡風險。

CISO將AI和ML列為最重要的網絡風險的首要因素，46%的人表示同意這一點。CISO還將地緣政治、攻擊、威脅、云、量子和供應鏈列為其他首要網絡風險因素。

Heidrick&Struggles調查的作者指出，受訪者對這個話題提出了一些想法。例如，其中一人寫道，將會有一場持續的自動化軍備競賽。另一位用戶寫道：“隨著攻擊者增加攻擊周期，受訪者必須行動更快。”三分之一的人表示，“網絡威脅將以機器的速度進行，而防御將以人的速度進行。”

作者補充說，“其他人表達了類似的擔憂，認為技能不會從舊到新。還有一些人更擔心生存，理由是‘我們辨別真實和虛構的能力受到了戲劇性的侵蝕’。”

安全領導者表示，為不斷變化的威脅和可能出現的任何新威脅做好準備的最佳方式是遵循既定的最佳實踐，同時分層采用新技術和戰略，以加強防御，并在企業安全中創建主動元素。

安全軟件公司NetSPI的CISO諾曼·克龍伯格表示：“這是在掌握基礎知識，并在可能的情況下應用新技術來推進你的安全態勢并建立縱深防御，這樣你就可以達到下一個水平，這樣你就可以檢測到任何新奇的威脅。”“這種方法可以讓你有足夠的能力來識別未知的威脅。”