更危險的數字世界：為你總結2019年值得關注的五種網路威脅

過去一年充斥著各種網路安全災難，從數十億微處理晶元曝出安全漏洞，到大規模數據泄露以及惡意軟體攻擊所在多有。值得的一提的是，其中惡意軟體攻擊的多樣性亦有所提升，特別是通過鎖定計算機系統要求受害者支付贖金(一般採用無法追蹤的加密貨幣支付形式)的勒索軟體。

著眼於新的一年，相信將有更多大規模攻擊活動與勒索軟體持續襲來。對於安全團隊而言，建立計劃以應對上述以及其它既定風險——包括聯網消費級設備安全威脅，以及針對電網與運輸系統等關鍵基礎設施的入侵行為——將成為2019年防禦工作中的重中之重。但除此之外，網路防禦者們也應關注更多新興威脅，下面我們將著重剖析其中一部分主要威脅類型：

利用人工智慧生成的偽造視頻與音頻

憑藉著人工智慧技術的快速進步，如今攻擊者已經能夠創建出偽造的視頻與音頻消息，且其表現效果與真實內容往往難以區分。這種「深度偽造」能力也許會從多種角度給黑客攻擊活動帶來推動。由人工智慧生成的「網路釣魚」電子郵件旨在誘騙受害者交出密碼與其它敏感數據，而且事實證明此類郵件的效果比人為編寫更為理想。目前，黑客已經能夠將高度逼真的偽造視頻與音頻添加至其中，從而進一步加強網路釣魚電子郵件的誘導性或者將其作為獨立攻擊手段使用。

網路犯罪分子也可以利用這項技術來操縱股票價格，例如發布一段偽造視頻，其中包含相應企業CEO表示公司正面臨融資問題或者其它危機的虛假內容。另一大風險在於，攻擊者也能夠利用深度偽造方法在選舉活動中傳播偽造新聞，從而引發緊張的地緣政治局勢。

以往這樣的攻擊策略需要大型電影片廠的支持才有可能實現，但如今只需要一台像樣的計算機以及一塊強大的顯卡，任何人都能夠完成類似的內容偽造。雖然部分初創企業正在開發用於檢測深度偽造活動的技術，但目前還不清楚這類成果是否有效或者如何起效。因此，當下唯一可靠的防禦方式在於推動安全意識培訓，從而確保人們透徹了解風險。

毒害人工智慧防禦

安全廠商們正在積極接納AI模型，希望藉此預測以及檢測網路攻擊活動。然而，成熟的黑客可能會嘗試破壞這些防禦體系。安全廠商Endgame公司CEO Nate Fick表示，「人工智慧能夠幫助我們解析來自噪音的信號」，然而一旦「落入錯誤的人手中」，AI也足以發動最為複雜的攻擊。

攻擊方可以利用生成對抗網路(簡稱GAN)將兩套神經網路進行配對，從而嘗試猜測防禦者在自身AI模型當中所使用的具體演算法。另一大風險在於，黑客可以利用目標數據集進行模型訓練並導致其「中毒」——舉例來說，故意為惡意代碼樣本添加正常標籤，從而證明其屬於安全且非可疑內容。

入侵智能合約

智能合約是指存儲在區塊鏈之上的軟體程序，一旦滿足其中編碼的條件，則合約即會自動執行某種形式的數字資產交換。從貨幣轉移到知識產權保護，目前企業家們正在積極使用智能合約這一新興工具。然而，其仍然處於早期發展階段，研究人員也開始慢慢發現其中存在的某些問題。正因為如此，黑客們亦開展積極探索，甚至利用相關漏洞竊取到價值數百萬美元的加密貨幣。

其中的根本問題在於，區塊鏈在設計之初就強調透明性。因此，我們往往很難對與智能合約相關的數據進行保密。加州大學伯克利分校教授、Oasis Labs公司CEO Dawn Song解釋稱，「我們需要在智能合約平台之上建立起隱私保護技術，」該公司目前正致力於利用特殊硬體實現這一目標。

利用量子計算機破解加密體系

安全專家們預測，利用量子力學中的奇異現象有望實現處理能力，這意味著量子計算機將在算力層面實現指數性飛躍，並最終破解目前用於保護電子商務交易乃至健康記錄等一切敏感內容的加密方法。

量子計算機目前仍處於起步階段，可能還需要幾年時間才會真正成為嚴重威脅。然而，汽車上能夠實現遠程更新的配套軟體等產品將在未來十年甚至更長周期之內持續運作，這意味著此類現有加密方案最終有可能受到量子攻擊的影響。同理可知，各類負責保護長周期敏感數據(例如財務記錄)存儲的代碼也面臨著類似的挑戰。

一支美國量子專家小組在最近發布的報告當中，敦促各組織儘快採用能夠抵禦量子破解攻擊的新型/即將發布的加密演算法。而美國國家標準與技術研究院等多方政府組織也在積極制定後量子加密標準，從而降低這一全面演算法轉換過程的執行難度。

來自雲端的攻擊

相當一部分企業會將其它公司的數據託管在伺服器之上，或者以遠程方式管理客戶的IT系統——這無疑將成為黑客眼中極為誘人的攻擊目標。通過入侵此類企業的系統，攻擊者將能夠順利進入客戶的業務體系。雖然像亞馬遜與谷歌這樣的大型雲計算廠商具備充足的財力，足以建立強大的網路安全防禦架構並招攬這一領域當中最為優秀的人才，但其同樣不免偶爾受到惡意活動的影響。更可怕的是，黑客往往傾向於將矛頭指向規模較小、安全能力較差的小型服務廠商。

這一點已經在現實層面有所體現。美國政府最近指責稱，有中國黑客潛入了一家為其它公司提供IT系統的廠商。據稱通過這種入侵活動，黑客得以訪問全球45家公司的計算機系統，其中涵蓋航空以及石油/天然氣勘探等眾多行業。

這種攻擊手段被安全專家們稱為「雲端漏斗(Cloudhopper)」，而上述案例只是快速增長中的整體趨勢內的冰山一角。專註於網路安全的風險投資企業Rain Capital公司創始人Chenxi Wang表示，「未來大家會看到黑客的關注重點從桌面惡意軟體，轉向數據中心惡意軟體」，因為這將帶來顯著的規模經濟效益。

我們在這裡提到的未來安全威脅並不全面，當然還存在其它一些值得高度關注的風險類型。而且可以肯定的是，在網路安全領域，企業應當充分發揮自身想像力以做好應對一切威脅挑戰的準備。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！