隨著 2021年的到來(lái),是時(shí)候來(lái)關(guān)注一下 2021年以及網(wǎng)絡(luò)安全領(lǐng)域的新篇章。毫無(wú)疑問(wèn),可能的攻擊方式有很多種,但本文以下所列的五種攻擊類型在利用物聯(lián)網(wǎng) (IoT) 威脅的攻擊者中,正變得越來(lái)越流行和普遍。
1. 內(nèi)置物聯(lián)網(wǎng)威脅
在實(shí)體采用物聯(lián)網(wǎng)時(shí),他們?cè)谕{防范方面依然會(huì)落后于國(guó)防和指導(dǎo)部門(mén)。此外,威脅實(shí)施者會(huì)充分利用物聯(lián)網(wǎng)帶來(lái)的風(fēng)險(xiǎn)與實(shí)體在應(yīng)對(duì)這些風(fēng)險(xiǎn)所做準(zhǔn)備之間的差距。
物聯(lián)網(wǎng)設(shè)備本質(zhì)上是不安全的。它們會(huì)連接到網(wǎng)絡(luò),這意味著攻擊者也可以訪問(wèn)它們。但是物聯(lián)網(wǎng)設(shè)備缺乏加密等基本保護(hù)的處理能力。此外,它們往往十分重要但價(jià)格不高,用戶可以輕松部署大量的設(shè)備(到 2021 年底,全球 IoT 設(shè)備的總量可能達(dá)到 350億臺(tái))。
IT 可能未得到授權(quán),甚至可能不知道這些設(shè)備。在很多情況下,雇主甚至都沒(méi)有它們的所有權(quán)。
物聯(lián)網(wǎng)可能會(huì)成為勒索軟件攻擊的首選目標(biāo)。僵尸網(wǎng)絡(luò)、高級(jí)持續(xù)性威脅、分布式拒絕服務(wù) (DDoS) 攻擊、身份盜用、數(shù)據(jù)盜用、中間人攻擊、社交工程攻擊等也可能會(huì)以物聯(lián)網(wǎng)作為攻擊媒介。
物聯(lián)網(wǎng)威脅,包括那些針對(duì)數(shù)據(jù)庫(kù)的威脅,也與 2021 年的一些其他趨勢(shì)有交疊。在自動(dòng)化程度日益提高的世界中,許多攻擊都將重點(diǎn)放在供應(yīng)鏈和制造領(lǐng)域。物聯(lián)網(wǎng)在這些領(lǐng)域中使用得非常廣泛,而設(shè)備更新并非總是第一優(yōu)先事項(xiàng)。隨著物聯(lián)網(wǎng)網(wǎng)絡(luò)遭遇更多新型攻擊,一個(gè)問(wèn)題變得尤為重要,那就是:我們是否可以更新老化的固件,為其提供所需的防護(hù)?
2. AI 在 IoT 威脅中的作用
在 2021 年,由 AI 驅(qū)動(dòng)的物聯(lián)網(wǎng)威脅很有可能會(huì)大行其道。這一點(diǎn)并不奇怪。
自 2007 年以來(lái),基于 AI 的攻擊一直都在發(fā)生,主要用于社交工程攻擊(模擬人類聊天)和增強(qiáng) DDoS 攻擊。2018 年,在一份關(guān)于威脅的開(kāi)創(chuàng)性研究報(bào)告發(fā)表之后,對(duì) AI 的惡意使用便出現(xiàn)在每個(gè)人的視野之中。
隨著時(shí)間的推移,更精細(xì)的算法將能夠更好地模仿網(wǎng)絡(luò)上的普通用戶,進(jìn)而阻止檢測(cè)系統(tǒng)發(fā)現(xiàn)異常行為。在網(wǎng)絡(luò)攻擊對(duì) AI 的利用方面,近期的最大發(fā)展是用于構(gòu)建和使用 AI 系統(tǒng)的工具已變得“平民化”。威脅實(shí)施者現(xiàn)在可以構(gòu)建 AI 工具,而在幾年前,只有研究人員可以構(gòu)建 AI 工具。
在執(zhí)行 IoT 威脅的許多元素(例如重復(fù)性任務(wù)、交互式響應(yīng)和超大數(shù)據(jù)集處理)方面,AI 系統(tǒng)比人類做得更好??傮w而言,AI 將會(huì)助推威脅實(shí)施者擴(kuò)大物聯(lián)網(wǎng)威脅,實(shí)現(xiàn)其自動(dòng)化并讓其更加靈活。
此外,在 2021年,我們不能只關(guān)注基于 AI 的新型物聯(lián)網(wǎng)威脅。相反,我們也要關(guān)注常見(jiàn)的網(wǎng)絡(luò)漏洞和其他攻擊,不過(guò)與過(guò)去相比,它們的部署速度更快、規(guī)模更大,而且在靈活性、自動(dòng)化和可定制化方面也更加強(qiáng)大。
3. 采用 Deepfake 技術(shù)實(shí)施 IoT 威脅
攻擊者會(huì)采用與 Deepfake 視頻相同的工具來(lái)實(shí)施 IoT 威脅,例如蠻力攻擊、欺騙性生物特征識(shí)別等。舉例來(lái)說(shuō),大學(xué)研究人員已經(jīng)證明了生成對(duì)抗網(wǎng)絡(luò) (GAN) 技術(shù)可以強(qiáng)行使用偽造但實(shí)用的指紋。。和強(qiáng)行使用密碼一樣,他們通過(guò)數(shù)千次的強(qiáng)行嘗試來(lái)實(shí)施攻擊。
實(shí)際上,我們已經(jīng)看到,一些惡意攻擊已經(jīng)開(kāi)始使用 Deepfake 技術(shù)。攻擊者在最開(kāi)始的時(shí)候是偽造聲音。攻擊者會(huì)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行訓(xùn)練,使它們能夠發(fā)出聽(tīng)起來(lái)像是某個(gè)首席執(zhí)行官的聲音,然后假冒該首席執(zhí)行官打電話給員工,要求員工匯款或做其他事情。
音頻和圖像方面的 Deepfake 技術(shù)現(xiàn)在已基本完善,也就是說(shuō),您可以創(chuàng)建大多數(shù)人都無(wú)法分辨的聲音和照片。
視頻領(lǐng)域是 Deepfake 技術(shù)的“天堂”。即便是如今,以這種方式制作的視頻仍舊令人不可思議。不過(guò)攻擊者還可以完善 Deepfake 視頻,讓視頻通話社交工程攻擊更具說(shuō)服力,這只是時(shí)間問(wèn)題。他們還可以使用偽造的視頻進(jìn)行網(wǎng)絡(luò)破壞、敲詐和勒索。
4. 更專業(yè)的網(wǎng)絡(luò)犯罪
縱觀網(wǎng)絡(luò)犯罪的整個(gè)歷史,會(huì)發(fā)現(xiàn)攻擊者一直都在不斷完善。這種完善經(jīng)常反映了正當(dāng)業(yè)務(wù)中的趨勢(shì)。物聯(lián)網(wǎng)威脅的這一長(zhǎng)期趨勢(shì)仍將繼續(xù),因?yàn)槲覀冾A(yù)計(jì) 2021年將會(huì)出現(xiàn)更多的專業(yè)化和外包服務(wù)。威脅實(shí)施者會(huì)追逐更大的利益。他們不會(huì)由單個(gè)人或單個(gè)團(tuán)伙負(fù)責(zé)所有工作,而是由多個(gè)團(tuán)伙提供有償服務(wù)。一次攻擊可能會(huì)涉及多個(gè)團(tuán)伙,每個(gè)團(tuán)伙都發(fā)揮自己的特長(zhǎng)。
舉例來(lái)說(shuō),一個(gè)團(tuán)伙可能專門(mén)負(fù)責(zé)大規(guī)模偵察,然后以一定價(jià)格在暗網(wǎng)上提供他們的知識(shí)。另一個(gè)團(tuán)伙可能會(huì)購(gòu)買(mǎi)這些知識(shí),然后雇用另一個(gè)團(tuán)伙通過(guò)社交工程攻擊對(duì)受害者實(shí)施攻擊。該團(tuán)伙可能會(huì)反過(guò)來(lái)聘請(qǐng)母語(yǔ)人士和圖形設(shè)計(jì)師來(lái)制作更具說(shuō)服力的電子郵件。一旦他們獲得訪問(wèn)權(quán)限,便會(huì)雇傭多個(gè)專業(yè)團(tuán)伙進(jìn)行勒索、比特幣挖礦、敲詐和其他攻擊。
就像企業(yè)運(yùn)營(yíng)已變得專業(yè)化、多元化并從外包中受益一樣,構(gòu)建物聯(lián)網(wǎng)威脅的攻擊者也是如此。
5. 國(guó)家贊助的攻擊與犯罪攻擊之間的細(xì)分
上述組織化趨勢(shì)(專業(yè)化和外包)將進(jìn)一步模糊國(guó)家贊助的攻擊與團(tuán)伙攻擊之間的界限。這一點(diǎn)其實(shí)很好理解。實(shí)際上,許多所謂的國(guó)家贊助網(wǎng)絡(luò)攻擊是由與政府機(jī)構(gòu)(包括軍事和間諜機(jī)構(gòu))有關(guān)聯(lián)的犯罪團(tuán)伙實(shí)施的。
通過(guò)提升專業(yè)化水平并增加外包服務(wù)的使用,民族國(guó)家將會(huì)從網(wǎng)絡(luò)攻擊(比如物聯(lián)網(wǎng)威脅)中獲益,得到更多的金錢(qián)利益。各個(gè)民族國(guó)家會(huì)雇用其他與政府機(jī)構(gòu)無(wú)關(guān)聯(lián)的網(wǎng)絡(luò)團(tuán)隊(duì)實(shí)施特定的惡意攻擊或承擔(dān)攻擊中的特定部分工作。
即使在今天,也很難界定檢測(cè)到的攻擊是否是由某個(gè)國(guó)家所贊助的。從 2021年開(kāi)始到無(wú)限的未來(lái),幾乎都不可能準(zhǔn)確界定。毫無(wú)疑問(wèn),2021 年又將會(huì)是網(wǎng)絡(luò)安全的攻堅(jiān)年。我們需要將物聯(lián)網(wǎng)威脅的這五種趨勢(shì)作為重點(diǎn)領(lǐng)域加以關(guān)注。
原文標(biāo)題:2021 年值得關(guān)注的五種物聯(lián)網(wǎng)(IoT)威脅
文章出處:【微信公眾號(hào):物聯(lián)網(wǎng)智慧城市D1net】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
責(zé)任編輯:haq
-
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2909文章
44557瀏覽量
372773 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3155瀏覽量
59699
原文標(biāo)題:2021 年值得關(guān)注的五種物聯(lián)網(wǎng)(IoT)威脅
文章出處:【微信號(hào):D1Net01,微信公眾號(hào):物聯(lián)網(wǎng)智慧城市D1net】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論