2021 年值得關注的五種物聯網(IoT)威脅
隨著 2021年的到來,是時候來關注一下 2021年以及網絡安全領域的新篇章。毫無疑問,可能的攻擊方式有很多種,但本文以下所列的五種攻擊類型在利用物聯網 (IoT) 威脅的攻擊者中,正變得越來越流行和普遍。
1. 內置物聯網威脅
在實體采用物聯網時,他們在威脅防范方面依然會落后于國防和指導部門。此外,威脅實施者會充分利用物聯網帶來的風險與實體在應對這些風險所做準備之間的差距。
物聯網設備本質上是不安全的。它們會連接到網絡,這意味著攻擊者也可以訪問它們。但是物聯網設備缺乏加密等基本保護的處理能力。此外,它們往往十分重要但價格不高,用戶可以輕松部署大量的設備(到 2021 年底,全球 IoT 設備的總量可能達到 350億臺)。
IT 可能未得到授權,甚至可能不知道這些設備。在很多情況下,雇主甚至都沒有它們的所有權。
物聯網可能會成為勒索軟件攻擊的首選目標。僵尸網絡、高級持續性威脅、分布式拒絕服務 (DDoS) 攻擊、身份盜用、數據盜用、中間人攻擊、社交工程攻擊等也可能會以物聯網作為攻擊媒介。
物聯網威脅,包括那些針對數據庫的威脅,也與 2021 年的一些其他趨勢有交疊。在自動化程度日益提高的世界中,許多攻擊都將重點放在供應鏈和制造領域。物聯網在這些領域中使用得非常廣泛,而設備更新并非總是第一優先事項。隨著物聯網網絡遭遇更多新型攻擊,一個問題變得尤為重要,那就是:我們是否可以更新老化的固件,為其提供所需的防護?
2. AI 在 IoT 威脅中的作用
在 2021 年,由 AI 驅動的物聯網威脅很有可能會大行其道。這一點并不奇怪。
自 2007 年以來,基于 AI 的攻擊一直都在發生,主要用于社交工程攻擊(模擬人類聊天)和增強 DDoS 攻擊。2018 年,在一份關于威脅的開創性研究報告發表之后,對 AI 的惡意使用便出現在每個人的視野之中。
隨著時間的推移,更精細的算法將能夠更好地模仿網絡上的普通用戶,進而阻止檢測系統發現異常行為。在網絡攻擊對 AI 的利用方面,近期的最大發展是用于構建和使用 AI 系統的工具已變得“平民化”。威脅實施者現在可以構建 AI 工具,而在幾年前,只有研究人員可以構建 AI 工具。
在執行 IoT 威脅的許多元素(例如重復性任務、交互式響應和超大數據集處理)方面,AI 系統比人類做得更好。總體而言,AI 將會助推威脅實施者擴大物聯網威脅,實現其自動化并讓其更加靈活。
此外,在 2021年,我們不能只關注基于 AI 的新型物聯網威脅。相反,我們也要關注常見的網絡漏洞和其他攻擊,不過與過去相比,它們的部署速度更快、規模更大,而且在靈活性、自動化和可定制化方面也更加強大。
3. 采用 Deepfake 技術實施 IoT 威脅
攻擊者會采用與 Deepfake 視頻相同的工具來實施 IoT 威脅,例如蠻力攻擊、欺騙性生物特征識別等。舉例來說,大學研究人員已經證明了生成對抗網絡 (GAN) 技術可以強行使用偽造但實用的指紋。。和強行使用密碼一樣,他們通過數千次的強行嘗試來實施攻擊。
實際上,我們已經看到,一些惡意攻擊已經開始使用 Deepfake 技術。攻擊者在最開始的時候是偽造聲音。攻擊者會對計算機系統進行訓練,使它們能夠發出聽起來像是某個首席執行官的聲音,然后假冒該首席執行官打電話給員工,要求員工匯款或做其他事情。
音頻和圖像方面的 Deepfake 技術現在已基本完善,也就是說,您可以創建大多數人都無法分辨的聲音和照片。
視頻領域是 Deepfake 技術的“天堂”。即便是如今,以這種方式制作的視頻仍舊令人不可思議。不過攻擊者還可以完善 Deepfake 視頻,讓視頻通話社交工程攻擊更具說服力,這只是時間問題。他們還可以使用偽造的視頻進行網絡破壞、敲詐和勒索。
4. 更專業的網絡犯罪
縱觀網絡犯罪的整個歷史,會發現攻擊者一直都在不斷完善。這種完善經常反映了正當業務中的趨勢。物聯網威脅的這一長期趨勢仍將繼續,因為我們預計 2021年將會出現更多的專業化和外包服務。威脅實施者會追逐更大的利益。他們不會由單個人或單個團伙負責所有工作,而是由多個團伙提供有償服務。一次攻擊可能會涉及多個團伙,每個團伙都發揮自己的特長。
舉例來說,一個團伙可能專門負責大規模偵察,然后以一定價格在暗網上提供他們的知識。另一個團伙可能會購買這些知識,然后雇用另一個團伙通過社交工程攻擊對受害者實施攻擊。該團伙可能會反過來聘請母語人士和圖形設計師來制作更具說服力的電子郵件。一旦他們獲得訪問權限,便會雇傭多個專業團伙進行勒索、比特幣挖礦、敲詐和其他攻擊。
就像企業運營已變得專業化、多元化并從外包中受益一樣,構建物聯網威脅的攻擊者也是如此。
5. 國家贊助的攻擊與犯罪攻擊之間的細分
上述組織化趨勢(專業化和外包)將進一步模糊國家贊助的攻擊與團伙攻擊之間的界限。這一點其實很好理解。實際上,許多所謂的國家贊助網絡攻擊是由與政府機構(包括軍事和間諜機構)有關聯的犯罪團伙實施的。
通過提升專業化水平并增加外包服務的使用,民族國家將會從網絡攻擊(比如物聯網威脅)中獲益,得到更多的金錢利益。各個民族國家會雇用其他與政府機構無關聯的網絡團隊實施特定的惡意攻擊或承擔攻擊中的特定部分工作。
即使在今天,也很難界定檢測到的攻擊是否是由某個國家所贊助的。從 2021年開始到無限的未來,幾乎都不可能準確界定。毫無疑問,2021 年又將會是網絡安全的攻堅年。我們需要將物聯網威脅的這五種趨勢作為重點領域加以關注。
