在每年的RSAC大會上，網絡安全研究與培訓機構SANS Institute都會對當前網絡安全攻擊技術的發展特點和趨勢進行介紹，以幫助企業安全領導者洞察不斷變化的威脅狀況，并防患于未然。日前，SANS的安全專家們在今年的大會上發表了其最新研究成果，對2023年度最值得關注的5種新興網絡攻擊技術及其特點進行了介紹。

01對抗性AI攻擊

對抗性攻擊是指利用AI模型中的不足和漏洞，破壞AI模型用來學習的數據，并生成能夠欺騙模型的對抗樣本。這些樣本看起來與正常數據非常相似，但是卻能夠導致模型產生錯誤的輸出結果。目前，對抗性攻擊已經成為了人工智能技術應用領域中一個非常重要的研究方向。

在對抗性攻擊中，攻擊者會用多種方法生成對抗樣本，例如快速梯度符號方法（FGSM）、基于梯度的優化方法（BIM）、投影算法攻擊（PGD）等。這些方法都是通過對原始數據進行擾動，從而欺騙AI模型。

SANS研究員、攻擊性網絡作戰研究負責人Stephen Sims表示：就對抗性AI攻擊而言，威脅分子通過操縱AI工具，可以更方便地識別復雜應用系統中存在的安全漏洞。從簡化惡意軟件編碼流程到普及社會工程伎倆，對抗性AI已經改變了攻防對抗中的游戲規則。為此，組織需要部署縱深化防御的安全模式，提供層次化保護、自動化檢測和響應操作，并支持更有效的事件處理流程。

02利用ChatGPT的社會工程攻擊

ChatGPT可以非常真實流暢地模仿人類寫作，這個特點使其有可能成為一種強大的網絡釣魚和社會工程工具，特別是當威脅分子需要進行跨語種的欺詐攻擊時，ChatGPT可能被用來更有效地分發惡意軟件。

SANS研究員Heather Mahalik表示，在ChatGPT技術加持下的社會工程攻擊會更具欺騙性和危害性，這也意味著企業組織將比以往任何時候都更容易受到傷害，只需誤點擊一個惡意文件，就可能使整個公司面臨風險。在這種更嚴峻的攻擊面管理挑戰下，需要組織自上而下倡導網絡謹慎文化，以確保員工能夠提前認識到與ChatGPT相關的攻擊。

03SEO優化攻擊

SEO搜索引擎優化技術已經被廣大網站運營者廣泛使用，但它同樣可以被網絡攻擊者所使用，使得非法欺詐網站的訪問量大幅提高，從而提升攻擊活動的成功率。SANS認證講師Katie Nickels表示，SEO優化攻擊是一種危險的新興攻擊方法。攻擊者們開始大量利用常用的網絡推廣策略，以實現其非法攻擊目標。

在這種攻擊情況下，攻擊者利用SEO關鍵字誘騙受害者訪問欺騙網站、下載惡意文件，通過漏洞利用實現遠程用戶訪問，還會使用一些技巧保護惡意樣本長期潛伏。SEO優化攻擊表明網絡攻擊者開始變得更加積極主動，他們逐漸拋棄那些容易防御的傳統攻擊技術。為了應對SEO優化攻擊，企業組織需要實施更有針對性的安全意識培訓計劃。

04惡意廣告利用攻擊

與利用SEO優化技術來擴大惡意網站的訪問類似，攻擊者還在利用付費的廣告搜索技術，來提升欺詐網站的搜索引擎展示效果。盡管SEO優化攻擊和惡意廣告利用攻擊使用的都不是全新技術，但是研究人員認為，這些攻擊在2023年會變得非常流行。

SANS研究員Nniels表示，通過惡意廣告利用，可以人為地提高某些非法惡意網站搜索排名，從而誤導受害者。以一款名為Blender的免費3D圖形軟件的模仿廣告為例。當用戶搜索這個關鍵詞時，排在最上部的三個網站鏈接都指向了惡意的欺詐網站，直到第四個結果，用戶才能訪問到真正合法的軟件網站。而那些非法的惡意網站看起來和真正的Blender官網幾乎完全相同，一般用戶很難分別其真偽。

05軟件供應鏈攻擊

研究數據顯示，現代軟件系統的底層代碼中超過90%都是開源的，這意味著幾乎所有軟件的研發與應用都存在著一條供應鏈，包括各種組件的引用，以及在軟件設計、開發、測試、部署和維護期間所涉及的各種環節，安全漏洞隨時可能出現，因此在企業軟件供應鏈中可能導致安全風險的因素也非常復雜。

SANS Technology Institute研究院院長Johannes Ullrich博士表示，軟件供應鏈攻擊已經成為現代企業組織必須高度重視的最危險攻擊方式之一。2022年的LastPass漏洞事件就是最好的證明，攻擊者會利用第三方軟件漏洞繞過現有控制措施并訪問特權環境。對于各大行業的企業組織而言，LastPass漏洞攻擊再次強調了要與第三方軟件供應商保持緊密合作的重要性，以便實現整體的安全架構、分享威脅情報，并熟悉不斷發展的攻擊技術。企業組織在解決軟件供應鏈安全問題時，需要基于軟件應用的全生命周期來考慮，監控和保護其中的每個環節。

參考鏈接：https://www.csoonline.com/article/3694892/5-most-dangerous-new-attack-techniques.html