全方位整合与自动化网路安全厂商Fortinet,公布了旗下FortiGuard安全防护中心对於2019年的网路威胁预测,这些预测揭示了网路犯罪分子未来可能采用的方法和技术,以及企业组织未来在因应这些攻击时的策略改变。
Fortinet全球安全策略长Derek Manky表示,「我们发现网路犯罪工具和服务有了重大进展,他们已在利用自动化和人工智慧的先行技术。因此,企业组织必须重新思考他们的策略,更隹地预测威胁,同时打击网路犯罪分子的经济诱因,让他们徒劳无功回到原点。企业组织不需要永久的军备竞赛,而是也要采用自动化和人工智慧来降低风险,由被入侵到侦测入侵,再由侦测入侵到防御入侵。
这可以藉由整合安全防护到一个安全织网(security fabric)架构来实现,在统一的架构里动态共享威胁情报,进而从物联网到多云架构的每个网段中,获得更全面的保护和可视性。」
网路攻击会更聪明、更精密
对於很多网路犯罪组织而言,攻击技术不仅仅单从它们的成效来评估,亦包括技术发展、改良和施行时所产生的成本开支,因此,有些攻击可能会因人为、过程及技术的改变而受到干扰。
其中一个方法是引入新技术和策略,例如利用机器学习和自动化来处理需要大量人力监督和介入,既沉闷又耗时的工作。这些较新的防御策略很可能会影响网路犯罪策略,令他们改变攻击方法并加强技术发展。
随着机器学习和自动化渐趋普及,我们预期网路罪犯很可能会采取以下策略,建议整个网路资安业界必须紧密观察:
人工智慧模糊测试及漏洞检测
模糊测试一向是网路威胁的专业实验室研究人员,用来侦测软、硬体界面及应用程式漏洞的精密技术。透过在界面或程式输入无效、无关连性或半随机的数据,研究人员会进行监控并检测程式崩溃、没有记录的跳转、侦错常式、错误代码和潜在的记忆体流失等事件。
随着加入机器学习功能,我们预测这种技术将会变得更有效且量身定制,由於网路犯罪分子开始利用机器学习来开发自动化模糊测试程式,他们将能更快发现零日漏洞,并增加针对不同程式和平台的零日攻击。
利用AIF挖掘零日漏洞
当AIF到位时,它可以利用受控环境中的代码来挖掘零日漏洞,零日攻击的速度亦会显着加快。一旦因此出现零日挖掘服务(zero-day mining-as-a-service),它将彻底改变企业组织处理资安问题的方式,因为这些零日攻击的出现将会无法预测,也无从计算正确防御的方法。现阶段很多单位仍使用单一独立的传统防护工具,这会让问题变得更具挑战性。
零日的「价格」
一直以来,零日漏洞的价格都很高,主要是因为发掘它们需要时间、精力和技能。但随着人工智慧技术的应用,发掘这些漏洞将从极为稀有变成一件商品。我们看到一些更传统的漏洞已商品化,例如勒索软体和??尸网路,结果让许多传统资安公司无力因应。急剧加速的漏洞数量与种类,包括快速制造零日漏洞的能力并转化成服务,可能会彻底改变暗网上的服务类型和成本。
群集智能即服务(Swarm-as-a-Service)
以群集智能技术(swarm-based intelligence technology)驱动的精密攻击,再进一步延伸至??尸网络,我们称之为蜂巢网(hivenets),这种新型威胁可以用来制造能协同合作和自动化运作的大规模群集智能机器人,群集智能网路不仅提高了制定防御措施所需的技术门槛,但跟零日挖掘一样,他们亦会对潜在的网路犯罪商业模式有所影响。最终,随着漏洞挖掘技术和攻击方法不断演变,最深受影响的会是网路犯罪组织的商业模式,而目前其生态圈主要由人所主导。
专业黑客多数按照客制化的漏洞挖掘方式来收费,即使一些崭新先进技术如勒索软体服务(ransomware-as-a-service),或需要黑帽工程师来支援不同项目,例如构建和测试漏洞,或是管理後端C2伺服器。当能自动化、自我学习的群集智能技术服务投入後,黑客顾客和黑帽企业家的直接互动量将急剧降低。
自选的群集智能技术
把群集智能划分为不同任务去达成理想结果的能力,与世界走向虚拟化发展的方向非常相似。虚拟化网路可以完全基於需求,启动或减缓虚拟机器去处理一些特定的问题,例如频宽。同样地,群集智能网路的资源可以弹性分配,或按照攻击链上遇到的特定问题再重新分配。
犯罪企业利用一系列分析工具和漏洞,预先编制群集智能,配合自动学习,让它们能以团队形式一同改善攻击协定,网路犯罪分子便能轻易地像挑选菜单一样,任意选购攻击项目。
有毒的机器学习
机器学习是资安防御里一项最有保证的工具。你可以训练资安设备和系统自动执行特定任务,例如调整行为基准、使用行?分析来辨识复杂的威胁,或是追踪和修复设备。不幸的是,网路罪犯同样也会滥用这项技术。
针对机器学习流程,网路罪犯可以调控设备或系统,以停止使用漏洞修补或更新某个特定装置、忽视特定的应用程式种类或行?、或者暂停记录特定流量以逃避侦测。这都对机器学习和人工智慧科技的未来有重大的革命性影响。
防御将变得更精密
?了因应这些技术发展,企业组织需要为网路罪犯构筑高墙。每一项防御的预测都会对犯罪组织有影响,逼使他们改变策略、修改攻击方式,并寻找新方法来发掘机会。对他们而言,实行攻击的代价会提升,让犯罪开发者需要花费更多的资源去获取同样的结果,或是寻找一个更容易进入的网路来攻击。
先进的诈骗策略
在资安策略中引入诈骗技术,利用造假资讯构建网路,能逼使攻击者必须反覆验证他们的资讯,花费更多时间和资源来检测误报,以确保他们可以看到的网路资源是准确的。由於在造假网路资源的任何攻击都可以被即时侦测,并自动触发防御对策,因此攻击者需要非常谨慎地执行策略,即使是探测网路的基本举动。
统一开放式的合作
对网路罪犯来说,一个把现有攻击的投资极大化,甚至可以逃避侦测的方法,就是简单地做出一个微小的改变,例如改变网路IP位址。而防守方要跟上这些变化的有效方法,则是积极分享威胁情报。持续更新的威胁情报,可以让资安厂商和其客户密切了解最新的威胁概况。
如果威胁研究机构、业界联盟、资安厂商和执法机构公开合作,将大幅缩短侦测最新威胁的时间。与其静观其变,倒不如藉由开放式合作,透过即时数据结合行?分析,让防御者有效预测恶意软体的潜在风险,进而击退目前网路罪犯重复利用现有恶意软体进行攻击的模式。
速度、整合和自动化都是重要的网路安全关键
假使未来防御策略要引进自动化或机器学习,可利用智能响应技术的精密度,集中搜集、处理威胁情报,或依情报做出相应行动。为应付日益复杂的威胁风险,企业组织必须将所有安全元件整合在一个安全织网架构,方便快速和大规模地探查和反应。
在安全元件之间有关联或共享的先进威胁情报都需自动化,以降低风险并尽快进行补救。整合分散式网路中的单项产品,结合策略性的网路分区,对於抵御愈趋智能化和自动化的攻击有很大的帮助。