2023年最危险的5种新兴攻击技术

在每年的RSAC大会上，网络安全研究与培训机构SANS Institute都会对当前网络安全攻击技术的发展特点和趋势进行介绍，以帮助企业安全领导者洞察不断变化的威胁状况，并防患于未然。日前，SANS的安全专家们在今年的大会上发表了其最新研究成果，对2023年度最值得关注的5种新兴网络攻击技术及其特点进行了介绍。

对抗性AI攻击

对抗性攻击是指利用AI模型中的不足和漏洞，破坏AI模型用来学习的数据，并生成能够欺骗模型的对抗样本。这些样本看起来与正常数据非常相似，但是却能够导致模型产生错误的输出结果。目前，对抗性攻击已经成为了人工智能技术应用领域中一个非常重要的研究方向。

在对抗性攻击中，攻击者会用多种方法生成对抗样本，例如快速梯度符号方法（FGSM）、基于梯度的优化方法（BIM）、投影算法攻击（PGD）等。这些方法都是通过对原始数据进行扰动，从而欺骗AI模型。

SANS研究员、攻击性网络作战研究负责人Stephen Sims表示：就对抗性AI攻击而言，威胁分子通过操纵AI工具，可以更方便地识别复杂应用系统中存在的安全漏洞。从简化恶意软件编码流程到普及社会工程伎俩，对抗性AI已经改变了攻防对抗中的游戏规则。为此，组织需要部署纵深化防御的安全模式，提供层次化保护、自动化检测和响应操作，并支持更有效的事件处理流程。

利用ChatGPT的社会工程攻击

ChatGPT可以非常真实流畅地模仿人类写作，这个特点使其有可能成为一种强大的网络钓鱼和社会工程工具，特别是当威胁分子需要进行跨语种的欺诈攻击时，ChatGPT可能被用来更有效地分发恶意软件。

SANS研究员Heather Mahalik表示，在ChatGPT技术加持下的社会工程攻击会更具欺骗性和危害性，这也意味着企业组织将比以往任何时候都更容易受到伤害，只需误点击一个恶意文件，就可能使整个公司面临风险。在这种更严峻的攻击面管理挑战下，需要组织自上而下倡导网络谨慎文化，以确保员工能够提前认识到与ChatGPT相关的攻击。

SEO优化攻击

SEO搜索引擎优化技术已经被广大网站运营者广泛使用，但它同样可以被网络攻击者所使用，使得非法欺诈网站的访问量大幅提高，从而提升攻击活动的成功率。SANS认证讲师Katie Nickels表示，SEO优化攻击是一种危险的新兴攻击方法。攻击者们开始大量利用常用的网络推广策略，以实现其非法攻击目标。

在这种攻击情况下，攻击者利用SEO关键字诱骗受害者访问欺骗网站、下载恶意文件，通过漏洞利用实现远程用户访问，还会使用一些技巧保护恶意样本长期潜伏。SEO优化攻击表明网络攻击者开始变得更加积极主动，他们逐渐抛弃那些容易防御的传统攻击技术。为了应对SEO优化攻击，企业组织需要实施更有针对性的安全意识培训计划。

恶意广告利用攻击

与利用SEO优化技术来扩大恶意网站的访问类似，攻击者还在利用付费的广告搜索技术，来提升欺诈网站的搜索引擎展示效果。尽管SEO优化攻击和恶意广告利用攻击使用的都不是全新技术，但是研究人员认为，这些攻击在2023年会变得非常流行。

SANS研究员Nniels表示，通过恶意广告利用，可以人为地提高某些非法恶意网站搜索排名，从而误导受害者。以一款名为Blender的免费3D图形软件的模仿广告为例。当用户搜索这个关键词时，排在最上部的三个网站链接都指向了恶意的欺诈网站，直到第四个结果，用户才能访问到真正合法的软件网站。而那些非法的恶意网站看起来和真正的Blender官网几乎完全相同，一般用户很难分别其真伪。

软件供应链攻击

研究数据显示，现代软件系统的底层代码中超过90%都是开源的，这意味着几乎所有软件的研发与应用都存在着一条供应链，包括各种组件的引用，以及在软件设计、开发、测试、部署和维护期间所涉及的各种环节，安全漏洞随时可能出现，因此在企业软件供应链中可能导致安全风险的因素也非常复杂。

SANS Technology Institute研究院院长Johannes Ullrich博士表示，软件供应链攻击已经成为现代企业组织必须高度重视的最危险攻击方式之一。2022年的LastPass漏洞事件就是最好的证明，攻击者会利用第三方软件漏洞绕过现有控制措施并访问特权环境。对于各大行业的企业组织而言，LastPass漏洞攻击再次强调了要与第三方软件供应商保持紧密合作的重要性，以便实现整体的安全架构、分享威胁情报，并熟悉不断发展的攻击技术。企业组织在解决软件供应链安全问题时，需要基于软件应用的全生命周期来考虑，监控和保护其中的每个环节。