不需要专家预言就能知道,计算机安全将在2024年出现在新闻中,而且可能不是什么好事。但2024年网络犯罪分子将如何试图突破防御并窃取有价值的数据,值得我们看一看安全专家们的看法和预测。



Intuit


Tysen预测,高级副总裁兼首席信息安全官Atticus人工智能的普及化对网络安全来说将是一把双刃剑。


Tysen说:“虽然人工智能的民主化显示出巨大的希望,但它的广泛可用性对网络安全构成了前所未有的挑战。”“人工智能将演变为针对企业的特定攻击,成为针对企业、个人及其所依赖的基础设施的持续、无处不在的威胁。即便如此,设计有弹性的系统和保护措施仍将是一场与威胁者的竞赛。如果我们失败了,在不久的将来,成功的黑客攻击变得司空见惯,造成严重破坏的风险明确而现实。”


“人工智能机器人勒索软件攻击将使企业进入网络犯罪带来痛苦的新时代。”


Veritas Technologies高级副总裁兼数据保护总经理Matt Waxman预测:“像WormGPT这样的工具已经让攻击者很容易通过人工智能生成的网络钓鱼电子邮件来改进他们攻击行为,这些电子邮件比我们之前熟悉的更有说服力。2024年,网络犯罪分子将通过首次端到端人工智能驱动的自主勒索软件攻击,全面发挥人工智能的作用。从类似机器人呼叫的自动化开始,最终人工智能将用于识别目标、执行入侵、勒索受害者,然后将赎金存入攻击者的账户,所有这些都以惊人的效率进行,几乎没有人类互动。”


对于没有高学历的人来说,生成式人工智能工具正变得越来越容易使用。Skybox Security产品管理副总裁Adi Dubin表示,这对网络骗子来说是个好消息,但对我们其他人来说就不那么好了。


Dubin说:“到2024年,将过渡到人工智能生成的定制恶意软件和全面自动化的网络攻击。”“网络安全团队面临着使用生成式人工智能和其他先进工具快速自动化恶意软件创建和执行的重大威胁。2023年,能够生成高度定制的恶意软件的人工智能系统出现,为威胁行为者提供了一种新的强大武器。在接下来的一年里,重点将从仅仅生成量身定制的恶意软件转向整个攻击过程的自动化。这将使即使是不熟练的威胁行为者也更容易发动成功的攻击。”


Onapsis首席技术官JP Perez-Etchegoyen表示,对人工智能的投资激增将引发人工智能安全领域的重大转变,并重塑行业格局。


Perez-Etchegoyen说:“随着人工智能模型,特别是大型语言模型(LLM)和生成式人工智能(GenAI),被集成到不同行业软件链的各个方面,保护这些技术免受不断发展的威胁(如提示注入和其他恶意攻击)的需求将达到前所未有的水平。”“严格的安全措施的必要性将更加强烈,标志着人工智能技术之旅的分水岭时刻。随着我们继续努力应对巨大数据和新挑战的未知领域,我们将见证各方共同努力,巩固边界,确保这一变革性技术的负责任增长。”


Capterra研究实验室经理、高级安全分析师Zach Capers表示,过去几年采取的安全防范措施将迫使黑客在窃取数据的技术上变得更有创意。


Capers说:“企业漏洞开始以前所未有的方式锁定系统。”“这意味着网络犯罪分子将越来越依赖于利用员工而不是外部攻击方案。进入2024年,GetApp研究发现,IT安全管理人员最担心的是高级网络钓鱼攻击。搜索引擎优化中毒攻击是一种不断上升的网络钓鱼威胁,旨在通过利用搜索引擎算法将受害者引诱到恶意的类似网站。这意味着员工在搜索在线云服务时可能会发现一个虚假网站,并将他们的‘安全凭证’直接交给网络犯罪分子,或者他们的机器被恶意软件感染,或者两者兼而有之。2024年,对员工进行教育将比以往任何时候都更加重要,因为这些方法越来越复杂,越来越动态,可以诱使他们交出敏感信息,从而导致破坏性的网络攻击。”


Veriff公司负责欺诈预防和检验的高级主管David Divitt表示,2023年网络欺诈行为有所增加,但技术进步也在增加。网络安全的“猫捉老鼠游戏”将继续下去。


Divitt说:“过去一年,欺诈总数增加了20%,这种情况将持续到2024年。”“随着生物识别技术用于身份验证的增加,我们将看到使用深度造假的账户数量增加。随着像人工智能这样的工具变得越来越容易和便宜,将看到更多的冒充和身份欺诈类型的攻击。更多的假冒攻击,以及使用深度假冒库和获取身份的大规模攻击。伪造的模板文件、深度伪造的生物识别技术和大量被盗的凭证将继续成为迫在眉睫的威胁。“


对于Rubrik Zero Labs的负责人Steve Stone来说,更多的数据意味着更多的安全问题。


“加速的数据爆炸将迫使人们重新思考安全策略。”Stone说,“到2024年,组织将面临更严峻的挑战,即在快速扩张和变化区域保护数据。他们解决这个问题的一种方法是对SaaS和云数据具有与在内部部署环境中相同的可见性——特别是对现有功能。这将是许多组织明年关注的主要网络安全问题。更多的人将认识到,整个安全结构已经发生了变化——不再是保护单个城堡,而是一个相互连接的大篷车。


Intuit首席隐私官Elise Houlik表示,隐私专业人士需要迅速提高技能,以适应人工智能时代。


Houlik说:“随着个人数据变得越来越有价值,人工智能进一步渗透到全球几乎每个行业,当今隐私专业人员的定义和所需的技能将需要迅速扩展。”“隐私团队比以往任何时候都需要与系统架构师、人工智能科学家和工程师、网络安全团队、产品开发人员、隐私工程师和其他技术学科密切合作,以确保平台正确处理个人数据,并以最负责任的方式使用这些数据。使问题复杂化的是,全球人工智能监管格局分散且充满挑战,随着全球框架变得更加清晰,从数据隐私的角度来看,不断提高技能的需求变得更加紧迫。”


Egress


Malone预测,负责产品管理的副总裁Steve人工智能助手(copilot)的普及将带来负面影响。


Malone表示:“随着越来越多的科技产品提供‘copilot’人工智能助手,我预计如果人工智能工具的中毒或被接管将导致用户遭到破坏、妥协和操纵。”“事实上,人工智能已经钻进了首席信息安全官的大脑,我们的《2023年电子邮件风险报告》显示,72%的网络安全领导者担心使用聊天机器人来加强网络钓鱼攻击。到2024年,它肯定会成为一支突出的力量。”



随着多功能认证(MFA)成为标准,密码已经成为安全圈的通行证。Code42的首席执行官Joe Payne表示,安全领域的这种变化具有重要意义。


Payne说:“随着组织迅速采用Okta的Fastpass等技术,这种技术使用生物识别技术而不是密码进行身份验证,恶意行为者的操作方式将发生变化。”“我们预计有两个方面的漏洞会增加:社交平台造成的漏洞(已经在上升),以及内部人员造成的漏洞(已经超过所有漏洞的40%)。那些有权访问源代码、销售预测和联系人以及人力资源数据的内部人士,在跳槽到竞争对手或创办自己的公司时,仍会继续从组织中获取数据。随着我们降低黑客使用弱密码访问我们数据的能力,解决内部问题的重点将变得更加突出。”


原文参考:2024年信息安全不完全预测 | 数字经济观察网 - 软信官网 - 助力数字中国建设 (szw.org.cn)