最近,SophosLabs發布一份2020年威脅報告,內容指出,人工智慧(AI)將成為資訊安全的新戰場。隨著智慧型自動化技術的不斷發展,網路犯罪分子和安全廠商之間的戰鬥將日趨激烈。安全廠商使用機器學習技術來找出任何威脅,包括惡意軟體到網路釣魚電子郵件等,但是資料科學家正在尋找可以騙過這些系統的方法。
這份報告指出,研究人員正在構思可以破解用來保護現代網路之AI模型的新型攻擊,而且這些攻擊手法開始從單純的學術領域轉移到攻擊者的攻擊套件中。手法之一是使用額外的資料來改良惡意軟體和電子郵件,讓機器學習系統誤以為它們是良性的。另一個做法是複製安全廠商用來建立AI演算法的訓練模型,使他們可以更加了解機器學習模型所針對的屬性類型。藉此,攻擊者能量身打造可以繞過AI保護的惡意檔案。
與AI相關的另一大隱憂是生成AI(Generative AI),其使用神經網路來建立逼真的人工製品,如相片、聲音和文字。這種手法也被稱為深度偽造(Deepfake),很可能會改良並對無法分辨差異的人們帶來更多問題。
深度偽造就是使用AI將一個人的臉疊加到另一個人的影片。製作者會使用生成對抗網路(GAN,一組互相博弈的神經網路)。其中一個網路負責產生逼真的影像,另一個網路則是將第一個網路的輸出與實際影像進行比對。如果發現不一致,則由第一個網路再產生另外一張影像。這種比對的情況會一直持續,直到第二個網路找不到更多錯誤為止。
這種作法創造出一些令人信服的圖片和影片。Deepfake AI曾經做出許多偽色情影片、假的個人資料圖片,以及假的領導人聲明(僅用於示範)。而且隨著新的研究成果不斷出現,這種手法將越來越容易。
Sophos預測,在未來幾年中,深度偽造會帶來更多的自動化社交工程攻擊,這種現象稱為「濕體(Wetware)」攻擊。濕體,指的是一種模仿生物系統及結構的智慧型軟體,也可以解讀成我們的大腦。
隨著自動化內容產生的不斷發展,以及更有效的資訊操作和掌握人類心理,不難預見,針對各種系統中「人類大腦」這個因素而來的機器學習攻擊勢必將越來越吃重。
自動化成為攻擊的重要組成
自動產生的內容,再結合某種程度的個性化,遠比一對一的詐騙要有效得多,並且能自然而然地適合各種潛在受害者的些微個性和差異。自動化的網路詐騙、網路釣魚、電話詐騙(Vhishing),甚至是Deepfake影片攻擊,大多都是針對系統中的人類因素而來,而且不易防禦,因為它們原本就是經由自動化對抗的方法產生的,所以自動化系統對它們的防禦效果有限,必須建構強大的政策和系統來克服人為失敗的情形。
在此同時,威脅報告也警告,自動化已逐步成為攻擊中越來越重要的一個組成。報告指出,攻擊者會利用自動化工具來逃避偵測,並將這種「離地攻擊」(Living off the land)視為一種特殊威脅。攻擊者會使用常見的合法工具,包括網路掃描工具Nmap到Microsoft的PowerShell等,目的是在受害者網路中橫向移動、提升權限並躲在雷達下竊取資料。
不只如此,網路犯罪分子還會利用誘餌惡意軟體干擾系統管理員,在受害者環境中到處放入這些惡意軟體。這個誘餌會夾帶良性的裝載,以便在放入真正的惡意裝載時誤導系統管理員。
攻擊者的自動化武器庫中,第三樣武器是可能無用的應用程式(PUA)。PUA與良性的惡意軟體誘餌不同,它們沒有被歸類為惡意軟體,所以通常不會引起太多注意。Sophos警告,攻擊者仍可以改寫它們,使其具備自動啟用能力並可在設定的時間丟下具破壞力的裝載。
報告指出,自動化攻擊也會對特定連接埠暴露在網路上的電腦造成威脅。舉例來說,Sophos使用具備對外遠端桌面通訊協定(RDP)連接埠的電腦,這些連接埠是暴力密碼攻擊的常見目標。這只是Sophos稱之為「網際網路背景輻射」(IBR,網際網路上未經請求的單向流量)的一個例子──持續且包含大量惡意流量的線上活動。
舊有威脅依然猖獗破壞力不容小覷
儘管人工智慧是未來的威脅,自動化技術帶來現實和當前的危險,但還是不應該忽視過去出現過的威脅。數年前席捲網際網路的惡意軟體仍然突顯出許多線上基礎架構原有的不安全因素。該報告還指出許多網路中仍然潛伏著WannaCry的殭屍程式。它們都是原始惡意軟體的變種,表示網路上仍然有非常多的電腦沒有安裝修補程式。
Mirai也是相同的情況。這個以物聯網為基礎的殭屍網路在2016年席捲全球,如今仍然存在。SophosLabs發現被Mirai感染的網路會使用複雜的命令串攻擊資料庫伺服器,以便接管整個系統。
此外,該報告還列出許多其他威脅,包括對智慧手機所有者的攻擊手法越來越多。攻擊者使用的方法包羅萬象,包括SIM綁架、廣告軟體到Fleeceware(騙錢的App,對價值不高的合法應用程式收取高昂費用)等。
隨著技術日新月異,有一件事是可以肯定的:「網路犯罪分子的創造力將繼續進化」。不過,儘管你我可能會對未來的高複雜度威脅煩惱不已,但開始進行任何網路安全工作的第一步就是做好基本功,例如進行軟體修補、制定嚴格的存取政策、進行適當的系統和網路監控,以及對使用者進行培訓。這些動作不需要熟練的AI專業人員即可實作,並可以省去很多麻煩。
<本文作者:張光宏現為Sophos台灣區總經理>