近日，F(xiàn)ortinet FortiGuard威脅研究與響應實驗室基于多年的威脅研究與分析，就2018年全球威脅態(tài)勢作出預測，指出越來越多的犯罪分子正在利用數(shù)字社會提供的新機會進行攻擊，企業(yè)機構需要利用機器學習、人工智能等創(chuàng)新技術增強防御能力，以便保護企業(yè)的數(shù)據(jù)資產(chǎn)。

[[222305]]

監(jiān)督與無監(jiān)督學習可能帶來網(wǎng)絡風險

專家預測，如果沒有適當?shù)目刂?，真正自主的自學習人工智能將能夠通過我們超級連接的數(shù)字世界自由移動，適應新的數(shù)字環(huán)境，并訪問幾乎所有的數(shù)字資源。人工智能更現(xiàn)實的風險在于，人工智能的自我學習能力可能導致監(jiān)督與無監(jiān)督學習模型的任何一個錯誤被放大，出現(xiàn)出現(xiàn)意想不到的危險結果。網(wǎng)絡犯罪分子往往不關注這些危險結果，他們可能開發(fā)基于AI的無監(jiān)督學習模型用于網(wǎng)絡攻擊，其極快的發(fā)展速度或導致難以控制的后果。

針對這種智能和自動化威脅的最佳防御措施是集成、協(xié)作和高度自適應的安全架構。就像人工智能一樣，只要能夠獲得基于架構的安全系統(tǒng)，利用機器學習和人工智能等技術，將會有一個高度智能的主動安全防御系統(tǒng)，防御自學習的網(wǎng)絡攻擊。

自動化與機器學習

黑客已經(jīng)在其攻擊手段，技術和程序(TTP)中利用了自動化和機器學習，他們會利用自動化前端挖掘信息和漏洞，并通過AI分析大量被竊取的結構化和非結構化數(shù)據(jù)。為了獲得自動化與機器學習所需要的計算能力，網(wǎng)絡犯罪分子正在使用云服務和公共基礎設施來發(fā)起和管理攻擊活動，并使用高性能計算(HPC)進行CPU密集型攻擊。

暗網(wǎng)市場上已經(jīng)有提供機器學習的高級服務。 例如，被稱為FUD(fully undetected)的服務允許犯罪分子將攻擊代碼和惡意軟件上傳到分析服務中，分析這些惡意代碼是否能被安全工具檢測到，這可以幫助惡意軟件逃避安全系統(tǒng)的查殺。為了做到這一點，這些網(wǎng)絡犯罪服務提供商已經(jīng)開始創(chuàng)建自己的計算集群，利用自有的和被劫持的計算資源來執(zhí)行掃描、測試和改進惡意軟件。

我們很可能會開始看到完全由基于自動化漏洞檢測和復雜數(shù)據(jù)分析的機器編寫的惡意軟件，然后根據(jù)檢測到的弱點的獨特特征開發(fā)漏洞。下一代的“形態(tài)惡意軟件”將使用全新的自定義攻擊，這些攻擊不僅僅是基于靜態(tài)算法的變體，而且將采用自動化和機器學習將它們定制到一個獨特的目標，同時使它們更難以檢測。

預測：HIVWNETS 與 SWARMBOTS的上升

Fortinet預測，網(wǎng)絡罪犯將開始使用圍繞群技術構建的智能攻擊設備集群，取代傳統(tǒng)的僵尸網(wǎng)絡，以創(chuàng)建更有效的攻擊。蜂巢網(wǎng)絡(Hivenets)和機器人集群(Swarmbots)將更為普遍，Hivenets 將能夠使用群集的受感染設備或 Swarmbots 來同時識別和處理不同的攻擊媒介。隨著 Hivenet 識別并攻陷更多的設備，它將能夠以指數(shù)級增長，從而擴大其同時攻擊多個受害者的能力。

目前很少有人能夠有效地抵御這種攻擊。傳統(tǒng)的安全工具允許組織同時防御單個甚至多個攻擊者，但應對群體是一個完全不同的挑戰(zhàn)，特別是當面對持續(xù)、多重DDoS攻擊的時候，傳統(tǒng)安全工具根本沒有足夠的響應能力。

要保護網(wǎng)絡和服務不受群體攻擊的影響，需要基于識別網(wǎng)絡中潛在的攻擊媒介和工程漏洞的系統(tǒng)方法，未來，利用集成安全設備的自適應安全結構將替換現(xiàn)有的安全工具。

云服務提供商 - 目標松散和單點故障

勒索軟件的下一個大型目標很可能是云服務提供商，這首先是因為隨著云服務市場的增長，針對云服務商的攻擊會帶來明確的金錢利益。此外，集中式的云服務會出現(xiàn)巨大的潛在攻擊面，一旦犯罪分子滲透到單個云環(huán)境，將可能有權訪問數(shù)十個或數(shù)百個組織的數(shù)據(jù)，竊取大量的數(shù)據(jù)資產(chǎn)。隨著新的云產(chǎn)品的出現(xiàn)，犯罪分子還可能通過攻擊獲得商業(yè)數(shù)據(jù)、PII(個人身份信息)等高價值的數(shù)據(jù)，以便在黑暗網(wǎng)絡出售。

我們預測，網(wǎng)絡犯罪分子將開始將AI技術與多向量攻擊相結合，以掃描、檢測并利用云提供商環(huán)境中的弱點，對云服務商進行攻擊。這會削弱許多組織對云服務的信任，并可能對數(shù)字經(jīng)濟產(chǎn)生毀滅性的影響。

醫(yī)療及關鍵基礎設施 – 安全能力的“裝備競賽”

在所有可能受到網(wǎng)絡犯罪技術進步影響的行業(yè)中，醫(yī)療行業(yè)和關鍵基礎設施提供商在風險方面繼續(xù)位居榜首。為了滿足消費者需要，很多醫(yī)療與關鍵基礎設施服務提供商犧牲了安全能力，這使他們變得脆弱。

由于這些網(wǎng)絡的價值很高，如果這些網(wǎng)絡被破壞或者被迫離線，可能會造成破壞性的后果，關鍵的基礎設施和醫(yī)療服務提供商現(xiàn)在正在與網(wǎng)絡犯罪組織進行“裝備”競賽。一方面相信新的互聯(lián)系統(tǒng)提供了更多的智能和安全，另一方面面臨的風險是真實存在的。

響應： 系統(tǒng)將更趨向于智能與整合 ——“專家級系統(tǒng)”的出現(xiàn)

對惡意軟件和網(wǎng)絡犯罪技術進步的一個關鍵反應是開發(fā)“專家系統(tǒng)”。 專家系統(tǒng)是一個集成的軟件和編程設備的集合，使安全架構能夠協(xié)同工作，從而消除和阻止高級威脅。除了集成多云和移動設備之外，還需要對未分割的和不安全的網(wǎng)絡進行主動監(jiān)視和保護。

最大的挑戰(zhàn)之一將是最后一公里的安全 —— 建立自動化基礎安全環(huán)境，跨越物理和虛擬環(huán)境的復雜的多云生態(tài)系統(tǒng)和超融合網(wǎng)絡使得執(zhí)行這些基本的安全實踐非常困難。人工智能和自動化需要填補這個空白，用集成的專家安全系統(tǒng)來執(zhí)行確定設備漏洞、跟蹤和修補設備執(zhí)行、監(jiān)控安全設備和網(wǎng)絡設備的配置、根據(jù)信任對設備進行排名等基本安全功能和日常任務。

響應：高級網(wǎng)絡威脅情報的利用

IP地址、惡意軟件、流量行為和域名是網(wǎng)絡攻擊的基本組成部分，他們可以很容易地改變和移動，使他們更難以發(fā)現(xiàn)，大多數(shù)傳統(tǒng)安全解決方案很快就會過時。

威脅情報需要將IP地址和文件哈希之外的信息關聯(lián)，并將重點放在網(wǎng)絡犯罪分子難以改變的事情上。 其中之一就是攻擊模式和技巧，通過來自遍布分布式網(wǎng)絡的緊密集成架構解決方案的智能與來自全球威脅源的實時數(shù)據(jù)進行匯總和關聯(lián)，復雜的分析將能夠提供可以快速識別和跟蹤惡意行為。最后，所有威脅行為者都有獨特的行為、簽名和模式。 一旦能夠根據(jù)犯罪活動的行為識別和隔離不同的威脅行為者，企業(yè)將能夠根據(jù)歷史趨勢預測惡意行為，并制定相應對策。

結論

網(wǎng)絡犯罪分子組織有序、資金充足、動力十足。 他們正在部署先進的惡意軟件，利用云計算資源，開發(fā)基于AI和機器學習的尖端工具，不僅規(guī)避先進的安全防范，而且還擴大了攻擊的范圍和規(guī)模。

企業(yè)需要作出響應，制造商圍繞集成安全技術，提升威脅情報質(zhì)量，通過開放標準和動態(tài)可配置安全架構更好的進行有效的安全管控。安全還需要以數(shù)字速度運行，這意味著自動化安全響應，應用智能和自我學習，使網(wǎng)絡可以做出有效和自主的決定。安全的架構設計應從耦合型轉為高度的協(xié)同型，不僅能夠承受嚴重和持續(xù)的攻擊，還能自動適應和響應。