隨著 2021年的到來，是時(shí)候來關(guān)注一下 2021年以及網(wǎng)絡(luò)安全領(lǐng)域的新篇章。毫無疑問，可能的攻擊方式有很多種，但本文以下所列的五種攻擊類型在利用物聯(lián)網(wǎng) (IoT) 威脅的攻擊者中，正變得越來越流行和普遍。

1. 內(nèi)置物聯(lián)網(wǎng)威脅

在實(shí)體采用物聯(lián)網(wǎng)時(shí)，他們?cè)谕{防范方面依然會(huì)落后于國防和指導(dǎo)部門。此外，威脅實(shí)施者會(huì)充分利用物聯(lián)網(wǎng)帶來的風(fēng)險(xiǎn)與實(shí)體在應(yīng)對(duì)這些風(fēng)險(xiǎn)所做準(zhǔn)備之間的差距。

物聯(lián)網(wǎng)設(shè)備本質(zhì)上是不安全的。它們會(huì)連接到網(wǎng)絡(luò)，這意味著攻擊者也可以訪問它們。但是物聯(lián)網(wǎng)設(shè)備缺乏加密等基本保護(hù)的處理能力。此外，它們往往十分重要但價(jià)格不高，用戶可以輕松部署大量的設(shè)備(到 2021 年底，全球 IoT 設(shè)備的總量可能達(dá)到 350億臺(tái))。

IT 可能未得到授權(quán)，甚至可能不知道這些設(shè)備。在很多情況下，雇主甚至都沒有它們的所有權(quán)。

物聯(lián)網(wǎng)可能會(huì)成為勒索軟件攻擊的首選目標(biāo)。僵尸網(wǎng)絡(luò)、高級(jí)持續(xù)性威脅、分布式拒絕服務(wù) (DDoS) 攻擊、身份盜用、數(shù)據(jù)盜用、中間人攻擊、社交工程攻擊等也可能會(huì)以物聯(lián)網(wǎng)作為攻擊媒介。

物聯(lián)網(wǎng)威脅，包括那些針對(duì)數(shù)據(jù)庫的威脅，也與 2021 年的一些其他趨勢(shì)有交疊。在自動(dòng)化程度日益提高的世界中，許多攻擊都將重點(diǎn)放在供應(yīng)鏈和制造領(lǐng)域。物聯(lián)網(wǎng)在這些領(lǐng)域中使用得非常廣泛，而設(shè)備更新并非總是第一優(yōu)先事項(xiàng)。隨著物聯(lián)網(wǎng)網(wǎng)絡(luò)遭遇更多新型攻擊，一個(gè)問題變得尤為重要，那就是：我們是否可以更新老化的固件，為其提供所需的防護(hù)?

2. AI 在 IoT 威脅中的作用

在 2021 年，由 AI 驅(qū)動(dòng)的物聯(lián)網(wǎng)威脅很有可能會(huì)大行其道。這一點(diǎn)并不奇怪。

自 2007 年以來，基于 AI 的攻擊一直都在發(fā)生，主要用于社交工程攻擊(模擬人類聊天)和增強(qiáng) DDoS 攻擊。2018 年，在一份關(guān)于威脅的開創(chuàng)性研究報(bào)告發(fā)表之后，對(duì) AI 的惡意使用便出現(xiàn)在每個(gè)人的視野之中。

隨著時(shí)間的推移，更精細(xì)的算法將能夠更好地模仿網(wǎng)絡(luò)上的普通用戶，進(jìn)而阻止檢測(cè)系統(tǒng)發(fā)現(xiàn)異常行為。在網(wǎng)絡(luò)攻擊對(duì) AI 的利用方面，近期的最大發(fā)展是用于構(gòu)建和使用 AI 系統(tǒng)的工具已變得“平民化”。威脅實(shí)施者現(xiàn)在可以構(gòu)建 AI 工具，而在幾年前，只有研究人員可以構(gòu)建 AI 工具。

在執(zhí)行 IoT 威脅的許多元素(例如重復(fù)性任務(wù)、交互式響應(yīng)和超大數(shù)據(jù)集處理)方面，AI 系統(tǒng)比人類做得更好。總體而言，AI 將會(huì)助推威脅實(shí)施者擴(kuò)大物聯(lián)網(wǎng)威脅，實(shí)現(xiàn)其自動(dòng)化并讓其更加靈活。

此外，在 2021年，我們不能只關(guān)注基于 AI 的新型物聯(lián)網(wǎng)威脅。相反，我們也要關(guān)注常見的網(wǎng)絡(luò)漏洞和其他攻擊，不過與過去相比，它們的部署速度更快、規(guī)模更大，而且在靈活性、自動(dòng)化和可定制化方面也更加強(qiáng)大。

3. 采用 Deepfake 技術(shù)實(shí)施 IoT 威脅

攻擊者會(huì)采用與 Deepfake 視頻相同的工具來實(shí)施 IoT 威脅，例如蠻力攻擊、欺騙性生物特征識(shí)別等。舉例來說，大學(xué)研究人員已經(jīng)證明了生成對(duì)抗網(wǎng)絡(luò) (GAN) 技術(shù)可以強(qiáng)行使用偽造但實(shí)用的指紋。。和強(qiáng)行使用密碼一樣，他們通過數(shù)千次的強(qiáng)行嘗試來實(shí)施攻擊。

實(shí)際上，我們已經(jīng)看到，一些惡意攻擊已經(jīng)開始使用 Deepfake 技術(shù)。攻擊者在最開始的時(shí)候是偽造聲音。攻擊者會(huì)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行訓(xùn)練，使它們能夠發(fā)出聽起來像是某個(gè)首席執(zhí)行官的聲音，然后假冒該首席執(zhí)行官打電話給員工，要求員工匯款或做其他事情。

音頻和圖像方面的 Deepfake 技術(shù)現(xiàn)在已基本完善，也就是說，您可以創(chuàng)建大多數(shù)人都無法分辨的聲音和照片。

視頻領(lǐng)域是 Deepfake 技術(shù)的“天堂”。即便是如今，以這種方式制作的視頻仍舊令人不可思議。不過攻擊者還可以完善 Deepfake 視頻，讓視頻通話社交工程攻擊更具說服力，這只是時(shí)間問題。他們還可以使用偽造的視頻進(jìn)行網(wǎng)絡(luò)破壞、敲詐和勒索。

4. 更專業(yè)的網(wǎng)絡(luò)犯罪

縱觀網(wǎng)絡(luò)犯罪的整個(gè)歷史，會(huì)發(fā)現(xiàn)攻擊者一直都在不斷完善。這種完善經(jīng)常反映了正當(dāng)業(yè)務(wù)中的趨勢(shì)。物聯(lián)網(wǎng)威脅的這一長(zhǎng)期趨勢(shì)仍將繼續(xù)，因?yàn)槲覀冾A(yù)計(jì) 2021年將會(huì)出現(xiàn)更多的專業(yè)化和外包服務(wù)。威脅實(shí)施者會(huì)追逐更大的利益。他們不會(huì)由單個(gè)人或單個(gè)團(tuán)伙負(fù)責(zé)所有工作，而是由多個(gè)團(tuán)伙提供有償服務(wù)。一次攻擊可能會(huì)涉及多個(gè)團(tuán)伙，每個(gè)團(tuán)伙都發(fā)揮自己的特長(zhǎng)。

舉例來說，一個(gè)團(tuán)伙可能專門負(fù)責(zé)大規(guī)模偵察，然后以一定價(jià)格在暗網(wǎng)上提供他們的知識(shí)。另一個(gè)團(tuán)伙可能會(huì)購買這些知識(shí)，然后雇用另一個(gè)團(tuán)伙通過社交工程攻擊對(duì)受害者實(shí)施攻擊。該團(tuán)伙可能會(huì)反過來聘請(qǐng)母語人士和圖形設(shè)計(jì)師來制作更具說服力的電子郵件。一旦他們獲得訪問權(quán)限，便會(huì)雇傭多個(gè)專業(yè)團(tuán)伙進(jìn)行勒索、比特幣挖礦、敲詐和其他攻擊。

就像企業(yè)運(yùn)營已變得專業(yè)化、多元化并從外包中受益一樣，構(gòu)建物聯(lián)網(wǎng)威脅的攻擊者也是如此。

5. 國家贊助的攻擊與犯罪攻擊之間的細(xì)分

上述組織化趨勢(shì)(專業(yè)化和外包)將進(jìn)一步模糊國家贊助的攻擊與團(tuán)伙攻擊之間的界限。這一點(diǎn)其實(shí)很好理解。實(shí)際上，許多所謂的國家贊助網(wǎng)絡(luò)攻擊是由與政府機(jī)構(gòu)(包括軍事和間諜機(jī)構(gòu))有關(guān)聯(lián)的犯罪團(tuán)伙實(shí)施的。

通過提升專業(yè)化水平并增加外包服務(wù)的使用，民族國家將會(huì)從網(wǎng)絡(luò)攻擊(比如物聯(lián)網(wǎng)威脅)中獲益，得到更多的金錢利益。各個(gè)民族國家會(huì)雇用其他與政府機(jī)構(gòu)無關(guān)聯(lián)的網(wǎng)絡(luò)團(tuán)隊(duì)實(shí)施特定的惡意攻擊或承擔(dān)攻擊中的特定部分工作。

即使在今天，也很難界定檢測(cè)到的攻擊是否是由某個(gè)國家所贊助的。從 2021年開始到無限的未來，幾乎都不可能準(zhǔn)確界定。毫無疑問，2021 年又將會(huì)是網(wǎng)絡(luò)安全的攻堅(jiān)年。我們需要將物聯(lián)網(wǎng)威脅的這五種趨勢(shì)作為重點(diǎn)領(lǐng)域加以關(guān)注。

原文標(biāo)題：2021 年值得關(guān)注的五種物聯(lián)網(wǎng)（IoT）威脅

文章出處：【微信公眾號(hào)：物聯(lián)網(wǎng)智慧城市D1net】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

責(zé)任編輯：haq