网络犯罪的五大新趋势

网络犯罪的五大新趋势

原作者 Derek Manky

各机构现在就要着手防范 2019 年的威胁了， 特别要警惕使用人工智能（ AI）“模糊测试” 技术、 机器学习技术和“集群”（ swarm） 技术的网络犯罪分子。

为了管理日益分散和复杂的网络， 各机构正在采用人工智能（ AI）和机器学习技术，将繁琐、 耗时、通常需要大量人工监督和干预的活动自动化。 网络犯罪团伙适应安全生态系统的这一转变， 也开始朝着这一技术方向演进。

根据 Fortinet 公司《2019 年威胁全景预测》报告， 本文总结了五个新兴的恶意趋势。

1. AI“模糊测试”

零日漏洞利用主要涉及未知的威胁向量，因此对犯罪团伙来说，此技术常常特别有效。幸运的是， 发现和利用零日漏洞涉及一种称为“模糊测试”的技术， 这需要大量的时间和专业知识， 因此零日漏洞并不常见。

模糊测试是一项复杂的技术， 专业威胁研究人员经常在实验室环境中使用该技术， 来识别硬件和软件接口及应用程序中的漏洞。他们将无效、异常或半随机数据注入接口或程序，然后监控崩溃、 未记录的跳转、 调试例程、失效代码和内存泄漏等事件， 以此来识别漏洞。目前，大多数网络犯罪分子还不具备通过模糊测试寻找零日漏洞的能力。 但是， 随着人工智能和机器学习模型在模糊测试中的应用， 该技术将会变得更加高效和有效。因此， 网络犯罪分子将会发现更多的零日漏洞，而这也会对网络设备和系统的保护产生重大影响。

2. 零日漏洞继续肆虐

虽然大量的已知漏洞仍在肆虐，但是攻击者实际上只利用了这其中不到 6％的漏洞。 然而，在一些具体的对抗场景中，我们无从知晓犯罪团伙会利用哪些具体漏洞，因此就要求安全工具不得不监控所有这些 6%的安全漏洞。 此外， 随着潜在威胁的数量持续增长， 以及潜在漏洞利用的范围不断扩大， 各机构对安全工具的性能要求不断升级。为了跟上这些要求，安全工具需要越来越智能地检测威胁（备注： 原文有错误）。

虽然一些框架（ 如“零信任” 环境） 可以防御威胁，但是公平地说，大多数机构都没有为即将到来的下一代威胁（特别是那些基于 AI 的模糊测试技术） 做好准备。传统的安全方法，例如对已知攻击的修复或监控， 很可能会过时，因为它们无法预测设备的哪个方面可能会被利用。在一个无休止且高度商品化的零日攻击环境中，即使是用于检测未知威胁的工具（如沙箱） 也会很快被攻破。

3. “集群即服务” （ Swarms-as-a-Service）

基于集群的智能技术不断进步， 这使得我们更容易受到基于集群的僵尸网络的攻击。 这些所谓的“集群” 僵尸网络可以协同、 自主地运行， 以攻破现有的防御系统。这些集群僵尸网络不仅会提高保护各机构的技术门槛，而且，就像零日挖矿一样，它们还会对潜在的犯罪商业模式产生影响， 为网络犯罪分子提供更多的机会。

目前，犯罪生态系统是由“人” 驱动的。 专业黑客通过挖掘自定义的漏洞利用代码来获取不当收益。 甚至像“勒索软件即服务”（ Ransomware-as-a-Service， RaaS） 这样的新技术也需要专业黑客来整合不同的资源。但是，当提供自主的、 自我学习的“集群即服务” 时，客户和专业黑客之间的直接交互量将急剧下降，从而降低了专业黑客被发现的风险， 于此同时还能提高黑客的盈利能力。

4. 自定义的集群

将集群划分为多个任务以实现预期结果， 这与虚拟化非常相似。在虚拟网络中，可以根据需要增加或减少虚拟机，以解决带宽等问题。同样， 在集群网络中，可以分配或重新分配资源，以解决攻击链中遇到的特定挑战。在“集群即服务” 环境中，犯罪分子利用一系列分析工具和漏洞利用代码， 对“集群”（ swarm） 的各个部分进行预编程，包括感染策略、 规避策略和秘密数据泄露策略等。 此外， 集群中有一种“自我集群”（ self-swarm），它们几乎不需要来自集群主机的交互或反馈，也不需要与 C&C 中心交互。 这能够克服大多数漏洞利用的致命弱点。

5. 机器学习投毒

机器学习是最有前途的网络安全工具之一。 各机构可以训练设备和系统， 使它们自主地执行特定任务， 如确定行为基准，应用行为分析来识别复杂的威胁，或者在面对复杂的威胁时采取有效的对策等。繁琐的手动任务， 如跟踪和修复设备，也可以移交给经过适当训练的系统。但是， 机器学习技术可能是一把“双刃剑” ——它们无法识别“好”和“坏”，因此它们也会执行蓄意的恶意指令。通过攻击机器学习过程并投毒，网络犯罪分子可以训练设备或系统， 使其不对特定设备打补丁或执行更新，忽略特定类型的应用程序或行为，或不记录特定流量， 使犯罪分子更好地规避检测。

为明天的威胁做好准备

上文介绍了一些最具前瞻性的恶意行为者的前进方向。为了有效地进行防御， 各机构应重新考虑他们当前的安全策略。鉴于目前的全球威胁形势， 各机构必须以机器速度应对威胁——机器学习和人工智能技术能够对此提供帮助。 将机器语言和 AI 集成到整个分布式网络中的端点产品中，结合自动化和创新， 能够有效地帮助各机构打击日益激进的网络犯罪。然而， 需要注意的是， 网络犯罪分子将很快采用相同的技术来对抗我们， 我们应该为此做好准备。