随着新年的到来,我们看到网络安全领域正迎来人工智能驱动攻击的激增,推动该行业进入快速创新周期。防御方正全力开发先进的基于人工智能的安全措施,不仅要实时检测和应对威胁,还要预测和制止威胁在成型之前。在我们看来,2024年可能成为人工智能在网络安全中扮演关键角色的决定性时刻。我们Aqua Nautilus研究团队成员阐述他们的看法,以及我们可能会看到的其他趋势。
译自 2024 Cybersecurity Trends: AI, Cloud, and Threat Intelligence。作者 Aqua Nautilus Security Research Team 专注于面向云原生技术栈的网络安全研究。其使命是发现针对容器、Kubernetes、无服务器和公共云基础设施的新的漏洞、威胁和攻击,从而实现解决它们的新方法和工具。
首席安全研究员Yakir Kadkoda表示,展望未来,特别是2024年,由于网络攻击者战略性地采用人工智能,网络安全格局预计将发生重大转变。“包装欺骗”攻击的出现可能是这一转变的突出例子。这些攻击将利用人工智能操纵软件依赖关系链,导致开发人员在应用程序中无意中引入漏洞。
这种策略预计将成为更广泛趋势的一部分,在这种趋势中,人工智能不仅是防御工具,也成为攻击者军火库中的武器。通过利用开发人员对自动化依赖管理和建议系统的信任,攻击者可以制造一种难以检测和缓解的新型供应链漏洞。
2024年的预测是,这些人工智能驱动的攻击将变得更为普遍,迫使网络安全行业进行快速创新。防御方将需要开发更复杂的基于人工智能的安全措施,这些措施不仅可以实时检测和应对威胁,还可以预测和防止威胁在显现之前。网络攻击者和防御者之间的竞赛将日益激烈,人工智能将成为这场军备竞赛升级的核心。
因此,网络安全界将需要优先开发新的人工智能安全标准和最佳实践,重点关注提高对人工智能驱动威胁的弹性。跨行业和跨境合作对于开发共享防御以应对这些新兴威胁至关重要。2024年很可能作为人工智能成为网络安全关键争夺点的一年而被铭记。
随着云计算格局的不断扩大,Idan Revivo副总裁表示,云环境中的攻击也在变得更为复杂,我们如今已经看到了国家资助的威胁行为者找到新颖复杂技术和方法的苗头,他们可以直接在用户空间内存中执行代码,而不触发通常被安全系统监控的execve系统调用,从而规避传统的检测机制。
从这个意义上说,我们预计来自云攻击者的策略会发生显著变化,他们越来越有可能采用用户态执行方法。为应对这些高级的规避技术,网络安全行业必须转向更细致的行为安全措施。这包括部署能够理解正常用户行为并识别异常的人工智能和机器学习算法,以及增强内存扫描和进程监控技术。这种先进和智能的系统对于检测和缓解规避传统检测框架的威胁至关重要,以确保不断发展的云生态系统中的强大安全性。
根据安全研究员Asaf Eitani的说法,由于编写代码和传播恶意技术中人工智能的推广,网络威胁格局正面临变得更加危险的局面。
人工智能驱动的工具在编写复杂代码方面能力越来越强,这可以被恶意行为者滥用,以前所未有的速度和效率制造精巧的恶意软件和利用程序。这降低了进入网络犯罪的门槛,因为现在即使是编程能力有限的人也可以利用人工智能生成攻击载体。此外,人工智能系统可以通过浏览论坛和代码库快速吸收和改进已知的攻击方法,使学习执行高级威胁的曲线变得不那么陡峭。人工智能使复杂攻击能力民主化意味着,我们可以预期未来不久会出现先进恶意软件激增,可能导致更频繁、更强大的网络攻击。
安全研究员Alon Zivony预测,eBPF技术的利用率将继续增长,并将明显进入市场。各种企业和初创公司,比如Raven (raven.io)、Kodem和Flow,已经在其运行时框架中采用了eBPF,以实现增强的可观察性。
随着eBPF在各种行业和大量产品中的广泛采用,预计该领域将见证eBPF部署评估、规避机制和禁用策略更为普遍。这一趋势可能会作为对eBPF在运行时安全日益重要性的回应而出现,从而需要更严格的安全措施和积极的威胁缓解策略。
安全研究员Yaara Shriki预计,到2024年,人工智能与云安全中的威胁情报的结合将彻底改变网络威胁的识别和缓解。利用机器学习算法分析来自各种来源的海量数据集,人工智能不仅可以检测实时攻击,还可以通过识别表示恶意活动的模式和异常来预测未来威胁。这种能力将使组织能够从主动防御转向被动防御,根据不断发展的网络威胁格局持续更新和改进其防御机制。因此,云环境将受益于更健全和动态的安全姿态,威胁情报将成为预测和应对复杂网络攻击的无价资产。
数据分析师首席Assaf Morag用以下思考总结了我们的预测。在网络威胁情报方面,我们的目标是将各种运动、工具和技术属性归因于特定的威胁行为者和组织。与面向云原生相比,在诈骗、金融运动和地缘政治情报等威胁研究领域,论述略微更先进,对所涉及的威胁行为者有更深入的了解。
然而,在面向云原生的空间,这种论述还没有达到同样的成熟水平。我们缺少关于威胁行为者的工具、策略、技术和流程(TTP)以及对其结构、目标和动机的洞察的大量数据和详细信息。虽然对Kinsing、TeamTNT和Group 8220等威胁行为者进行了出色的分析,但仍有差距需要填补,至少在针对面向云原生环境的国家资助威胁行为者方面存在重大的知识差距。
展望2024年,我们预计围绕云中威胁行为者和组织的讨论将显著成熟。我们预计会对威胁行为者在云中使用的方法及其发展的技术进行更全面地分析和理解。专业威胁情报研究小组的出现有望极大地提高这些讨论的质量和深度。