人工智能和云漏洞并不是当今CISO 面临的唯一威胁

随着云基础设施以及最近的人工智能 (AI) 系统成为攻击者的主要目标，安全领导者正集中精力保护这些备受关注的领域。他们这样做也是正确的，因为网络犯罪分子转向新兴技术来发起和扩大越来越复杂的攻击。

然而，对新兴威胁的高度关注使得人们很容易忽视传统的攻击媒介，例如人为的社会工程学和物理安全漏洞。

随着对手利用越来越广泛的潜在切入点（包括新旧切入点），安全领导者必须取得平衡，以确保他们能够有效地应对所有风险。

网络犯罪仍然是人类的问题

尽管科技被大肆炒作，但科技并非万能药。它无法取代人类在各个领域的专业知识，而且人工智能本身也无法与人类天生的直觉和创造性思维相媲美。对手也知道这一点，这就是为什么更聪明、更危险的对手会使用人力和技术相结合的战术。

虽然重大技术漏洞往往会成为头条新闻，但现实情况是，最薄弱的环节几乎总是人为因素。几乎所有攻击都涉及社会工程学元素，尽管围绕生成式人工智能和深度伪造的讨论有助于扩大此类攻击，但人与人之间的互动才是最大的风险所在。

如今，合成内容已无处不在，人们也越来越善于分辨它们。至于我们是否会达到不再有合成内容的地步，则是另一个话题。但就目前而言，最危险、最有效的社交工程攻击仍然主要依赖于人类对话，无论是通过电话、电子邮件，还是面对面。毕竟，经验丰富的攻击者可以以 AI 或深度伪造无法比拟的方式建立信任并建立虚假关系。

网络间谍活动仍然是一个严重威胁

以国家支持的网络间谍活动为例。训练有素的社会工程师与暗网上的独立网络犯罪团伙截然不同，后者往往更依赖规模而不是针对特定的企业和个人。这些攻击者可能会瞄准数据系统，但就他们自己的武器库而言，操纵和欺骗的才能是他们最强大的武器。

技术要想接近古老的间谍手段还有很长的路要走。

当攻击者可以有效地伪装成内部员工或任何其他可信赖的个人时，仅依靠技术来减轻威胁的人几乎没有机会保护自己。这不是技术故障。这是流程故障，因此人为因素必须始终是任何网络安全策略的关键因素。

当然，这并不是说技术在加强网络防御方面没有发挥重要作用。它肯定发挥重要作用，尤其是因为越来越多的常规威胁正在被自动化或由技能或经验不足的攻击者大规模实施。技术的价值——尤其是人工智能驱动的网络安全自动化——主要在于它能够让安全领导者腾出时间专注于技术本身无法解决的威胁。

这也不仅仅与云有关

如今，大多数业务数据都存储在云端，而且这一比例还在不断上升。许多企业，尤其是小型企业和初创公司，专门使用云端进行数据存储和其他 IT 运营。考虑到人工智能对计算的要求很高，它的兴起进一步加速了云计算的采用。

尽管如此，云计算并不是所有情况下的最佳选择。对于需要极低延迟的高性能工作负载，本地部署仍然是首选。在某些情况下，本地计算也是更便宜的选择，而且这种情况在不久的将来不太可能改变。

尽管越来越多的公司正在迁移到云端，但这并不意味着他们不会将敏感数据保存在现场。例如，边缘计算使数据处理更接近需要的地方，已成为某些用例的关键推动因素。例子包括智能电网、工业资产的远程监控和自动驾驶汽车。这些情况包括您不能总是依赖互联网连接的情况。

更聪明、资金更雄厚的对手不仅瞄准云托管基础设施。他们还将目光投向本地服务器和网络物理系统，例如工业控制系统和硬件供应链。物流、生产和网络安全部门之间通常很少协作，这一事实使得这些风险更加严重。

尽管去年攻击次数略有减少，但勒索软件仍然是针对本地系统的最大威胁之一。虽然云系统本身并不免受勒索软件攻击，但绝大多数攻击都针对裸机虚拟机管理程序和本地服务器。在最近的一个案例中，Akira 勒索软件组织恢复了其早期的双重勒索策略，尝试使用不同的代码框架来针对运行 ESXi 和 Linux 的系统。

随着物联网设备数量的不断飙升，僵尸网络成为另一个日益令人担忧的问题。这些僵尸网络用于发起覆盖数千台设备的分布式拒绝服务 (DDoS) 攻击，主要针对不安全的物联网设备，例如监控和操作工业机器和关键基础设施的设备。一份最近的报告发现，针对关键基础设施的 DDoS 攻击在过去四年中增加了 55%。这些攻击并不直接涉及敏感数据的泄露，但考虑到它们如何造成大范围破坏，对手可能会依靠它们来转移对更严重威胁的注意力。

为什么物理安全仍然重要

当安全主管专注于锁定云托管资产时，他们不能忽视物理基础设施面临的风险。有时，进入云的最简单方法是从内部进入。

即使是瘦客户机和哑终端（在医疗保健和金融等高安全性环境中广泛使用）也可能让攻击者在更广泛的系统中立足，包括云基础设施和远程数据中心。爱德华·斯诺登 (Edward Snowden) 在美国国家安全局工作期间就证明了这一点，他窃取了存储在 5,000 英里外的国家安全局总部服务器上的 20,000 份政府文件。他没有使用任何先进技术就做到了这一点。虽然这件事发生在 2013 年，而且美国国家安全局早已更新了其物理安全协议，但风险今天与当时一样重要。

虽然现在大多数瘦客户端都受到多层安全保护，包括加密和多因素身份验证，但仅靠这些解决方案无法完全防止物理入侵。如果攻击者获得终端访问权限（可能是通过社交工程），他们可能会使用未经授权的外围设备或直接操纵设备的固件来入侵终端。这可能会让他们访问更广泛的网络，从而可能注入常规安全扫描无法检测到的定制恶意软件。

物联网设备是攻击面扩大的另一个主要原因。它们通常缺乏足够的安全性，也为攻击者提供了进入它们所连接的更广泛的计算基础设施的潜在切入点。这些联网技术正在智能城市、关键基础设施和交通网络等领域大规模推广，这一事实大大放大了此类漏洞。

最终，如果攻击者能够突破您的物理防护措施，那么与试图突破多层云防御相比，这些连接的系统将为入侵组织所谓的“皇冠上的宝石”提供更容易的途径。

云数据并不总是真正的目标

在其他情况下，云中托管的数据可能不是攻击者的最终目标。许多公司（例如那些受到严格数据驻留法规约束或需要高性能实时应用程序的公司）仍将数据存储在本地服务器上。

其中一些系统是物理隔离的，这意味着它们与任何其他网络（包括互联网本身）完全断开连接。虽然至少在理论上比任何云托管服务器都更安全，但它们的安全性不能被忽视。例如，任何可以物理访问服务器的人都可能恶意或意外地破坏它们。

在这种情况下，物理安全（例如闭路电视和生物识别安全检查点）仍然非常重要。但这不仅仅是为了防止故意的物理篡改。由高技能的社会工程师策划的间接攻击也可以欺骗毫无戒心的员工采取所需的行动——例如借给他们一张生物识别安全门禁卡。

这些对手通常不会通过电子邮件或人工智能来扩大攻击范围，他们更有可能当面欺骗他人，这种策略与人类一样古老。事实上，攻击者可能是任何人，比如心怀不满的前雇员、为竞争对手公司利益而行动的黑客，甚至可能是流氓国家。

弥合数字安全与人类安全之间的差距

单靠技术无法保护组织免受各种威胁；如果仅依靠手动流程，人类也无法跟上不断扩展的系统日志和安全信息源。

现实情况是，两者缺一不可，从人员入手，然后利用技术来拓展人员的能力。分层安全策略通常应从锁定对任何承载数据的系统或与另一个系统相连的系统的物理访问开始。

下一层防御是人为防御。这主要围绕安全意识培训。但现实情况是，许多计划都是无效的，要么是因为它们缺乏实际应用，要么是过于依赖通用内容，要么是过于关注目标受众无法理解的技术因素。

网络钓鱼模拟的范围通常也同样有限，主要关注常见的诱饵，如热门新闻话题、紧迫感，甚至是直接的威胁。然而，更老练的攻击者倾向于使用更微妙的方式来引发回应。这可能是一些简单的事情，比如发送有关公司着装规范或远程工作指南的常规政策更新消息。这些话题可能看起来微不足道，但它们可以引起人们的兴趣，尤其是当它们涉及日常生活和工作与生活平衡的变化时。攻击者可以利用这一点，通过虚假调查欺骗毫无戒心的受害者泄露敏感信息。

与任何其他安全措施一样，物理系统和意识培训只有定期测试才会有效。这就是物理红队的作用所在。IT 背景下的红队侧重于渗透测试等技术措施，而物理红队则是让团队尝试进入禁区和系统。为此，他们可能会结合使用模拟的社会工程攻击和技术来侵入物理安全系统。通过试图绕过物理安全屏障或冒充工作人员，红队可以发现原本可能被忽视的漏洞。这就是它们成为任何综合信息安全计划的重要组成部分的原因。

原文始发于微信公众号（河南等级保护测评）：人工智能和云漏洞并不是当今CISO 面临的唯一威胁