文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新兴网络安全威胁和攻击者策略

2024-11-29 18:58

关注

供应链网络风险

最近的事件凸显了供应链攻击的破坏性潜力。一个令人震惊的例子是XZ Utils 后门 (CVE-2024-3094),这是一个广泛使用的开源压缩工具中的一个严重漏洞。这次攻击由“Jia Tan”账户领导,是一项持续多年的行动,始于2021年,最终于2024年部署了后门。

随着时间的推移,攻击者将他们的漏洞嵌入到软件中,展示了供应链攻击可以多么深入地渗透和利用众多组织的基础软件。

此次事件提醒各组织机构应严格审查其软件供应链的安全性。开源组件可能是薄弱环节,通常由小型且资金不足的团队维护。组织机构必须监控更新和补丁,以避免引入新的漏洞。

开源软件问题

XZ Utils 事件凸显了开源社区的广泛担忧。恶意行为者可以轻而易举地在开源项目中插入后门。Jia Tan账户只是可疑账户如何躲过监控的一个例子,它们悄悄地将恶意代码注入到广泛使用的软件包中。

最近的一项分析显示,即使是 Python 包管理系统 PIP 也有一个具有提交权限的可疑帐户。这引起了人们对许多关键 Python 包安全性的严重担忧。这些帐户经常做出看似无辜的贡献,但可能会为未来的攻击奠定基础。

这种情况凸显了开源社区需要加强警惕和验证。依赖开源软件的组织必须实施严格的审查流程,并使用工具来监控和警告其代码库中的可疑活动。

GenAI 的前景与风险

GenAI 具有变革潜力,Klarna的AI Assistant 就证明了这一点,它现在处理的工作量相当于700名客服人员。对于 Klarna 来说,这意味着每年可节省约 4000万美元,这证明了 AI 能够提高生产力并降低运营成本。

然而,GenAI的整合也存在风险。高管在采用AI解决方案时必须确保网络安全是基本考虑因素。GenAI系统可能容易受到各种威胁,例如数据中毒,攻击者将误导性数据输入AI系统,导致输出不正确。此外,这些系统可能面临拒绝服务攻击,导致成本增加和性能下降,或导致敏感数据泄露的隐私泄露。

集成 GenAI 时需要考虑的三个关键因素是可用性、系统完整性和隐私性。确保这些方面得到妥善管理将有助于降低大规模部署 AI 系统所带来的风险。

抵御网络攻击的最佳战略防御策略

组织必须采用多层防御策略来应对这种复杂的威胁形势。以下是一些关键组成部分:

1. 主动安全测试:红蓝队演习

红蓝队演习模拟了现实世界的网络攻击,帮助组织在漏洞被利用之前发现它们。对于人工智能系统,这些演习应侧重于评估模型对幻觉、偏见和骚扰等违禁内容等危害的稳健性。组织可以通过不断评估和改进人工智能系统的安全性和道德表现来领先于潜在威胁。

2. 人工智能专用的安全措施,开始利用ATLAS

随着人工智能越来越融入业务流程,应对特定于人工智能的威胁至关重要。人工智能系统对抗威胁态势 (ATLAS) 是 MITRE ATT&CK 的补充知识库,记录了现实世界中针对人工智能系统的对抗策略。组织应使用 ATLAS 来随时了解这些不断演变的威胁,并提高对针对人工智能技术的攻击的防御能力。

3. 零信任架构,实现更好的访问控制

在当今环境中,采用零信任架构至关重要,尤其是对于集成 AI 的系统而言。这种方法的原则是,默认情况下不应信任任何实体(无论是网络内部还是外部)。持续验证用户身份和严格的访问控制是基础要素。

然而,数据边界对于人工智能系统同样重要。人工智能模型通常处理大量敏感数据,确保这些数据得到充分分割和保护至关重要。建立清晰的数据边界可防止未经授权访问敏感信息,从而降低数据泄露或操纵的风险。这在人工智能系统中尤为重要,因为数据完整性直接影响人工智能的输出和决策。

通过实施具有可靠数据边界控制的零信任架构,组织可以确保其 AI 系统安全运行,保护其处理的数据和生成的见解。

不断变化的威胁形势要求组织在网络安全工作中保持警惕和主动性。通过了解与供应链漏洞、开源软件和 GenAI 集成相关的风险并实施战略防御策略,组织可以更好地保护其数字资产。网络安全不再仅仅是 IT 问题。它是整体业务战略的重要组成部分,需要组织各个层面的关注。

来源:河南等级保护测评内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯