人工智能����、后量子密碼學、零信任�����、密碼學研究和更多塑造當前和未來的網(wǎng)絡(luò)安全戰(zhàn)略���。
2023年將是網(wǎng)絡(luò)安全行業(yè)發(fā)生巨大變革的一年���。隨著世界從疫情中恢復過來����,并繼續(xù)適應(yīng)數(shù)字化轉(zhuǎn)型的快速實施���,企業(yè)目睹了復雜的勒索軟件攻擊、國家支持的網(wǎng)絡(luò)間諜活動的興起���,以及對不斷擴大的物聯(lián)網(wǎng)(IoT)的持續(xù)需求�。
作為全球創(chuàng)新者���,NTT在過去的一年中一直處于網(wǎng)絡(luò)安全行業(yè)發(fā)展的前沿����。近日��,NTT宣布了企業(yè)預計將在2024年及以后對安全格局產(chǎn)生深遠影響的五大趨勢���。
1�����、人工智能時代的安全
人工智能有望在2024年影響網(wǎng)絡(luò)犯罪行為和網(wǎng)絡(luò)安全策略���。惡意行為者將利用人工智能繼續(xù)加速惡意軟件和漏洞利用開發(fā)��,并進行被動偵察工作���,以識別目標、軟件和弱點����。人工智能還將通過自動化工作流程降低攻擊成本,從而實現(xiàn)更復雜的網(wǎng)絡(luò)釣魚和虛假信息活動���。然而����,人工智能還將通過增強檢測和分析能力���、改善對虛假信息����、網(wǎng)絡(luò)釣魚�、惡意軟件和異常行為的響應(yīng),來影響網(wǎng)絡(luò)安全戰(zhàn)略和技術(shù)��。其還將為自動化�����、高效的安全運營鋪平道路�,解決勞動力挑戰(zhàn)。
NTT首席網(wǎng)絡(luò)安全策略師Mihoko Matsubara表示:“網(wǎng)絡(luò)犯罪分子和國家行為者已經(jīng)在利用生成式人工智能來發(fā)起網(wǎng)絡(luò)釣魚活動����、編寫惡意代碼或識別易受攻擊的系統(tǒng)。然而����,人工智能能力不僅被用于邪惡目的。網(wǎng)絡(luò)安全專業(yè)人士還發(fā)現(xiàn)生成式人工智能有助于自動化某些任務(wù)����、數(shù)據(jù)分析和漏洞研究。例如�,NTT Security的研究發(fā)現(xiàn),生成式人工智能可以最大限度地提高效率和準確性��,從而快速識別網(wǎng)絡(luò)釣魚網(wǎng)站����。”
人工智能的持續(xù)進步也將迫使網(wǎng)絡(luò)安全行業(yè)圍繞所有業(yè)務(wù)職能的更好、更安全的態(tài)勢進行對話����。此外��,白宮最近發(fā)布的關(guān)于人工智能的行政命令�����,預計將推動公共和私營部門的人工智能相關(guān)舉措�,進一步強調(diào)適當?shù)娜斯ぶ悄馨踩l(wèi)生的重要性�。
2、維護對選舉結(jié)果的信任
2024年臺灣和美國將舉行總統(tǒng)競選活動����。因此,惡意行為者將越來越多地使用生成式人工智能來傳播虛假信息����。這延續(xù)了最近選舉中出現(xiàn)的令人擔憂的趨勢,機器人和機器人農(nóng)場助長了分歧���,并傳播故意誤導或完全虛假的內(nèi)容���,包括引文和模因。此外,例如����,為系統(tǒng)實施必要的網(wǎng)絡(luò)安全措施,并確保投票機的物理安全仍然至關(guān)重要�����。
NTT Security首席信息安全官David Beabout表示:“雖然投票機的安全性有所改善��,但仍然是選民的一個擔憂�����。在美國�����,手動驗證和記錄結(jié)果以解決可疑問題的能力將變得越來越重要�。這種向彈性和結(jié)果驗證的轉(zhuǎn)變�����,預計將在2024年獲得更大的重視����。”
3���、實施零信任框架
安全環(huán)境正變得越來越云原生,強調(diào)需要增強的身份驗證方法來應(yīng)對新出現(xiàn)的威脅���,例如通過JSON Web令牌(JWT)等技術(shù)繞過MFA注入攻擊����。因此��,零信任將從一種熱門趨勢發(fā)展成為一種框架���,將在組織的許多部分實施以增強安全防御���。
NTT CSIS訪問研究員兼網(wǎng)絡(luò)安全高級經(jīng)理Taro Hashimoto表示:“零信任不再是一個流行詞,而是組織將實施的核心概念��,以改善其網(wǎng)絡(luò)安全措施�。零信任的概念是基于風險的管理和持續(xù)的流程。這包括各種底層技術(shù)的實施�,包括身份和訪問管理(IAM)、端點檢測和網(wǎng)絡(luò)安全���。響應(yīng)(EDR)�、云訪問安全代理(CASB)、數(shù)據(jù)丟失防護(DLP)��、安全信息與安全事件管理(SIEM)等無縫集成到組織的網(wǎng)絡(luò)安全策略中�����。”
4�、為迫在眉睫的量子威脅做好準備
雖然2024年不太可能是黑客和威脅行為者廣泛采用量子技術(shù)的一年,因為與現(xiàn)有的有效方法相比���,量子技術(shù)處于初級階段,成本也很高���,但仍迫切需要為其到來做好準備����。白宮已經(jīng)發(fā)布了一份備忘錄�����,指示聯(lián)邦機構(gòu)開始準備工作��,NIST也發(fā)布了幾種潛在的后量子密碼學(PQC)算法的草稿版本,相關(guān)措施已經(jīng)開始實施�����。
考慮到遷移系統(tǒng)所需的大量時間��,到2024年�,將繼續(xù)關(guān)注為采用量子計算準備系統(tǒng)和應(yīng)用程序。
NTT research總裁兼首席執(zhí)行官Kazuhiro Gomi表示:“雖然可擴展量子計算機構(gòu)成威脅的時間仍然是推測����,但為這種威脅做好準備的必要性是真實存在的。”隨著NIST預計在2024年發(fā)布更多PQC標準���,行業(yè)��、政府和其他各方預計將開始加大遷移規(guī)劃力度��。這是基于這樣的擔憂:惡意行為者當前正在收集持續(xù)的通信數(shù)據(jù)����,一旦可擴展的量子計算機可用����,可能會損害安全性��。
在這方面�,值得注意的是���,密碼學研究人員正在致力于加強高級密碼方法的安全性����,例如用于PQC準備的基于屬性的加密(ABE)��。
未來的挑戰(zhàn)在于���,為那些無法獲得量子能力的人管理加密的安全性�����,以及一旦擁有這種能力的人變得更加普遍時對其進行防御。
5����、2024年密碼學和加密技術(shù)的發(fā)展
到2024年,預計密碼學和加密研究將繼續(xù)探索保護靜態(tài)和云端數(shù)據(jù)的新方法���。ABE(基于屬性的加密)等高級加密系統(tǒng)的發(fā)展為現(xiàn)實世界的采用提供了令人著迷的前景���。然而��,由于與人工智能模型交互時缺乏有保障的隱私�,隱私問題仍然存在�。由于這些互動可能涉及比傳統(tǒng)搜索查詢更敏感的信息,因此可以想象�����,研究人員將深入研究使用此類模型進行私人互動的前景��。
NTT research密碼學與信息安全實驗室主任Brent Waters博士表示:“密碼學研究界感興趣的一個潛在領(lǐng)域是擴大私人搜索查詢���,以涵蓋與人工智能系統(tǒng)的私人互動���。像ChatGPT這樣的大型語言模型的迅速崛起和應(yīng)用已經(jīng)改變了許多行業(yè)。然而�,隱私問題可能會阻礙這些技術(shù)的潛力。我想���,研究界將研究與這些類型的人工智能技術(shù)進行私人互動的可能性�。”
隨著人工智能���、量子計算等技術(shù)的進步�����,2024年將是組織通過技術(shù)實施和創(chuàng)新的一年���。企業(yè)不僅將實施零信任策略作為基準網(wǎng)絡(luò)安全實踐�����,而且還將開始利用通過基礎(chǔ)研究和研發(fā)(如ABE)實現(xiàn)的先進網(wǎng)絡(luò)安全技術(shù)來保護其業(yè)務(wù)�、數(shù)據(jù)和隱私���。
京公網(wǎng)安備 11010502041587號