2022 年 3月,全球领先的网络安全解决方案提供商 Check Point 软件技术有限公司(纳斯达克股票代码:CHKP)总结了一年来主要供应链攻击的起因,以及如何帮助企业有效防护此类攻击。近年来,供应链一直是网络犯罪分子的主要目标之一。由于新冠疫情悄然改变了现代企业的运营方式,在许多企业可能尚未做好充分准备的情况下,就直接采用了混合办公模式,并将诸多应用移至云端。因此,安全团队往往不堪重负,无法满足突发安全需求。Check Point 的《2022 年安全报告》显示,2021 年供应链攻击同比骤增 650%。
去年的轰动性供应链攻击 Solarwinds是许多企业蒙受损失。当时一群网络犯罪分子侵入了 Solarwinds 的生产环境,并将后门嵌入至其 Orion 网络监控产品更新中,运行这一恶意更新的客户随即遭遇了数据窃取及其他安全问题。再以 REvil 勒索软件犯罪团伙为例,他们利用 Kaseya(一家为托管服务提供商 (MSP) 提供软件的软件公司)使 1,000 多家客户感染了勒索软件。网络犯罪分子甚至要求支付 7000 万美元的赎金才会为所有受影响的用户提供解密密钥。
供应链攻击过程
Check Point安全专家认为,供应链攻击利用了不同机构之间的信任关系。所有公司对其软件服务供应商都有着某种程度的信任,因为他们在其网络上安装并使用了这些供应商的软件。此类威胁瞄准了信任链中最薄弱的环节:如果一个企业部署了强大的网络安全防护,但却有着不安全的可信供应商,那么网络犯罪分子将会向其发起攻击。在潜伏于该提供商的网络后,攻击者可以借此链路向更安全的网络进行渗透。
网络犯罪分子往往利用供应链漏洞分发恶意软件
供应链攻击的目标通常是托管服务提供商 (MSP),因为他们能够广泛访问其客户网络,这对攻击者而言非常有机可乘。在利用 MSP 后,攻击者可以轻松扩展到他们客户的网络,并通过利用其漏洞造成更严重的影响,趁机访问直接攻击很难侵入的区域。
在获得访问权限后,攻击者便可实施其他任何类型的网络攻击,包括:
利用最佳实践来识别并规避供应链攻击
尽管这种威胁会造成严重危害,但企业可借助一些最佳实践获得保护:
Check Point 软件技术有限公司中国区技术总监王跃霖先生表示:“供应链攻击由来已久,但去年,其规模、复杂性及频率均急剧增加,全球供应链攻击同比增长了 650%。在由越来越多的供应商、合作伙伴及客户之间的复杂互联组成的数字环境中,漏洞风险呈指数级增长,企业无法在安全防护方面退而求其次。勒索软件事件和修复成本可能高达数百万美元,采取主动的安全防护方案并采用合适的技术才能第一时间防止恶意软件侵入网络,从而避免此类事件的发生。”
好文章,需要你的鼓励
CIO们正面临众多复杂挑战,其多样性值得关注。除了企业安全和成本控制等传统问题,人工智能快速发展和地缘政治环境正在颠覆常规业务模式。主要挑战包括:AI技术快速演进、IT部门AI应用、AI网络攻击威胁、AIOps智能运维、快速实现价值、地缘政治影响、成本控制、人才短缺、安全风险管理以及未来准备等十个方面。
北航团队发布AnimaX技术,能够根据文字描述让静态3D模型自动生成动画。该系统支持人形角色、动物、家具等各类模型,仅需6分钟即可完成高质量动画生成,效率远超传统方法。通过多视角视频-姿态联合扩散模型,AnimaX有效结合了视频AI的运动理解能力与骨骼动画的精确控制,在16万动画序列数据集上训练后展现出卓越性能。
过去两年间,许多组织启动了大量AI概念验证项目,但失败率高且投资回报率令人失望。如今出现新趋势,组织开始重新评估AI实验的撒网策略。IT观察者发现,许多组织正在减少AI概念验证项目数量,IT领导转向商业AI工具,专注于有限的战略性目标用例。专家表示,组织正从大规模实验转向更专注、结果导向的AI部署,优先考虑能深度融入运营工作流程并产生可衡量结果的少数用例。
这项研究解决了AI图片描述中的两大难题:描述不平衡和内容虚构。通过创新的"侦探式追问"方法,让AI能生成更详细准确的图片描述,显著提升了多个AI系统的性能表现,为无障碍技术、教育、电商等领域带来实用价值。