2022 年 3月,全球领先的网络安全解决方案提供商 Check Point 软件技术有限公司(纳斯达克股票代码:CHKP)总结了一年来主要供应链攻击的起因,以及如何帮助企业有效防护此类攻击。近年来,供应链一直是网络犯罪分子的主要目标之一。由于新冠疫情悄然改变了现代企业的运营方式,在许多企业可能尚未做好充分准备的情况下,就直接采用了混合办公模式,并将诸多应用移至云端。因此,安全团队往往不堪重负,无法满足突发安全需求。Check Point 的《2022 年安全报告》显示,2021 年供应链攻击同比骤增 650%。
去年的轰动性供应链攻击 Solarwinds是许多企业蒙受损失。当时一群网络犯罪分子侵入了 Solarwinds 的生产环境,并将后门嵌入至其 Orion 网络监控产品更新中,运行这一恶意更新的客户随即遭遇了数据窃取及其他安全问题。再以 REvil 勒索软件犯罪团伙为例,他们利用 Kaseya(一家为托管服务提供商 (MSP) 提供软件的软件公司)使 1,000 多家客户感染了勒索软件。网络犯罪分子甚至要求支付 7000 万美元的赎金才会为所有受影响的用户提供解密密钥。
供应链攻击过程
Check Point安全专家认为,供应链攻击利用了不同机构之间的信任关系。所有公司对其软件服务供应商都有着某种程度的信任,因为他们在其网络上安装并使用了这些供应商的软件。此类威胁瞄准了信任链中最薄弱的环节:如果一个企业部署了强大的网络安全防护,但却有着不安全的可信供应商,那么网络犯罪分子将会向其发起攻击。在潜伏于该提供商的网络后,攻击者可以借此链路向更安全的网络进行渗透。
网络犯罪分子往往利用供应链漏洞分发恶意软件
供应链攻击的目标通常是托管服务提供商 (MSP),因为他们能够广泛访问其客户网络,这对攻击者而言非常有机可乘。在利用 MSP 后,攻击者可以轻松扩展到他们客户的网络,并通过利用其漏洞造成更严重的影响,趁机访问直接攻击很难侵入的区域。
在获得访问权限后,攻击者便可实施其他任何类型的网络攻击,包括:
利用最佳实践来识别并规避供应链攻击
尽管这种威胁会造成严重危害,但企业可借助一些最佳实践获得保护:
Check Point 软件技术有限公司中国区技术总监王跃霖先生表示:“供应链攻击由来已久,但去年,其规模、复杂性及频率均急剧增加,全球供应链攻击同比增长了 650%。在由越来越多的供应商、合作伙伴及客户之间的复杂互联组成的数字环境中,漏洞风险呈指数级增长,企业无法在安全防护方面退而求其次。勒索软件事件和修复成本可能高达数百万美元,采取主动的安全防护方案并采用合适的技术才能第一时间防止恶意软件侵入网络,从而避免此类事件的发生。”
好文章,需要你的鼓励
研究人员正探索AI能否预测昏迷患者的医疗意愿,帮助医生做出生死决策。华盛顿大学研究员Ahmad正推进首个AI代理人试点项目,通过分析患者医疗数据预测其偏好。虽然准确率可达三分之二,但专家担心AI无法捕捉患者价值观的复杂性和动态变化。医生强调AI只能作为辅助工具,不应替代人类代理人,因为生死决策依赖具体情境且充满伦理挑战。
哥伦比亚大学研究团队开发了MathBode动态诊断工具,通过让数学题参数按正弦波变化来测试AI的动态推理能力。研究发现传统静态测试掩盖了AI的重要缺陷:几乎所有模型都表现出低通滤波特征和相位滞后现象,即在处理快速变化时会出现失真和延迟。该方法覆盖五个数学家族的测试,为AI模型选择和部署提供了新的评估维度。
麻省理工学院研究发现过度依赖AI会导致认知债务,削弱基本思维能力。研究表明交替进行无辅助思考和AI支持工作的模式能保持认知敏锐度。这种认知高强度间歇训练模仿体能训练中的HIIT模式,通过短时间高强度思考与恢复期交替进行,可以强化大脑神经回路,防止认知衰退,提升独立思考能力。
这项研究首次发现AI推理模型存在"雪球效应"问题——推理过程中的小错误会逐步放大,导致AI要么给出危险回答,要么过度拒绝正常请求。研究团队提出AdvChain方法,通过训练AI学习"错误-纠正"过程来获得自我纠错能力。实验显示该方法显著提升了AI的安全性和实用性,用1000个样本达到了传统方法15000个样本的效果,为AI安全训练开辟了新方向。