一项新研究表明,许多薪酬过低、压力过大的网络安全专业人士正兼职成为暗网网络犯罪分子,这给原本就为即将到来的 AI 辅助网络犯罪浪潮而焦头烂额的安全领导者带来了更多麻烦。
这项研究结果来自英国信息安全注册协会 (CIISec) 的最新行业状况报告,该报告描述了由一名退役警察转职网络调查专家进行的调查。这位专家花了六个月的时间浏览暗网网站和工作招聘信息。
许多程序员以极低的价格兜售他们的技能,例如,一名 Python 开发人员和计算机科学专业的大学生,开发网络犯罪常用程序(例如 VoIP chatbot、AI chatbot 和黑客/网络钓鱼框架)的收费仅为每小时 48 美元 (25 英镑)。
另一位开发人员提供软件开发、脚本编写和“后端”软件开发技能,并声称拥有“维护公共和私有云的丰富经验,包括维护上述基础设施”。
调查人员还发现,除了自称是专业渗透测试人员和全球 IT 公司员工的人员发布的帖子之外,还有失业的配音演员提供网络钓鱼电话诈骗的语音服务;平面设计师;公关专业人士;内容写手,他们都愿意帮助网络犯罪分子设计更具说服力和效果的网络犯罪活动。
调查人员表示,专业人士与铁杆网络犯罪分子相对容易区分,因为专业人士经常提到“目前合法的专业角色”,或者他们的广告措辞“与在领英等平台上宣传服务的人类似”。
“在一个已经为阻止对手而苦苦挣扎的行业中,” 他说道, “看到聪明、有能力的人被引诱到犯罪的一方令人担忧。”
CIISec 首席执行官阿曼达·芬奇 (Amanda Finch) 表示,网络安全职位已经是 IT 行业薪酬最高的工作之一 – 最近的一项调查发现,澳大利亚雇主会为熟练的网络安全工作人员平均提供 27% 的薪资溢价。然而,这些帖子表明,工作压力和倦怠正导致员工考虑其他发挥才能的途径。
芬奇引用了 Gartner 最近的预测,即到 2025 年,四分之一的网络安全领导者将更换工作,她表示,“薪资和长时间的工作正在助长这种趋势,我们已经开始看到影响,因为高技能人才正在转向网络犯罪。”
她说:“许多离开网络安全行业的人将迫切需要在一个能为他们现有技能和知识提供丰厚回报的领域工作。”
“防止这种情况发生意味着我们要确保尽一切努力吸引和留住人才。”
CSO 的噩梦
对于首席信息安全官 (CISO) 和其他努力保护公司免受网络犯罪分子侵害的企业高管来说,他们已经因网络犯罪活动升级 (2023 年出现了 25 个新的勒索软件团伙) 而焦头烂额。现在得知他们可能无意中与自己的员工作战 – 而这些员工既拥有对公司业务的深入了解,又拥有合法的访问凭证 – 这将令他们感到震惊。
澳大利亚信息专员办公室 (OAIC) 在 2023 年下半年收到恶意攻击报告中,有 11% 涉及流氓员工或内部威胁,这进一步挑战了已经为应对人工智能 (AI) 辅助网络安全攻击激增而苦苦挣扎的高管人员。
例如,Darktrace 对 14 个国家/地区的 1773 名安全专业人士进行的一项全球调查发现,89% 的人认为人工智能增强型威胁将在未来两年内显著影响其组织。
Darktrace 首席产品官 Max Heinemeyer 指出,约 60% 的人承认“没有准备好防御”此类攻击。他说:“人工智能、自动化和网络犯罪即服务 (CaaS) 增加了网络安全攻击的速度、复杂性和有效性。”
Heinemeyer 说,12 月份检测到的网络钓鱼电子邮件比 9 月份高出 14%,同期使用“新型社会工程学技巧”的网络钓鱼攻击增长了 35%。
Heinemeyer 表示,生成式人工智能 (genAI) 工具的使用激增(Darktrace 客户中约有一半使用)以及网络犯罪即服务生态系统充斥着预制恶意软件和网络钓鱼模板,使得“人工智能不可避免地会增加组织面临的风险和威胁”, “但这并不是从防御角度无法解决的挑战。”
人工智能防御系统正成为抵御激增的网络犯罪活动的一种越来越流行的方式 – 美国联邦贸易委员会 (FTC) 最近 crackdown (严厉打击) 了 AI 仿冒行为,谷歌启动了人工智能网络防御计划,欧盟也最近开设了正式的人工智能办公室。
根据 GlobalData 的数据,2023 年共提交了 1098 项与人工智能网络威胁检测相关的专利,仅去年就有 53 家新公司进入该市场。破坏性技术项目经理 Caibhav Gundre 将其称为“防御性人工智能领域的快速发展”。
Gundre 表示,这一趋势反映了“拥有强大的网络防御系统的重要性”,并标志着“旨在克服新的网络威胁的大量研发活动”。
“随着组织利用人工智能网络威胁检测的力量,他们还必须应对重大挑战。”
重大网络安全挑战及对策措施
这些挑战包括:
- 检测和识别内部威胁 – 内部人员可能滥用其访问权限,窃取数据或破坏系统。研究表明,很难将恶意用户与具有合法访问权限的常规用户区分开来。
- 确保人工智能系统的安全 – 人工智能系统本身容易受到操纵和攻击。网络犯罪分子可以利用人工智能漏洞来发起更复杂的网络攻击。
- 制定适当的道德规范 – 随着人工智能在网络安全领域的作用越来越重要,制定适当的道德规范以确保其负责任地使用变得至关重要。
网络安全专业人士短缺以及网络犯罪的日益复杂化意味着,网络安全行业需要采取多管齐下的方式来应对这些挑战。需要采取以下措施:
- 改善工作条件 – 提高网络安全专业人员的薪酬和福利,并提供更好的工作-生活平衡,可以降低员工流失率并减少他们转向网络犯罪的可能性。
- 投资于培训和教育 – 持续的培训和教育可以帮助网络安全专业人员掌握防御最新网络威胁所需的技能。
- 促进行业合作 – 网络安全公司、政府机构和执法部门需要合作,共享信息和最佳实践,以更有效地打击网络犯罪。
- 开发更强大的防御系统 – 人工智能和其他新技术可以用来开发更强大、更有效的防御系统,以保护组织免受网络攻击。
通过采取这些措施,网络安全行业可以更好地应对网络犯罪的威胁,并确保组织的安全。