技术创新的B面：新威胁的蔓延

互联网时代，新科技的发展，旨在塑造更好的数字世界。各供应商都在努力响应企业和消费者的需求，为使众人的生活更加方便，工作更具成本效益。然而，让人感到不安的是，新技术往往会被仓促投入生产，很多技术往往缺乏对安全和隐私的考虑。因此，国外安全专家提出，使网络变得更加方便、高效和快速的新功能，也可能会使威胁行为者更快找到滥用这些功能的方法，并使其成为巨大的风险。

这种情况与基于恶意软件的攻击不一样，后者会在媒体上直接被标位负面新闻，而科技发展往往给人积极的印象。以下是过去五年左右，新科技发展所带来的威胁问题。

1、生成式人工智能（AI）：2022年11月，随着OpenAI的ChatGPT公开亮相，生成式人工智能成为2023年最热门的话题。该术语广泛描述了机器学习系统，其能够响应用户输入的提示生成文本、图像、代码或其他类型内容。而现实是，生成式人工智能在设计和实现过程中对安全或隐私的关注太少，其能立即被威胁行为者武器化。

威胁行为者能利用生成式人工智能制造虚假信息，能使deepfake的创建让任何人使用。在暗网论坛上，恶意生成式人工智能已经能生成恶意代码，协助复杂的深度伪造创建，并大规模生产更聪明、更现实的商业电子邮件妥协（BEC）活动。

2、Zoom的端到端加密：视频会议平台Zoom在2020年引入了端到端的加密，以增强用户隐私。然而，安全研究人员发现，Zoom的这项实施存在重大漏洞，这可能会影响数百万依赖该平台进行安全通信的用户。

3、WhatsApp的加密后门：WhatsApp在2017年实现了端到端加密，以保护用户消息。但是，其有一个漏洞允许攻击者利用后门进行攻击。

4、英特尔的主动管理技术（AMT）漏洞：英特尔的AMT旨在促进设备的远程管理，其无意中存在一个关键漏洞，可使攻击者能够获得对系统的未经授权访问。

5、Google+API Bug：2018年，Google+推出了允许用户选择共享信息的功能。然而，API中的一个缺陷暴露了不应公开的用户数据，最终其影响了50万左右的用户。

6、智能物联网设备：智能摄像头和语音助手等物联网设备给社会群体带来了便利，但这也带来了一定的风险和漏洞。其薄弱的安全措施使黑客能够远程访问设备。

7、脸书的好友权限：2018年，脸书允许用户授予第三方应用程序访问其好友数据的权限，无意中为剑桥分析公司提供了便利，最终成为了丑闻。

8、手机生物识别认证：智能手机制造商推出了面部识别和指纹传感器等生物识别认证方法。然而，研究人员证明，使用照片或3D模型同样可以正常通过。

9、Spectre和Meltdown CPU漏洞：这些漏洞通过设计OEM功能来提高多个供应商的中央处理器（CPU）性能，从而允许各种程序（包括网络应用程序和浏览器）查看受保护内存区域的内容，这些内存区域包含密码、登录名、加密密钥、缓存文件和其他敏感数据。

10、物联网僵尸网络：2016年，Mirai僵尸网络启用了大规模分布式拒绝服务（DDoS）攻击。这是最严重的黑客攻击之一，因为犯罪分子可联网数百万的婴儿监视器、防盗报警器、摄像头、恒温器和打印机等物联网设备，以发动大量的攻击，这能削弱个人连接互联网和亚马逊、网飞、推特等大公司网站的能力，每次长达数小时。

国外安全专家表示，如果一个组织不采取积极措施保护自己，并对这些事件做出反应，那么就可能会对其声誉、发展造成灾难性影响。IDC的《全球安全支出指南》预测，2023年全球安全解决方案的支出将达到2190亿美元，与2022年相比增长了12.1%。这些数字不包括事件或违规响应费用，而这些费用会成倍增加受影响组织的成本。

国外安全专家指出，虽然这些缺陷中只有一些科技已经完全被武器化，可以窃取有价值的信息，也可以扰乱业务，但它们也都可以在多战线攻击中发挥作用，因此各组织必须采取行动。幸运的是，除了在安全解决方案上进行巨额投资，组织还可以采取以下预防措施：