云中網絡安全漏洞的持續困擾

云充滿了網絡安全漏洞。

如果您將數據，應用程序和其他業務資產信任任何公共云提供商，則希望它們提供強有力的保證，確保所有知識產權都是安全的，并且黑客不會利用它們破壞您的業務或使其破產你的事。

公共云提供商的安全性如何?在幾周后，我們將在其年度re：Invent會議上收到Amazon Web Services Inc.的更新。SiliconANGLE Media擁有的市場研究公司Wikibon將就其云的網絡安全保障以及其廣泛的網絡安全合作伙伴生態系統帶來的問題，對其高管進行訊問。

在最近的Wikibon行動項目CrowdChat中，我向受邀的主題專家和其他參與者詢問了一個問題，該問題可能在任何一天都觸及每位企業安全專家的想法。我問：“誰是云網絡安全領域的領導者?為什么?” 以下是我們收到的回復：

蒂姆·克勞福德(Tim Crawford)：“每個核心公共 #cloud 提供商都為自己做得很好。然而， #cybersecurity 與不僅僅是戰斗 #cloud “。

Maish Saidel-Keesing：“這個市場涌入了許多新的小型初創公司，他們正在努力為這個新世界提供解決方案。所有“傳統”供應商都希望我們認為他們在所有答案中就在那兒–但是他們離它還很遙遠……我認為這里沒有一個領導者–言之尚早。”

Craig Milroy：“客戶也有責任。客戶讓S3存儲桶暴露于互聯網的次數有多少次。分擔責任。

鮑比·艾倫(Bobby Allen)：安全性現在仍顯得蓬松無形。大多數企業領導人只是在做自己的事情，而沒有聘請安全專家。您還擁有資源安全與應用安全的關系。在大多數企業中，這是一場內戰。”

安德魯·米勒(Andrew Miller)：“老實說，沒有一個市場–市場過于分散，變化太快。”

坦率地說，如果我仍然是IT專業人員，但仍不確定是將公司的腳趾伸入公共云還是在混合云部署中進行嘗試，這都不會激發很多信心。此外，人工智能的進步似乎正在激增僵尸網絡，這些僵尸網絡扎根于世界各地的云環境中，并以毀滅性的力量造成了持續的威脅。

AI機器人即使不是先進且持久的，也算不上什么。它的先進之處在于，它使用機器學習來針對有針對性的協調行動，并以分散而難以捉摸的方式持久地以逐月，逐月，逐年，逐年地逐個操作的能力進行操作。

不僅如此，它還具有自適應性，自學習性，探測智能，可以在洛克希德·馬丁公司的“網絡殺手鏈”框架所涵蓋的每個層面上，將其網絡安全威脅潛力擴大：

偵察：AI機器人可以不斷收集身份，應用程序數據，憑據，電子郵件地址，行為模式和其他必要資源，以訓練其AI以使其更加熟練，有效和毀滅性。

武器化：AI機器人可以假冒任何人，地點，事物或其他機器人，以利用后門系統漏洞提供破壞性的有效載荷。

交付：人工智能機器人可以通過云，服務器，應用程序，設備或其他系統攻擊面上的任何裂縫來交付武器化的有效載荷。

利用：AI機器人可以通過連續的真實世界實驗來探索漏洞，以微調其對目標的攻擊。

安裝：AI機器人可以學習如何在覆蓋目標的同時秘密地在目標上安裝惡意軟件和其他破壞性資產。

命令與控制：AI機器人可以建立不可追蹤的命令通道來遠程操縱目標。

您的AI資產本身可能會為AI驅動的攻擊機器人帶來巨大的漏洞。正如我在最近的SiliconANGLE文章中指出的那樣， 企業AI模型的攻擊面可能是巨大而神秘的。如果您在意識到或實施防御之前被第三方(可能是通過僵尸網絡秘密地)發現并利用了它們，則深層神經網絡中的漏洞可能使您的公司面臨相當大的風險。

對深度神經網絡的對抗性攻擊(例如，計算機視覺，語音識別和自然語言處理背后的攻擊)的潛力 正日益引起數據科學界的關注。研究文獻中充斥著許多文獻記載的實例，這些實例中，深度神經網絡被對抗性攻擊所愚弄。

您的“物聯網”部署將加劇這些漏洞，尤其是當AI驅動的應用程序一直被推向邊緣設備時。正如我在本文中所討論的，保護IoT免受網絡攻擊將是所有安全挑戰的源泉。

零日攻擊是最令人恐懼的物聯網安全方案之一 ，在這種情況下，黑客(或也許是黑客在很早以前就推出了自動機器人)利用了沒有預先構建的防御措施的漏洞。物聯網 以諸如惡意軟件，入侵和高級持續威脅的可利用入口點的形式，為此類攻擊提供了潛在的無限 攻擊面。

進入re：Invent 2018，我想聽聽AWS如何應對來自其云，AI和IoT基礎架構內部以及內部各個方面的網絡安全威脅。