“黑客变得越来越老练,他们只需要找到一个漏洞就可以了
成功的.”
为了阻止数字时代的犯罪活动,网络安全专家必须像坏人一样思考. 德克萨斯大学达拉斯 研究人员正在调查此案.
灾难性网络攻击的威胁比以往任何时候都更大, 最近的罢工破坏了燃料供应 供应, 暂停各项业务, 政府和医院业务, 还试图毒死一个佛罗里达人 城镇饮用水.
随着组织的计算机网络可以被远程访问,这种风险已经上升. 就在过去的两年中 年, 对殖民管道公司的袭击.该公司运营着美国最大的燃料管道.S.; on 信息rmation 技术 provider Kaseya; on 的 Washington, D.C., Metropolitan Police Department; 和 on a water treatment plant in Oldsmar, 佛罗里达,展示潜在的严重破坏.
“AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜甚至还没有看到百分之一的问题. 这些攻击造成了很多 困难, 但 情况会越来越糟,越来越糟. Bhavani Thuraisingham教授 电脑 他是AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜工程和计算机科学的创始人主席. 她 is 他是全国公认的网络安全专家之一.
“AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜现在面临的挑战是,几乎所有有微处理器的东西——无论是 AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜 谈论自动驾驶汽车或无人机或AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜家中的日常用品-可能会受到攻击,而且 在那里 可能会产生一些非常严重的后果,”自2004年起担任公司创始执行董事的瑟莱辛厄姆表示 直到 最后的 现任美国网络安全研究与教育研究所(CSI)高级策略师 埃里克 约翰逊工程与计算机科学学院(ECS).
源源不断的新技术带来了前所未有的攻击可能性, 网络安全 一个领域是不断变化的吗. 网络安全专家被迫像罪犯一样思考,以预测和 figure 出 如何检测攻击者获得访问权限的无数方式. 然而,骗子只需要找到一个 缺陷 to 潜入整个系统. 在Colonial Pipeline的案例中,一个被泄露的密码导致 燃料 东海岸的短缺.
“黑客变得越来越老练,他们只需要找到一个漏洞就可以了 成功。” Thuraisingham说. “AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜必须100%找到这些裂缝.”
达拉斯德州大学网络安全专家正在开发创造性的方法来预防, 发现并阻止不断进化的生物 范围 of 通过包括国家科学基金会(NSF)在内的政府机构支持的研究,, 国家 卫生研究所, 国家安全局(NSA), 空军科学研究办公室, 办公室 海军 研究和陆军研究办公室. 该大学的网络安全项目超出了计算机领域 科学 作为研究人员与电气和计算机工程系的教师合作, 的 纳文 金达尔管理学院,以及经济、政治和政策科学学院(EPPS) 行为 和 脑科学,以及其他学术机构的同事. 比如达拉斯德州大学 研究人员 有 开发了基于机器学习的新技术来保护数据和用户隐私,检测 入侵, 并欺骗在线入侵者,以便从他们的策略中学习.
2015年,达拉斯德州大学成为德克萨斯州第一所获得美国国家安全局著名称号的大学 a 国家网络作战学术卓越中心. 2020年,该大学加入了另外五所大学 国家 美国国家科学基金会资助的一个研究中心致力于以工业为重点的项目,旨在保护 的 安全的微芯片和其他硬件,可以特别容易受到攻击.
但仅靠研究是不够的. 从高中网络安全训练营到研究生学位课程,达拉斯德州大学 教师 会员还提供教育和培训项目,帮助填补网络安全的严重短缺 全球专业人士.
不断变化的游戏
多年来,网络安全已经从专注于从主要入口阻止数字入侵者发展 to 如果他们突破了安全措施,就会通过计算机网络跟踪他们的行动. Kangkook Jee, 计算机科学助理教授.
“游戏规则正在改变,”他说. “你不能只把锁放在前面 门. 你 房子里需要监控摄像头.”
新的威胁不断出现. 由于COVID-19,在家工作的人数增加 流感大流行 为攻击者打开了未使用的入口点,暴露了某些实体中薄弱的安全措施. 尽管所有 类型 of 网络攻击在2020年和2021年有所增加,勒索软件攻击成为最大的头条新闻.
“游戏规则正在改变. 你不能只在前门上锁. 你
需要
房子里有监控摄像头.”
在勒索软件攻击中, 犯罪分子获取敏感数据,并将其作为支付手段 数万 数百万美元. 公司被警告,如果他们不这样做,他们的敏感信息将被暴露 支付. 一个 犯罪分子进入组织网络的主要方式之一是通过网络钓鱼电子邮件 那 部署恶意软件加密服务器.
“一旦攻击者闯入你的系统,他们就可以访问其中的所有内容,”Thuraisingham说 说. “的y 可以 do 更多的 比 steal your data; 的y 可以 encrypt all your data 和 files, 破坏你的系统, 和 不用支付赎金就能进入. 就像有人破门而入偷东西一样 珠宝 然后绑架一个孩子,索要赎金.”
随着电子设备使用的增长,它们的组件也变得越来越容易受到 恶意的 篡改和伪造.
“假设一个不良行为者在电厂的服务或升级期间更换了芯片,从而使 功能 那 会导致配电网出现故障。. Yiorgos Makris,电气教授 和 计算机工程. “半导体篡改对消费电子产品也有影响,例如 无线通信设备, 不可信的芯片可能泄露私人数据的地方, 或者汽车行业 行业, 哪里的安全可能会受到假冒零件的影响.”
要解决这个风险德州大学达拉斯分校, 还有其他五所大学, 在2020年成立了中心 硬件 和 嵌入式系统安全与信任(CHEST), 一项新的研究计划的重点是保护安全 半导体,它们所安装的电路板和其他计算机硬件. 由北京大学领导 辛辛那提, CHEST 也 involves Nor的astern University; University of Cali为nia, Davis; University of 康涅狄格; 以及弗吉尼亚大学.
CHEST是美国国家科学基金会的一个产学研合作研究中心,作为一个以工业为重点的中心 研究 目前由23名来自行业和政府实验室的成员组成.
智胜网络间谍
正如物联网——连接设备的庞大网络, 从智能手表到家庭安全 系统 -快速增长, 犯罪分子利用这项技术进行间谍活动的可能性也很大, 导致身体 伤害,或 窃取信息以获取经济利益或敲诈勒索.
由软件和传感器连接的复杂计算设备网络几乎翻了一番 比 38 根据Juniper Research的数据,从2018年到2020年,这一数字将达到10亿美元. 该公司提供研究和分析 的 全球高科技通信行业预测,到2024年,这一数字将超过830亿.
在该杂志2019年9月至10月的一项研究中 IEEE安全 & 隐私德州大学达拉斯分校 研究人员测试了家庭安全系统、无人机和儿童智能玩具,这只是其中的一小部分 of 的 常见的个人设备可以通过多种方式被黑客入侵. 该团队发现了几种不同类型的漏洞, 哪一个 他们向制造商报告. 其中一个最让人大开眼界的例子是一个儿童玩具. 的 毛绒玩具中有一个麦克风,攻击者可以通过这个麦克风将音频注入设备,然后进行攻击 与孩子交谈,甚至可能告诉孩子打开回家的门.
“如果人工智能系统受到攻击,将会产生各种疯狂的影响.”
移动应用程序构成了另一种威胁,使犯罪分子有可能确定一个人的身份 位置 和 其他个人信息.
“当你下载一个应用程序时,它可以访问你手机上的大量信息。. Kanad 巴苏, 电子与计算机工程助理教授. “你必须记住这一切 信息 可以 被这些应用程序收集并发送给第三方. 他们用它做什么? 他们可以做很多事情 任何东西. We 应该小心吗.”
个人身份信息可以包括姓名, 电子邮件地址, 电话号码, 位置, 和音频 和 视觉录音. 它还可以包括设备的唯一标识符,如国际移动电话 设备 身份, 媒体访问控制地址, Android ID和广告ID, 软件开发人员可以这样做吗 收集 收集用户的兴趣信息,并将其出售给广告商.
在2020年3月27日发表的一项研究中 IEEE信息取证与安全汇刊,巴苏和 研究员 研究人员发现,100个儿童移动应用程序中有72个违反了儿童在线 隐私 这使得黑客很容易确定一个孩子的身份和位置. 他和 研究员 研究人员正在开发一种工具,可以确定Android游戏或其他移动应用程序是否符合要求 与 的 立法.
学习更多像网络安全专家一样保护自己的知识
应对对人工智能的攻击
人工智能(AI)的日益普及也带来了新型的安全风险. 大量 of data 用来训练控制自动驾驶汽车和其他人工智能系统的软件. 机器学习 AI 技术, 包括将数百万个现实生活中的例子输入计算机,以教导自动驾驶汽车, 为 的例子, 如何应对停车标志. 机器学习的一个子集,称为深度学习,分析层次 信息, 这为人工智能执行评估乳房x光片以标记肿瘤等任务铺平了道路. 但是如果在网上呢? 汪达尔人 访问和篡改数据?
“人工智能正在影响AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜生活的方方面面, 从医疗保健到金融再到驾驶 to 管理家庭,”Thuraisingham说. “有重点的复杂机器学习技术 on 深的 学习成果正被成功地应用于检测癌症, 为投资做出最好的选择 确定 最适合驾驶的路线,以及有效地管理AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜家中的电力.”
对人工智能系统的攻击威胁推动了网络安全研究中最热门的领域之一.
“如果人工智能系统受到攻击,将会产生各种疯狂的后果,” Thuraisingham 说. “想象一下,金融机构依赖于人工智能,给你混乱的结果和建议,或者 医疗 医生给出错误的诊断.”
目前的驾驶辅助技术也可能很脆弱. 想想那些用来提醒司机的传感器 is 变道不安全.
“如果它没有检测到另一辆车,而司机认为换车是安全的呢 车道?” 她问.
“AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜正在研究如何使机器学习模型更强大
攻击…….”
Dr. Murat Kantarcioglu, Ashbel Smith计算机科学教授,致力于制造机器的技术 学习 更多的 抗攻击.
“用于自动化决策和制定的机器学习和人工智能技术有所增加 Kantarcioglu说. “AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜正在研究这些技术是如何被攻击的 也 AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜如何 能让机器学习模型更健壮地抵御这些攻击吗.”
Kantarcioglu的研究还涉及保护收集和存储的大量数据 在线. In 2014年,他和他的同事赢得了本垒打R. 获得美国医学信息学协会颁发的华纳奖 创建使用加密技术保护医院数据库中的患者记录的工具.
在另一个领域的研究中. 贾斯汀·鲁斯,机械工程助理教授,正在开发 检测针对实体工厂或运营的网络攻击的技术. 该方法包括建立预测 关于 当事情不像预期的那样发展时,一个系统应该如何工作并创建一个警报系统.
“如果你能做出一个很好的预测,那么你就可以问,‘我的观察是否大致相当于我的预测 预测?“如果这些东西非常不同,那就是AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜用来检测的工具 异常,”他说.
骗子采购
人工智能的日益普及带来了不断变化的网络安全威胁, 这项技术也带来了新的方法 检测, 使攻击失效,甚至从攻击中学习.
一组研究人员,包括Dr. 凯文·哈姆伦,小路易斯·比彻尔. 杰出计算机教授 科学和博士. 拉蒂弗·汗,计算机科学教授,开发了一个网络威胁检测系统 使用 AI 对抗攻击. 这种方法被称为DEEP-Dig(欺骗挖掘),引导入侵者进入一个诱饵网站 的 计算机可以学习黑客的战术. 然后,这些信息被用来训练计算机 识别 和 阻止未来的袭击.
DEEP-Dig推进了一个快速发展的网络安全领域,被称为欺骗技术,或“骗子” 采购”,包括为黑客设置陷阱. 研究人员希望这种方法可以 特别是 对国防组织很有用.
“一直有犯罪分子试图攻击AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜的网络,通常AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜认为这是一种 负 接替Thuraisingham成为CSI执行董事的哈姆伦说. 而不是阻碍 他们, 也许AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜可以把这些袭击者视为免费劳动力的来源. 他们提供 us data 关于恶意攻击是什么样的. 它是珍贵数据的免费来源.”
一直都有犯罪分子试图攻击AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜的网络.
培养下一代
对网络安全专家的高需求为想要进入的学生创造了良好的就业前景 的 场.
根据(ISC) 2019年的一项研究2是一家国际非营利性认证网络安全组织 专业人士,美国.S. 网络安全从业人员约有80万,但仍存在短缺 近 50万熟练专业人员. 在这项研究中,65%的组织报告了人才短缺 熟练的 工作人员.
达拉斯德州大学计算机科学系早就认识到这一需求,并积极针对青少年 感兴趣 通过面向高中生和初高中学生的暑期网络防御夏令营,在实地开展网络防御活动. 这些 营地 使学生能够通过行业认证考试.
另外, CSI的领导们致力于扩大这个领域,让更多的女性参与进来, 谁占了24% 网络安全工作, 通过“女性参与网络安全中心”等倡议, 这是 该计划是在该校主办2016年网络安全女性大会之后提出的.
达拉斯德州大学满足对网络安全专家需求的另一种方式是向合格的学生提供奖学金 通过美国国家科学基金会资助项目CyberCorps:服务奖学金(SFS)的硕士生. 的 程序 支付 合格学生的学杂费,并提供每学年高达34,000美元的津贴. 收件人 毕业后必须同意为联邦政府工作吗, 州或地方政府的实体,任期等于 的 长度 关于奖学金. 琼森学院自2010年以来一直参与SFS资助计划. 大多数 最近,在 2019年,学校获得了400万美元的赠款,用于支持约24名学生到2024年.
“达拉斯德州大学的SFS项目旨在为学生提供强大的技术教育和 专业培训的机会,让他们在网络安全之后的职业生涯中强势起步 毕业了。. 计算机科学教授、网络安全教育主任卡米尔·萨拉克(Kamil Sarac)说 在ECS项目中担任联合首席研究员.
校友们继续在国防部工作。, 以及亚马逊, Meta(前身为Facebook) 和 宝洁公司 & 赌博公司. 2019年,瑞安·伯奇菲尔德(Ryan Burch场), 06届毕业生, MS’09, 谁在国防部工作, 获得总统科学家和工程师早期职业奖, 美国.S. 政府对刚开始从事研究工作的科学家和工程师的最高荣誉.
该大学最近还增加了一个网络安全理学硕士学位, 技术和政策 in 与计算机科学系合作. 跨学科学位是为教学而设计的 学生 如何 以确定网络攻击的风险, 识别不同策略设置中的安全漏洞,并在其中进行工作 a 监管框架. 它为具有计算机科学经验的学生提供了一个机会 和 那些 从非技术背景来学习战略, 网络安全的政策和分析方面.
了解你的风险
虽然勒索软件和其他攻击近年来有所增加,但专家们担心公众 的意识 网络安全风险没有跟上.
“AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜社会的一个问题是,AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜在使用互联网,但AG的真人体育彩票网站-apple app store排行榜-为狂热体育而生的排行榜没有意识到这是什么 意味着 in 隐私条款,”巴苏说. “Few of us care 关于 privacy; although, we should.”
个人最大的错误之一就是认为自己没有风险, 19岁的卢卡斯·卡斯特罗说, MS ' 20, SFS奖学金获得者,现在是MITRE的网络安全工程师. 他说很多人 相信 他们的电脑里没有什么值得偷的东西. 然而,即使这是真的,他们的电脑也可能是真的 作为分布式拒绝服务攻击的一部分被劫持. 在这种类型的攻击中,犯罪分子进入了一个巨大的 数量 个人电脑, 获得计算能力,以便对制造它的企业进行有针对性的攻击 不可能的 任何人都可以访问公司的网站.
“即使你没有被黑客入侵,你的设备也可能被用作僵尸网络中的僵尸电脑 攻击” 卡斯特罗说. “的y don’t want your data; 的y just want your computing power. 有 总是 罪犯控制了你的机器就能得到的东西.
“你的东西远没有你想的那么安全.”
