為什么 AI 對(duì)網(wǎng)絡(luò)安全變得至關(guān)重要?因?yàn)槊刻欤瑢?shí)際上每秒,惡意行為者都在利用人工智能擴(kuò)大其攻擊方法的范圍和速度。
正如 CrowdStrike 的高級(jí)副總裁 Adam Meyers 在最近接受 VentureBeat 采訪時(shí)所說:“對(duì)手每年快了 10 到 14 分鐘。隨著他們的突破時(shí)間縮短,防御者必須更快地反應(yīng)——在威脅擴(kuò)散之前檢測(cè)、調(diào)查和阻止威脅。這是一場(chǎng)速度的游戲。”
與此同時(shí),Gartner 在其最近的研究《新興技術(shù)影響雷達(dá):預(yù)防性網(wǎng)絡(luò)安全》中寫道:“惡意行為者正在利用生成式 AI 以機(jī)器速度發(fā)起攻擊。組織不能再等到檢測(cè)到漏洞后才采取行動(dòng)。預(yù)測(cè)潛在攻擊并優(yōu)先采取預(yù)防性緩解措施已變得至關(guān)重要。”
Darktrace 的最新威脅報(bào)告則反映了網(wǎng)絡(luò)攻擊者的新無情心態(tài),他們?cè)敢獠幌б磺写鷥r(jià)獲得突破企業(yè)所需的速度和隱秘性,甚至在安全團(tuán)隊(duì)意識(shí)到受到攻擊之前就竊取數(shù)據(jù)、資金和身份。他們對(duì) AI 的武器化不僅限于深度偽造,還包括大規(guī)模和范圍類似于合法營(yíng)銷活動(dòng)的網(wǎng)絡(luò)釣魚電子郵件轟炸。
Darktrace 研究中最顯著的發(fā)現(xiàn)之一是武器化 AI 和惡意軟件即服務(wù)(MaaS)的威脅日益增加。根據(jù) Darktrace 的最新研究,MaaS 現(xiàn)在占所有網(wǎng)絡(luò)攻擊的 57%,這表明自動(dòng)化網(wǎng)絡(luò)犯罪顯著加速。
AI 滿足了網(wǎng)絡(luò)安全對(duì)速度的需求
突破時(shí)間正在迅速下降。這是攻擊者行動(dòng)更快并微調(diào)新技術(shù)的明確信號(hào),基于外圍的傳統(tǒng)系統(tǒng)和平臺(tái)無法捕捉到這些技術(shù)。Microsoft 的 Vasu Jakkal 在最近的 VentureBeat 采訪中生動(dòng)地量化了這種加速:“三年前,我們每秒看到 567 次與密碼相關(guān)的攻擊。今天,這個(gè)數(shù)字飆升到了每秒 7,000 次。”
很少有人比 Rate Companies(前身為 Guaranteed Rate)信息安全高級(jí)副總裁 Katherine Mowen 更了解這一挑戰(zhàn)。作為美國(guó)最大的零售抵押貸款機(jī)構(gòu)之一,Rate Companies 每天有數(shù)十億美元的交易通過其系統(tǒng)流動(dòng),是 AI 驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊的主要目標(biāo),從憑證盜竊到復(fù)雜的基于身份的欺詐。
正如 Mowen 在最近的 VentureBeat 采訪中所解釋的那樣:“由于我們的業(yè)務(wù)性質(zhì),我們面臨著一些最先進(jìn)和持續(xù)的網(wǎng)絡(luò)威脅。我們看到抵押貸款行業(yè)的其他公司遭到攻擊,因此我們需要確保這不會(huì)發(fā)生在我們身上。我認(rèn)為我們現(xiàn)在所做的是用 AI 對(duì)抗 AI。”
Rate Companies 實(shí)現(xiàn)更高網(wǎng)絡(luò)彈性的策略基于 AI 威脅建模、零信任安全和自動(dòng)化響應(yīng),這為各行業(yè)的安全領(lǐng)導(dǎo)者提供了寶貴的經(jīng)驗(yàn)。
“網(wǎng)絡(luò)攻擊者現(xiàn)在利用 AI 驅(qū)動(dòng)的惡意軟件,可以在幾秒鐘內(nèi)變形。如果你的防御措施沒有同樣的適應(yīng)性,你已經(jīng)落后了,”CrowdStrike 的 CEO George Kurtz 告訴 VentureBeat。例如,Rate Companies 的 Mowen 正在通過一系列有效的防御性 AI 策略與對(duì)抗性 AI 作斗爭(zhēng)。
用 AI 對(duì)抗 AI:什么有效
VentureBeat 與一組要求匿名的首席信息安全官(CISO)進(jìn)行了會(huì)談,以更好地了解他們用 AI 對(duì)抗 AI 的策略。以下是從該會(huì)議中學(xué)到的六個(gè)經(jīng)驗(yàn):
使用自學(xué)習(xí) AI 改進(jìn)威脅檢測(cè)正在取得成效。對(duì)抗性 AI 是當(dāng)今越來越多漏洞的核心。從所有這些活動(dòng)中得到的一個(gè)快速結(jié)論是,基于簽名的檢測(cè)在跟上攻擊者最新技藝方面充其量是掙扎的。
網(wǎng)絡(luò)攻擊者不僅僅停留在利用身份及其眾多漏洞上。他們正在進(jìn)步,使用“利用現(xiàn)有資源”(LOTL)技術(shù)并將 AI 武器化以繞過靜態(tài)防御。安全團(tuán)隊(duì)被迫從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御。
DarkTrace 的報(bào)告解釋了原因。該公司在零日漏洞被披露前 17 天檢測(cè)到 Palo Alto 防火墻設(shè)備上的可疑活動(dòng)。這只是報(bào)告中提供數(shù)據(jù)的許多 AI 輔助攻擊關(guān)鍵基礎(chǔ)設(shè)施的例子之一。Darktrace 威脅研究副總裁 Nathaniel Jones 指出:“在入侵后檢測(cè)威脅已不再足夠。自學(xué)習(xí) AI 能夠識(shí)別出人類忽視的微妙信號(hào),從而實(shí)現(xiàn)主動(dòng)防御。”
考慮使用 AI 驅(qū)動(dòng)的威脅檢測(cè)自動(dòng)化網(wǎng)絡(luò)釣魚防御。網(wǎng)絡(luò)釣魚攻擊正在飆升,僅在去年,Darktrace 就檢測(cè)到超過 3,000 萬(wàn)封惡意電子郵件。大多數(shù)(70%)通過利用 AI 生成的誘餌繞過傳統(tǒng)電子郵件安全,這些誘餌與合法通信無異。網(wǎng)絡(luò)釣魚和商業(yè)電子郵件泄露(BEC)是網(wǎng)絡(luò)安全團(tuán)隊(duì)依賴 AI 幫助識(shí)別和阻止漏洞的兩個(gè)領(lǐng)域。
Zscaler 的首席安全官 Deepen Desai 說:“利用 AI 是對(duì)抗 AI 驅(qū)動(dòng)攻擊的最佳防御。”Rate Companies 的 Mowen 強(qiáng)調(diào)了主動(dòng)身份安全的必要性:“由于攻擊者不斷改進(jìn)他們的策略,我們需要一個(gè)能夠?qū)崟r(shí)適應(yīng)并為我們提供更深入潛在威脅可見性的解決方案。”
AI 驅(qū)動(dòng)的事件響應(yīng):你能否足夠快地遏制威脅?在任何入侵或漏洞中,每秒都很重要。隨著突破時(shí)間的縮短,沒有時(shí)間可以浪費(fèi)。基于外圍的系統(tǒng)通常具有多年未修補(bǔ)的過時(shí)代碼。這一切都助長(zhǎng)了誤報(bào)。同時(shí),正在完善武器化 AI 的攻擊者在幾秒鐘內(nèi)就能突破防火墻進(jìn)入關(guān)鍵系統(tǒng)。
Mowen 建議 CISO 采用 Rate Companies 的 1-10-60 SOC 模型,該模型旨在在一分鐘內(nèi)檢測(cè)入侵,十分鐘內(nèi)進(jìn)行分類,并在六十分鐘內(nèi)遏制。她建議將此作為安全操作的基準(zhǔn)。正如 Mowen 警告的那樣:“你的攻擊面不僅僅是基礎(chǔ)設(shè)施——它也是時(shí)間。你有多長(zhǎng)時(shí)間來響應(yīng)?”未能加速遏制的組織面臨著長(zhǎng)期漏洞和更高損失的風(fēng)險(xiǎn)。她建議 CISO 通過跟蹤平均檢測(cè)時(shí)間(MTTD)、平均響應(yīng)時(shí)間(MTTR)和誤報(bào)減少來衡量 AI 對(duì)事件響應(yīng)的影響。威脅遏制得越快,它們?cè)斐傻膿p害就越小。AI 不僅僅是一種增強(qiáng)——它正在成為一種必要。
不斷尋找新方法通過 AI 加固攻擊面。每個(gè)組織都在努力應(yīng)對(duì)不斷變化的一系列攻擊面,這些攻擊面可能從一系列移動(dòng)設(shè)備到大規(guī)模云遷移或無數(shù)的物聯(lián)網(wǎng)傳感器和終端。AI 驅(qū)動(dòng)的暴露管理主動(dòng)識(shí)別并實(shí)時(shí)緩解漏洞。
在 Rate Companies,Mowen 強(qiáng)調(diào)了可擴(kuò)展性和可見性的必要性。“我們管理的員工隊(duì)伍可以快速增長(zhǎng)或縮減,”Mowen 說。快速靈活地適應(yīng)業(yè)務(wù)運(yùn)營(yíng)的需求是推動(dòng) Rate 使用 AI 實(shí)現(xiàn)實(shí)時(shí)可見性和自動(dòng)檢測(cè)其多樣化云環(huán)境中錯(cuò)誤配置的幾個(gè)因素之一。
使用行為分析和 AI 檢測(cè)并減少內(nèi)部威脅。內(nèi)部威脅因影子 AI 的興起而加劇,已成為一個(gè)緊迫的挑戰(zhàn)。AI 驅(qū)動(dòng)的用戶和實(shí)體行為分析(UEBA)通過持續(xù)監(jiān)控用戶行為與既定基線進(jìn)行比較并快速檢測(cè)偏差來解決這一問題。Rate Companies 面臨顯著的基于身份的威脅,促使 Mowen 的團(tuán)隊(duì)整合實(shí)時(shí)監(jiān)控和異常檢測(cè)。她指出:
“即使是最好的終端保護(hù)也無濟(jì)于事,如果攻擊者只是竊取用戶憑證。今天,我們采用‘永不信任,總是驗(yàn)證’的方法,持續(xù)監(jiān)控每筆交易。”
WinWire 的 CTO Vineet Arora 觀察到,傳統(tǒng)的 IT 管理工具和流程通常缺乏對(duì) AI 應(yīng)用程序的全面可見性和控制,允許影子 AI 蓬勃發(fā)展。他強(qiáng)調(diào)了在創(chuàng)新與安全之間取得平衡的重要性,并表示:“提供安全的 AI 選項(xiàng)可確保人們不會(huì)被誘惑走捷徑。你無法扼殺 AI 的采用,但可以安全地引導(dǎo)它。”通過 AI 驅(qū)動(dòng)的異常檢測(cè)實(shí)施 UEBA 加強(qiáng)了安全性,減少了風(fēng)險(xiǎn)和誤報(bào)。
人機(jī)協(xié)作 AI:長(zhǎng)期網(wǎng)絡(luò)安全成功的關(guān)鍵。在任何網(wǎng)絡(luò)安全應(yīng)用、平臺(tái)或產(chǎn)品中實(shí)施 AI 的主要目標(biāo)之一是讓它不斷學(xué)習(xí)并增強(qiáng)人類的專業(yè)知識(shí),而不是取代它。AI 和人類團(tuán)隊(duì)之間需要有一種互惠的知識(shí)關(guān)系,以便雙方都能出色地發(fā)揮作用。
“很多時(shí)候,AI 并沒有取代人類。它增強(qiáng)了人類,”CrowdStrike 的 CTO Elia Zaitsev 說。“我們能夠如此迅速、高效和有效地構(gòu)建 AI,是因?yàn)槲覀冇惺嗄甑娜祟悇?chuàng)造的人類輸出,現(xiàn)在可以將其輸入 AI 系統(tǒng)。”這種人機(jī)協(xié)作在安全運(yùn)營(yíng)中心(SOC)中特別關(guān)鍵,AI 必須在有限的自主權(quán)下運(yùn)行,協(xié)助分析師而不完全控制。
AI 對(duì)抗 AI:網(wǎng)絡(luò)安全的未來就是現(xiàn)在
AI 驅(qū)動(dòng)的威脅正在自動(dòng)化漏洞,實(shí)時(shí)變形惡意軟件,并生成幾乎與合法通信無異的網(wǎng)絡(luò)釣魚活動(dòng)。企業(yè)必須同樣快速地行動(dòng),將 AI 驅(qū)動(dòng)的檢測(cè)、響應(yīng)和彈性嵌入到安全的每一層。
突破時(shí)間正在縮短,傳統(tǒng)防御無法跟上。關(guān)鍵不僅僅是 AI,而是 AI 與人類專業(yè)知識(shí)的協(xié)同工作。正如 Rate Companies 的 Katherine Mowen 和 CrowdStrike 的 Elia Zaitsev 等安全領(lǐng)導(dǎo)者所強(qiáng)調(diào)的,AI 應(yīng)該增強(qiáng)防御者,而不是取代他們,從而實(shí)現(xiàn)更快、更智能的安全決策。