一方面,正如CrowdStrike高級副總裁Adam Meyers在最近接受記者采訪時所說,“敵人每年都快了10到14分鐘。隨著他們的突破時間縮短,防御者必須反應更快——在威脅擴散之前檢測、調查和阻止它們。這是一場速度之戰。”
與此同時,Gartner在最近的一項研究《新興技術影響雷達:預防性網絡安全》中寫道,“惡意行為者正在利用GenAI以機器速度發動攻擊。組織不能再等到檢測到漏洞后才采取行動。預見潛在攻擊并優先采取預防性緩解措施進行預測分析變得至關重要。”
就其本身而言,Darktrace的最新威脅報告反映了網絡攻擊者冷酷無情的新心態,他們不惜一切手段獲得所需的速度和隱蔽性,以突破企業防線,甚至在安全團隊知道他們受到攻擊之前,就竊取數據、資金和身份。他們對AI的利用已經超越了深度偽造,擴展到規模上和范圍上都與合法營銷活動相似的網絡釣魚郵件。
Darktrace研究中一個最值得注意的發現是,武器化的AI和惡意軟件即服務(MaaS)的威脅日益嚴重。根據Darktrace最近的研究,MaaS目前已占所有網絡攻擊的57%,標志著向自動化網絡犯罪顯著加速。
AI滿足了網絡安全對速度的需求
突破時間正在急劇下降。這無疑是攻擊者行動更快、微調新技術,而基于邊界的傳統系統和平臺無法察覺的跡象。Microsoft的Vasu Jakkal在最近接受記者采訪時生動地說明了這種加速:“三年前,我們每秒檢測到567次與密碼相關的攻擊。如今,這一數字已飆升至每秒7000次。”
很少有人比Rate Companies(前身為Guaranteed Rate)信息安全高級副總裁Katherine Mowen更了解這一挑戰。Rate Companies是美國最大的零售抵押貸款機構之一,每天有數十億美元的交易流經其系統,是AI驅動網絡攻擊的主要目標,從憑證盜竊到復雜的基于身份的欺詐。
Mowen在最近接受記者采訪時解釋說,“由于我們業務的性質,我們面臨著一些最先進且持久的網絡威脅。我們看到抵押貸款行業中的其他公司也遭受了攻擊,所以我們必須確保我們不會成為下一個目標。我認為我們現在正在做的是用AI對抗AI。”
Rate Companies通過AI威脅建模、零信任安全和自動化響應來實現更高網絡彈性的戰略,為各行各業的安全領導者提供了寶貴的經驗。
CrowdStrike的首席執行官George Kurtz告訴記者,“網絡攻擊者現在利用AI驅動的惡意軟件,可以在幾秒鐘內變形。如果你的防御不是同樣具有適應性,那你就已經落后了。”例如,Rate Companies的Mowen正在通過一系列有效的防御性AI策略來對抗敵對的AI。
用AI對抗AI:什么有效
記者與一群要求匿名的首席信息安全官坐下來,以更好地了解他們用AI對抗AI的策略。以下是那次會議中總結的六條經驗:
利用自我學習的AI改善威脅檢測正在取得成效。敵對AI是當今越來越多泄露事件的核心。所有這些活動的一個快速結論是,基于簽名的檢測最多只能勉強跟上攻擊者的最新手段。
網絡攻擊者并沒有停止利用身份及其眾多漏洞。他們正在進步,使用存活于局域網(LOTL)技術并將AI武器化以繞過靜態防御。安全團隊被迫從被動防御轉向主動防御。
Darktrace的報告解釋了原因。該公司在披露零日漏洞之前的17天就在Palo Alto防火墻設備上檢測到了可疑活動。這只是有關關鍵基礎設施上日益增多的AI輔助攻擊的眾多例子中的一個,該報告也提供了相關數據。Darktrace威脅研究副總裁Nathaniel Jones觀察到,“在入侵后檢測威脅已經不再足夠。自我學習的AI能發現人類忽視的微妙信號,從而實現主動防御。”
考慮用AI驅動的威脅檢測自動化網絡釣魚防御。網絡釣魚攻擊激增,僅去年一年,Darktrace就檢測到了超過3000萬封惡意郵件。其中大多數,即70%,通過利用與合法通信無法區分的由AI生成的誘餌,繞過了傳統電子郵件安全。網絡安全團隊正在依靠AI來識別和阻止網絡釣魚和商務郵件泄露(BEC)這兩個領域的泄露事件。
Zscaler首席安全官Deepen Desai說:“利用AI是對抗AI驅動攻擊的最佳防御。”Rate Companies的Mowen強調了主動身份安全的重要性:“隨著攻擊者不斷改進他們的戰術,我們需要一種能夠實時適應并讓我們更深入洞察潛在威脅的解決方案。”
AI驅動的事件響應:你是否足夠快以遏制威脅?在任何入侵或泄露事件中,每秒都很重要。隨著突破時間的急劇縮短,已經沒有時間可以浪費。基于邊界的系統通常有多年未打補丁的過時代碼。這一切都會引發誤報。與此同時,正在完善武器化AI的攻擊者只需幾秒鐘就能突破防火墻并進入關鍵系統。
Mowen建議首席信息安全官遵循Rate Companies的1-10-60 SOC模型,該模型旨在1分鐘內檢測到入侵,10分鐘內對其進行分類,并在60分鐘內將其遏制住。她建議將此作為安全運營的基準。Mowen警告說,“你的攻擊面不僅僅是基礎設施——還有時間。你有多少時間來響應?”未能加速遏制威脅的組織面臨泄露事件延長和損失更高的風險。她建議首席信息安全官通過跟蹤平均檢測時間(MTTD)、平均響應時間(MTTR)和誤報減少情況來衡量AI對事件響應的影響。威脅被遏制得越快,它們造成的損害就越小。AI不僅僅是一種增強手段——它正成為一種必需品。
不斷尋找用AI強化攻擊面的新方法。每個組織都在應對一系列不斷變化的攻擊面的挑戰,這些攻擊面可以從一系列移動設備到大規模云遷移或無數物聯網傳感器和端點。AI驅動的暴露管理可以實時主動識別和緩解漏洞。
在Rate Companies,Mowen強調了可擴展性和可見性的必要性。“我們的員工隊伍可以快速增長或減少。”Mowen說。需要快速靈活調整其業務運營是推動Rate制定使用AI進行實時可見性和跨其多樣化云環境自動檢測配置錯誤的戰略的因素之一。
使用行為分析和AI檢測和減少內部威脅的數量。內部威脅隨著影子AI的興起而加劇,已成為一個緊迫的挑戰。AI驅動的用戶和實體行為分析(UEBA)通過連續監控用戶行為與既定基線的對比,并迅速檢測偏差來解決這一問題。Rate Companies面臨嚴重的基于身份的威脅,促使Mowen的團隊整合了實時監控和異常檢測。她指出:“如果攻擊者只是竊取用戶憑證,那么最好的終端保護也不起作用。如今,我們采取‘絕不信任,始終驗證’的方法,連續監控每筆交易。”
WinWire首席技術官Vineet Arora觀察到,傳統的IT管理工具和流程通常缺乏對AI應用程序的全面可見性和控制,從而使影子AI得以盛行。他強調了平衡創新與安全的重要性,他說,“提供安全的AI選項可以確保人們不會想要偷偷繞過。你不能扼殺AI的采用,但你可以安全地引導它。”實施帶有AI驅動異常檢測的用戶和實體行為分析可以增強安全性,降低風險和誤報。
人類參與的AI:長期網絡安全成功的關鍵。在任何網絡安全應用、平臺或產品中實施AI的主要目標之一是讓它不斷學習并增強人類的專業知識,而不是取代它。AI和人類團隊要想都取得成功,就需要在知識上存在互惠關系。
CrowdStrike首席技術官Elia Zaitsev說:“很多時候,AI并沒有取代人類。它增強了人類的能力。”“我們之所以能夠如此快速、高效和有效地構建AI,是因為我們十多年來一直有人類在創造人類產出,而現在我們可以將其輸入到AI系統中。”這種人類與AI的協作在安全運營中心(SOC)尤為重要,在那里,AI必須在有限的自主權下運行,輔助分析師而不奪取全部控制權。
網絡安全的未來已來
AI驅動的威脅正在自動化泄露事件,實時改變惡意軟件,并生成與合法通信幾乎無法區分的網絡釣魚活動。企業必須同樣行動迅速,將AI驅動的檢測、響應和恢復能力嵌入到安全層的每一層中。
突破時間正在縮短,而傳統防御無法跟上。關鍵不僅在于AI,而在于AI與人類專業知識相結合。正如Rate Companies的Katherine Mowen和CrowdStrike的Elia Zaitsev等安全領導者所強調的,AI應該增強防御者,而不是取代他們,從而使他們能夠做出更快、更明智的安全決策。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號