为什么AI对于网络安全至关重要?因为每天都有,事实上是每秒都有,恶意行为者利用AI来扩大他们的攻击手段的范围和速度。
一方面,正如CrowdStrike高级副总裁Adam Meyers在最近接受记者采访时所说,“敌人每年都快了10到14分钟。随着他们的突破时间缩短,防御者必须反应更快——在威胁扩散之前检测、调查和阻止它们。这是一场速度之战。”
与此同时,Gartner在最近的一项研究《新兴技术影响雷达:预防性网络安全》中写道,“恶意行为者正在利用GenAI以机器速度发动攻击。组织不能再等到检测到漏洞后才采取行动。预见潜在攻击并优先采取预防性缓解措施进行预测分析变得至关重要。”
就其本身而言,Darktrace的最新威胁报告反映了网络攻击者冷酷无情的新心态,他们不惜一切手段获得所需的速度和隐蔽性,以突破企业防线,甚至在安全团队知道他们受到攻击之前,就窃取数据、资金和身份。他们对AI的利用已经超越了深度伪造,扩展到规模上和范围上都与合法营销活动相似的网络钓鱼邮件。
Darktrace研究中一个最值得注意的发现是,武器化的AI和恶意软件即服务(MaaS)的威胁日益严重。根据Darktrace最近的研究,MaaS目前已占所有网络攻击的57%,标志着向自动化网络犯罪显著加速。
AI满足了网络安全对速度的需求
突破时间正在急剧下降。这无疑是攻击者行动更快、微调新技术,而基于边界的传统系统和平台无法察觉的迹象。Microsoft的Vasu Jakkal在最近接受记者采访时生动地说明了这种加速:“三年前,我们每秒检测到567次与密码相关的攻击。如今,这一数字已飙升至每秒7000次。”
很少有人比Rate Companies(前身为Guaranteed Rate)信息安全高级副总裁Katherine Mowen更了解这一挑战。Rate Companies是美国最大的零售抵押贷款机构之一,每天有数十亿美元的交易流经其系统,是AI驱动网络攻击的主要目标,从凭证盗窃到复杂的基于身份的欺诈。
Mowen在最近接受记者采访时解释说,“由于我们业务的性质,我们面临着一些最先进且持久的网络威胁。我们看到抵押贷款行业中的其他公司也遭受了攻击,所以我们必须确保我们不会成为下一个目标。我认为我们现在正在做的是用AI对抗AI。”
Rate Companies通过AI威胁建模、零信任安全和自动化响应来实现更高网络弹性的战略,为各行各业的安全领导者提供了宝贵的经验。
CrowdStrike的首席执行官George Kurtz告诉记者,“网络攻击者现在利用AI驱动的恶意软件,可以在几秒钟内变形。如果你的防御不是同样具有适应性,那你就已经落后了。”例如,Rate Companies的Mowen正在通过一系列有效的防御性AI策略来对抗敌对的AI。
用AI对抗AI:什么有效
记者与一群要求匿名的首席信息安全官坐下来,以更好地了解他们用AI对抗AI的策略。以下是那次会议中总结的六条经验:
利用自我学习的AI改善威胁检测正在取得成效。敌对AI是当今越来越多泄露事件的核心。所有这些活动的一个快速结论是,基于签名的检测最多只能勉强跟上攻击者的最新手段。
网络攻击者并没有停止利用身份及其众多漏洞。他们正在进步,使用存活于局域网(LOTL)技术并将AI武器化以绕过静态防御。安全团队被迫从被动防御转向主动防御。
Darktrace的报告解释了原因。该公司在披露零日漏洞之前的17天就在Palo Alto防火墙设备上检测到了可疑活动。这只是有关关键基础设施上日益增多的AI辅助攻击的众多例子中的一个,该报告也提供了相关数据。Darktrace威胁研究副总裁Nathaniel Jones观察到,“在入侵后检测威胁已经不再足够。自我学习的AI能发现人类忽视的微妙信号,从而实现主动防御。”
考虑用AI驱动的威胁检测自动化网络钓鱼防御。网络钓鱼攻击激增,仅去年一年,Darktrace就检测到了超过3000万封恶意邮件。其中大多数,即70%,通过利用与合法通信无法区分的由AI生成的诱饵,绕过了传统电子邮件安全。网络安全团队正在依靠AI来识别和阻止网络钓鱼和商务邮件泄露(BEC)这两个领域的泄露事件。
Zscaler首席安全官Deepen Desai说:“利用AI是对抗AI驱动攻击的最佳防御。”Rate Companies的Mowen强调了主动身份安全的重要性:“随着攻击者不断改进他们的战术,我们需要一种能够实时适应并让我们更深入洞察潜在威胁的解决方案。”
AI驱动的事件响应:你是否足够快以遏制威胁?在任何入侵或泄露事件中,每秒都很重要。随着突破时间的急剧缩短,已经没有时间可以浪费。基于边界的系统通常有多年未打补丁的过时代码。这一切都会引发误报。与此同时,正在完善武器化AI的攻击者只需几秒钟就能突破防火墙并进入关键系统。
Mowen建议首席信息安全官遵循Rate Companies的1-10-60 SOC模型,该模型旨在1分钟内检测到入侵,10分钟内对其进行分类,并在60分钟内将其遏制住。她建议将此作为安全运营的基准。Mowen警告说,“你的攻击面不仅仅是基础设施——还有时间。你有多少时间来响应?”未能加速遏制威胁的组织面临泄露事件延长和损失更高的风险。她建议首席信息安全官通过跟踪平均检测时间(MTTD)、平均响应时间(MTTR)和误报减少情况来衡量AI对事件响应的影响。威胁被遏制得越快,它们造成的损害就越小。AI不仅仅是一种增强手段——它正成为一种必需品。
不断寻找用AI强化攻击面的新方法。每个组织都在应对一系列不断变化的攻击面的挑战,这些攻击面可以从一系列移动设备到大规模云迁移或无数物联网传感器和端点。AI驱动的暴露管理可以实时主动识别和缓解漏洞。
在Rate Companies,Mowen强调了可扩展性和可见性的必要性。“我们的员工队伍可以快速增长或减少。”Mowen说。需要快速灵活调整其业务运营是推动Rate制定使用AI进行实时可见性和跨其多样化云环境自动检测配置错误的战略的因素之一。
使用行为分析和AI检测和减少内部威胁的数量。内部威胁随着影子AI的兴起而加剧,已成为一个紧迫的挑战。AI驱动的用户和实体行为分析(UEBA)通过连续监控用户行为与既定基线的对比,并迅速检测偏差来解决这一问题。Rate Companies面临严重的基于身份的威胁,促使Mowen的团队整合了实时监控和异常检测。她指出:“如果攻击者只是窃取用户凭证,那么最好的终端保护也不起作用。如今,我们采取‘绝不信任,始终验证’的方法,连续监控每笔交易。”
WinWire首席技术官Vineet Arora观察到,传统的IT管理工具和流程通常缺乏对AI应用程序的全面可见性和控制,从而使影子AI得以盛行。他强调了平衡创新与安全的重要性,他说,“提供安全的AI选项可以确保人们不会想要偷偷绕过。你不能扼杀AI的采用,但你可以安全地引导它。”实施带有AI驱动异常检测的用户和实体行为分析可以增强安全性,降低风险和误报。
人类参与的AI:长期网络安全成功的关键。在任何网络安全应用、平台或产品中实施AI的主要目标之一是让它不断学习并增强人类的专业知识,而不是取代它。AI和人类团队要想都取得成功,就需要在知识上存在互惠关系。
CrowdStrike首席技术官Elia Zaitsev说:“很多时候,AI并没有取代人类。它增强了人类的能力。”“我们之所以能够如此快速、高效和有效地构建AI,是因为我们十多年来一直有人类在创造人类产出,而现在我们可以将其输入到AI系统中。”这种人类与AI的协作在安全运营中心(SOC)尤为重要,在那里,AI必须在有限的自主权下运行,辅助分析师而不夺取全部控制权。
网络安全的未来已来
AI驱动的威胁正在自动化泄露事件,实时改变恶意软件,并生成与合法通信几乎无法区分的网络钓鱼活动。企业必须同样行动迅速,将AI驱动的检测、响应和恢复能力嵌入到安全层的每一层中。
突破时间正在缩短,而传统防御无法跟上。关键不仅在于AI,而在于AI与人类专业知识相结合。正如Rate Companies的Katherine Mowen和CrowdStrike的Elia Zaitsev等安全领导者所强调的,AI应该增强防御者,而不是取代他们,从而使他们能够做出更快、更明智的安全决策。
