人工智能技术的发展正在深刻影响着网络安全领域。一方面,AI赋能了网络攻击手段的自动化和智能化,使得攻击者能够更快、更隐蔽地入侵企业网络,窃取数据、资金和身份信息;另一方面,AI也为网络防御带来了新的机遇,通过自学习、异常检测等能力,AI可以帮助安全团队更快速、准确地发现和应对网络威胁。
Darktrace最新的威胁报告显示,网络攻击者不择手段地利用AI来获得入侵企业所需的速度和隐蔽性,在安全团队意识到被入侵之前就已经窃取了数据、资金和身份信息。
Gartner 在最近发布的《新兴技术影响雷达:主动网络安全》中写道:"恶意行为者正在利用生成式人工智能发动以机器速度进行的攻击。组织再也无法等到检测到入侵后才采取行动。预测潜在攻击并利用预测分析优先考虑主动缓解措施已经变得至关重要。"
在这场"AI VS. AI"的对抗中,企业必须积极拥抱AI技术,才能在不断变化的网络安全态势中保持优势。以下,是AI VS. AI的六个最佳实践。
01
利用自学习AI提升威胁检测能力
对抗性AI正在成为越来越多网络入侵事件的核心。网络攻击者不仅利用身份认证及其诸多漏洞,还在利用"生活在陆地上"(LOTL)的技术和武器化AI来绕过静态防御。安全团队被迫从被动防御转向主动防御。
基于特征的检测方式在应对攻击者的最新手段时举步维艰。Darktrace 威胁研究副总裁 Nathaniel Jones提到:“检测到入侵后的威胁已不再足够。自学习 AI 能精准识别人类容易忽视的细微信号,实现主动防御。”
例如,Darktrace 在零日漏洞被披露前 17 天就检测到了 Palo Alto 防火墙设备上的可疑活动,这体现了自学习 AI 在应对人工智能辅助攻击关键基础设施方面的优势。当下,对抗性 AI 已成为大量数据泄露事件的核心因素,安全团队不得不从被动防御转向主动防御。
02
自动化钓鱼防御
钓鱼攻击正在激增,仅在过去一年,Darktrace就检测到超过3000万封恶意电子邮件。其中大多数(70%)都在利用AI生成的诱饵绕过传统的电子邮件安全防线,这些诱饵与合法通信难以区分。钓鱼和商业电子邮件入侵(BEC)是网络安全团队利用AI来帮助识别和阻止入侵的两个领域。
“利用 AI 是抵御 AI 驱动的攻击的最佳防御措施,”Zscaler 首席安全官 Deepen Desai 说。
美国最大的零售抵押贷款机构之一Rate Companies 的 Mowen 则强调了主动身份安全的必要性:“随着攻击者不断改进他们的策略,我们需要一种能够实时适应并让我们更深入地了解潜在威胁的解决方案。
03
加速安全事件响应
在任何入侵或漏洞利用事件中,每一秒都至关重要。随着入侵时间窗口的缩短,没有时间可以浪费。基于边界的系统通常使用多年未打补丁的过时代码,导致大量误报。与此同时,不断完善武器化AI的攻击者在几秒钟内就能突破防火墙,进入关键系统。企业需要利用AI来实现快速检测、分类和遏制威胁。
Mowen建议首席CSO效仿 Rate Companies 的1-10-60 安全运营中心模型。该模型旨在 1分钟内检测入侵、 10 分钟内对其进行分类,并在 60 分钟内将其控制住。她建议将此作为安全运营的基准。
正如Mowen所警告的:"您的攻击面不仅仅是基础设施,还有时间。您有多长时间来响应?"未能加快遏制速度的组织将面临更长时间的入侵和更高的损失。她建议CSO通过跟踪平均检测时间(MTTD)、平均响应时间(MTTR)和误报减少来衡量AI对事件响应的影响。威胁被遏制得越快,造成的损害就越小。AI不仅仅是一种增强,它正在变成一种必需品。
04
持续强化攻击面
从大量移动设备到大规模云迁移,再到无数的物联网传感器和终端,每个组织都在努力应对着不断变化的一系列攻击面。AI驱动的暴露管理可以实时主动识别和修复各种环境中的漏洞和错误配置。
在Rate Companies,Katherine Mowen强调了可扩展性和可见性的必要性。Rate Companies需要快速调整和适应其业务运营,这是推动其采用AI策略以实现对多样化云环境的实时可见性和自动检测错误配置的几个因素之一。
05
利用行为分析和AI检测内部威胁
随着影子人工智能的兴起,内部威胁加剧已成为一个紧迫的挑战。AI 驱动的用户和实体行为分析(UEBA)通过持续监控用户行为与建立的基线进行比较,并快速检测偏差来解决这一问题。
Rate Companies 面临着严重的基于身份的威胁,促使Mowen 的团队整合实时监控和异常检测。她指出:"即使是最好的终端保护措施也无法防范攻击者窃取用户凭据。今天,我们采取'从不信任,总是验证'的方法,持续监控每一笔交易。"
WinWire 首席技术官 Vineet Arora 观察到,传统的 IT 管理工具和流程通常缺乏对人工智能应用程序的全面可见性和控制,从而使影子人工智能得以蔓延。他强调平衡创新与安全的重要性。他说:"提供安全的人工智能选择可以确保人们不会被诱惑偷偷摸摸地使用。你无法杜绝人工智能的采用,但你可以安全地引导它。"通过人工智能驱动的异常检测实施 UEBA 可以加强安全性,降低风险和误报。
06
人机协同的AI模式
在任何网络安全应用、平台或产品中实施AI的主要目标之一是让它不断学习并增强人类的专业知识,而不是取代人类。AI和人类团队都需要建立互惠的知识关系才能取得卓越成果。
CrowdStrike的CTO Elia Zaitsev认为,很多时候,AI并不能取代人类,而是增强人类的能力。他说:“我们之所以能够如此快速、高效、有效地构建AI,是因为我们有十多年的人类输出,现在可以将其输入AI系统。"
这种人机协作在安全运营中心(SOC)中尤为关键,AI必须在有限自主权下运行,协助分析师而不是完全接管控制权。
未来,AI驱动的网络威胁将会变得更加自动化和智能化。恶意软件可以实时变形,钓鱼活动可以伪装得与合法通信难以区分。入侵时间窗口正在缩短,传统防御已经跟不上步伐。企业必须在安全的各个层面嵌入AI驱动的检测、响应和恢复能力,才能跟上攻击者的步伐。
网络防御的关键不仅仅是AI技术本身,更在于AI与人类专业知识的协同。AI应该是安全防御者的倍增器,而不是替代品,帮助人类做出更快、更明智的安全决策。只有人机协同,企业才能在这场"AI VS. AI"的网络安全对抗中立于不败之地。面对日益智能化的网络威胁,企业需要将AI融入到整个安全生命周期中,并与人类专业知识相结合,构建全方位、动态适应的主动防御体系,才能在未来的网络安全态势中保持领先优势。
