為什么AI對(duì)于網(wǎng)絡(luò)安全至關(guān)重要?因?yàn)槊刻於加?，事?shí)上是每秒都有，惡意行為者利用AI來(lái)擴(kuò)大他們的攻擊手段的范圍和速度。

一方面，正如CrowdStrike高級(jí)副總裁Adam Meyers在最近接受記者采訪時(shí)所說(shuō)，“敵人每年都快了10到14分鐘。隨著他們的突破時(shí)間縮短，防御者必須反應(yīng)更快——在威脅擴(kuò)散之前檢測(cè)、調(diào)查和阻止它們。這是一場(chǎng)速度之戰(zhàn)?！?/p>

與此同時(shí)，Gartner在最近的一項(xiàng)研究《新興技術(shù)影響雷達(dá)：預(yù)防性網(wǎng)絡(luò)安全》中寫(xiě)道，“惡意行為者正在利用GenAI以機(jī)器速度發(fā)動(dòng)攻擊。組織不能再等到檢測(cè)到漏洞后才采取行動(dòng)。預(yù)見(jiàn)潛在攻擊并優(yōu)先采取預(yù)防性緩解措施進(jìn)行預(yù)測(cè)分析變得至關(guān)重要?！?/p>

就其本身而言，Darktrace的最新威脅報(bào)告反映了網(wǎng)絡(luò)攻擊者冷酷無(wú)情的新心態(tài)，他們不惜一切手段獲得所需的速度和隱蔽性，以突破企業(yè)防線，甚至在安全團(tuán)隊(duì)知道他們受到攻擊之前，就竊取數(shù)據(jù)、資金和身份。他們對(duì)AI的利用已經(jīng)超越了深度偽造，擴(kuò)展到規(guī)模上和范圍上都與合法營(yíng)銷活動(dòng)相似的網(wǎng)絡(luò)釣魚(yú)郵件。

Darktrace研究中一個(gè)最值得注意的發(fā)現(xiàn)是，武器化的AI和惡意軟件即服務(wù)(MaaS)的威脅日益嚴(yán)重。根據(jù)Darktrace最近的研究，MaaS目前已占所有網(wǎng)絡(luò)攻擊的57%，標(biāo)志著向自動(dòng)化網(wǎng)絡(luò)犯罪顯著加速。

AI滿足了網(wǎng)絡(luò)安全對(duì)速度的需求

突破時(shí)間正在急劇下降。這無(wú)疑是攻擊者行動(dòng)更快、微調(diào)新技術(shù)，而基于邊界的傳統(tǒng)系統(tǒng)和平臺(tái)無(wú)法察覺(jué)的跡象。Microsoft的Vasu Jakkal在最近接受記者采訪時(shí)生動(dòng)地說(shuō)明了這種加速：“三年前，我們每秒檢測(cè)到567次與密碼相關(guān)的攻擊。如今，這一數(shù)字已飆升至每秒7000次?！?/p>

很少有人比Rate Companies(前身為Guaranteed Rate)信息安全高級(jí)副總裁Katherine Mowen更了解這一挑戰(zhàn)。Rate Companies是美國(guó)最大的零售抵押貸款機(jī)構(gòu)之一，每天有數(shù)十億美元的交易流經(jīng)其系統(tǒng)，是AI驅(qū)動(dòng)網(wǎng)絡(luò)攻擊的主要目標(biāo)，從憑證盜竊到復(fù)雜的基于身份的欺詐。

Mowen在最近接受記者采訪時(shí)解釋說(shuō)，“由于我們業(yè)務(wù)的性質(zhì)，我們面臨著一些最先進(jìn)且持久的網(wǎng)絡(luò)威脅。我們看到抵押貸款行業(yè)中的其他公司也遭受了攻擊，所以我們必須確保我們不會(huì)成為下一個(gè)目標(biāo)。我認(rèn)為我們現(xiàn)在正在做的是用AI對(duì)抗AI?！?/p>

Rate Companies通過(guò)AI威脅建模、零信任安全和自動(dòng)化響應(yīng)來(lái)實(shí)現(xiàn)更高網(wǎng)絡(luò)彈性的戰(zhàn)略，為各行各業(yè)的安全領(lǐng)導(dǎo)者提供了寶貴的經(jīng)驗(yàn)。

CrowdStrike的首席執(zhí)行官George Kurtz告訴記者，“網(wǎng)絡(luò)攻擊者現(xiàn)在利用AI驅(qū)動(dòng)的惡意軟件，可以在幾秒鐘內(nèi)變形。如果你的防御不是同樣具有適應(yīng)性，那你就已經(jīng)落后了?！崩纾琑ate Companies的Mowen正在通過(guò)一系列有效的防御性AI策略來(lái)對(duì)抗敵對(duì)的AI。

用AI對(duì)抗AI：什么有效

記者與一群要求匿名的首席信息安全官坐下來(lái)，以更好地了解他們用AI對(duì)抗AI的策略。以下是那次會(huì)議中總結(jié)的六條經(jīng)驗(yàn)：

利用自我學(xué)習(xí)的AI改善威脅檢測(cè)正在取得成效。敵對(duì)AI是當(dāng)今越來(lái)越多泄露事件的核心。所有這些活動(dòng)的一個(gè)快速結(jié)論是，基于簽名的檢測(cè)最多只能勉強(qiáng)跟上攻擊者的最新手段。

網(wǎng)絡(luò)攻擊者并沒(méi)有停止利用身份及其眾多漏洞。他們正在進(jìn)步，使用存活于局域網(wǎng)(LOTL)技術(shù)并將AI武器化以繞過(guò)靜態(tài)防御。安全團(tuán)隊(duì)被迫從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御。

Darktrace的報(bào)告解釋了原因。該公司在披露零日漏洞之前的17天就在Palo Alto防火墻設(shè)備上檢測(cè)到了可疑活動(dòng)。這只是有關(guān)關(guān)鍵基礎(chǔ)設(shè)施上日益增多的AI輔助攻擊的眾多例子中的一個(gè)，該報(bào)告也提供了相關(guān)數(shù)據(jù)。Darktrace威脅研究副總裁Nathaniel Jones觀察到，“在入侵后檢測(cè)威脅已經(jīng)不再足夠。自我學(xué)習(xí)的AI能發(fā)現(xiàn)人類忽視的微妙信號(hào)，從而實(shí)現(xiàn)主動(dòng)防御?！?/p>

考慮用AI驅(qū)動(dòng)的威脅檢測(cè)自動(dòng)化網(wǎng)絡(luò)釣魚(yú)防御。網(wǎng)絡(luò)釣魚(yú)攻擊激增，僅去年一年，Darktrace就檢測(cè)到了超過(guò)3000萬(wàn)封惡意郵件。其中大多數(shù)，即70%，通過(guò)利用與合法通信無(wú)法區(qū)分的由AI生成的誘餌，繞過(guò)了傳統(tǒng)電子郵件安全。網(wǎng)絡(luò)安全團(tuán)隊(duì)正在依靠AI來(lái)識(shí)別和阻止網(wǎng)絡(luò)釣魚(yú)和商務(wù)郵件泄露(BEC)這兩個(gè)領(lǐng)域的泄露事件。

Zscaler首席安全官Deepen Desai說(shuō)：“利用AI是對(duì)抗AI驅(qū)動(dòng)攻擊的最佳防御?！盧ate Companies的Mowen強(qiáng)調(diào)了主動(dòng)身份安全的重要性：“隨著攻擊者不斷改進(jìn)他們的戰(zhàn)術(shù)，我們需要一種能夠?qū)崟r(shí)適應(yīng)并讓我們更深入洞察潛在威脅的解決方案?！?/p>

AI驅(qū)動(dòng)的事件響應(yīng)：你是否足夠快以遏制威脅?在任何入侵或泄露事件中，每秒都很重要。隨著突破時(shí)間的急劇縮短，已經(jīng)沒(méi)有時(shí)間可以浪費(fèi)?；谶吔绲南到y(tǒng)通常有多年未打補(bǔ)丁的過(guò)時(shí)代碼。這一切都會(huì)引發(fā)誤報(bào)。與此同時(shí)，正在完善武器化AI的攻擊者只需幾秒鐘就能突破防火墻并進(jìn)入關(guān)鍵系統(tǒng)。

Mowen建議首席信息安全官遵循Rate Companies的1-10-60 SOC模型，該模型旨在1分鐘內(nèi)檢測(cè)到入侵，10分鐘內(nèi)對(duì)其進(jìn)行分類，并在60分鐘內(nèi)將其遏制住。她建議將此作為安全運(yùn)營(yíng)的基準(zhǔn)。Mowen警告說(shuō)，“你的攻擊面不僅僅是基礎(chǔ)設(shè)施——還有時(shí)間。你有多少時(shí)間來(lái)響應(yīng)?”未能加速遏制威脅的組織面臨泄露事件延長(zhǎng)和損失更高的風(fēng)險(xiǎn)。她建議首席信息安全官通過(guò)跟蹤平均檢測(cè)時(shí)間(MTTD)、平均響應(yīng)時(shí)間(MTTR)和誤報(bào)減少情況來(lái)衡量AI對(duì)事件響應(yīng)的影響。威脅被遏制得越快，它們?cè)斐傻膿p害就越小。AI不僅僅是一種增強(qiáng)手段——它正成為一種必需品。

不斷尋找用AI強(qiáng)化攻擊面的新方法。每個(gè)組織都在應(yīng)對(duì)一系列不斷變化的攻擊面的挑戰(zhàn)，這些攻擊面可以從一系列移動(dòng)設(shè)備到大規(guī)模云遷移或無(wú)數(shù)物聯(lián)網(wǎng)傳感器和端點(diǎn)。AI驅(qū)動(dòng)的暴露管理可以實(shí)時(shí)主動(dòng)識(shí)別和緩解漏洞。

在Rate Companies，Mowen強(qiáng)調(diào)了可擴(kuò)展性和可見(jiàn)性的必要性?！拔覀兊膯T工隊(duì)伍可以快速增長(zhǎng)或減少?！盡owen說(shuō)。需要快速靈活調(diào)整其業(yè)務(wù)運(yùn)營(yíng)是推動(dòng)Rate制定使用AI進(jìn)行實(shí)時(shí)可見(jiàn)性和跨其多樣化云環(huán)境自動(dòng)檢測(cè)配置錯(cuò)誤的戰(zhàn)略的因素之一。

使用行為分析和AI檢測(cè)和減少內(nèi)部威脅的數(shù)量。內(nèi)部威脅隨著影子AI的興起而加劇，已成為一個(gè)緊迫的挑戰(zhàn)。AI驅(qū)動(dòng)的用戶和實(shí)體行為分析(UEBA)通過(guò)連續(xù)監(jiān)控用戶行為與既定基線的對(duì)比，并迅速檢測(cè)偏差來(lái)解決這一問(wèn)題。Rate Companies面臨嚴(yán)重的基于身份的威脅，促使Mowen的團(tuán)隊(duì)整合了實(shí)時(shí)監(jiān)控和異常檢測(cè)。她指出：“如果攻擊者只是竊取用戶憑證，那么最好的終端保護(hù)也不起作用。如今，我們采取‘絕不信任，始終驗(yàn)證’的方法，連續(xù)監(jiān)控每筆交易?！?/p>

WinWire首席技術(shù)官Vineet Arora觀察到，傳統(tǒng)的IT管理工具和流程通常缺乏對(duì)AI應(yīng)用程序的全面可見(jiàn)性和控制，從而使影子AI得以盛行。他強(qiáng)調(diào)了平衡創(chuàng)新與安全的重要性，他說(shuō)，“提供安全的AI選項(xiàng)可以確保人們不會(huì)想要偷偷繞過(guò)。你不能扼殺AI的采用，但你可以安全地引導(dǎo)它?！睂?shí)施帶有AI驅(qū)動(dòng)異常檢測(cè)的用戶和實(shí)體行為分析可以增強(qiáng)安全性，降低風(fēng)險(xiǎn)和誤報(bào)。

人類參與的AI：長(zhǎng)期網(wǎng)絡(luò)安全成功的關(guān)鍵。在任何網(wǎng)絡(luò)安全應(yīng)用、平臺(tái)或產(chǎn)品中實(shí)施AI的主要目標(biāo)之一是讓它不斷學(xué)習(xí)并增強(qiáng)人類的專業(yè)知識(shí)，而不是取代它。AI和人類團(tuán)隊(duì)要想都取得成功，就需要在知識(shí)上存在互惠關(guān)系。

CrowdStrike首席技術(shù)官Elia Zaitsev說(shuō)：“很多時(shí)候，AI并沒(méi)有取代人類。它增強(qiáng)了人類的能力?！薄拔覀冎阅軌蛉绱丝焖?、高效和有效地構(gòu)建AI，是因?yàn)槲覀兪嗄陙?lái)一直有人類在創(chuàng)造人類產(chǎn)出，而現(xiàn)在我們可以將其輸入到AI系統(tǒng)中。”這種人類與AI的協(xié)作在安全運(yùn)營(yíng)中心(SOC)尤為重要，在那里，AI必須在有限的自主權(quán)下運(yùn)行，輔助分析師而不奪取全部控制權(quán)。

網(wǎng)絡(luò)安全的未來(lái)已來(lái)

AI驅(qū)動(dòng)的威脅正在自動(dòng)化泄露事件，實(shí)時(shí)改變惡意軟件，并生成與合法通信幾乎無(wú)法區(qū)分的網(wǎng)絡(luò)釣魚(yú)活動(dòng)。企業(yè)必須同樣行動(dòng)迅速，將AI驅(qū)動(dòng)的檢測(cè)、響應(yīng)和恢復(fù)能力嵌入到安全層的每一層中。

突破時(shí)間正在縮短，而傳統(tǒng)防御無(wú)法跟上。關(guān)鍵不僅在于AI，而在于AI與人類專業(yè)知識(shí)相結(jié)合。正如Rate Companies的Katherine Mowen和CrowdStrike的Elia Zaitsev等安全領(lǐng)導(dǎo)者所強(qiáng)調(diào)的，AI應(yīng)該增強(qiáng)防御者，而不是取代他們，從而使他們能夠做出更快、更明智的安全決策。