人工智能技術(shù)的發(fā)展正在深刻影響著網(wǎng)絡(luò)安全領(lǐng)域。一方面，AI賦能了網(wǎng)絡(luò)攻擊手段的自動(dòng)化和智能化，使得攻擊者能夠更快、更隱蔽地入侵企業(yè)網(wǎng)絡(luò)，竊取數(shù)據(jù)、資金和身份信息；另一方面，AI也為網(wǎng)絡(luò)防御帶來了新的機(jī)遇，通過自學(xué)習(xí)、異常檢測(cè)等能力，AI可以幫助安全團(tuán)隊(duì)更快速、準(zhǔn)確地發(fā)現(xiàn)和應(yīng)對(duì)網(wǎng)絡(luò)威脅。

Darktrace最新的威脅報(bào)告顯示，網(wǎng)絡(luò)攻擊者不擇手段地利用AI來獲得入侵企業(yè)所需的速度和隱蔽性，在安全團(tuán)隊(duì)意識(shí)到被入侵之前就已經(jīng)竊取了數(shù)據(jù)、資金和身份信息。

Gartner 在最近發(fā)布的《新興技術(shù)影響雷達(dá)：主動(dòng)網(wǎng)絡(luò)安全》中寫道："惡意行為者正在利用生成式人工智能發(fā)動(dòng)以機(jī)器速度進(jìn)行的攻擊。組織再也無法等到檢測(cè)到入侵后才采取行動(dòng)。預(yù)測(cè)潛在攻擊并利用預(yù)測(cè)分析優(yōu)先考慮主動(dòng)緩解措施已經(jīng)變得至關(guān)重要。"

在這場(chǎng)"AI VS. AI"的對(duì)抗中，企業(yè)必須積極擁抱AI技術(shù)，才能在不斷變化的網(wǎng)絡(luò)安全態(tài)勢(shì)中保持優(yōu)勢(shì)。以下，是AI VS. AI的六個(gè)最佳實(shí)踐。

1.利用自學(xué)習(xí)AI提升威脅檢測(cè)能力

對(duì)抗性AI正在成為越來越多網(wǎng)絡(luò)入侵事件的核心。網(wǎng)絡(luò)攻擊者不僅利用身份認(rèn)證及其諸多漏洞，還在利用"生活在陸地上"(LOTL)的技術(shù)和武器化AI來繞過靜態(tài)防御。安全團(tuán)隊(duì)被迫從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御。

基于特征的檢測(cè)方式在應(yīng)對(duì)攻擊者的最新手段時(shí)舉步維艱。Darktrace 威脅研究副總裁 Nathaniel Jones提到：“檢測(cè)到入侵后的威脅已不再足夠。自學(xué)習(xí) AI 能精準(zhǔn)識(shí)別人類容易忽視的細(xì)微信號(hào)，實(shí)現(xiàn)主動(dòng)防御?！?/p>

例如，Darktrace 在零日漏洞被披露前 17 天就檢測(cè)到了 Palo Alto 防火墻設(shè)備上的可疑活動(dòng)，這體現(xiàn)了自學(xué)習(xí) AI 在應(yīng)對(duì)人工智能輔助攻擊關(guān)鍵基礎(chǔ)設(shè)施方面的優(yōu)勢(shì)。當(dāng)下，對(duì)抗性 AI 已成為大量數(shù)據(jù)泄露事件的核心因素，安全團(tuán)隊(duì)不得不從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御。

2.自動(dòng)化釣魚防御

釣魚攻擊正在激增，僅在過去一年，Darktrace就檢測(cè)到超過3000萬封惡意電子郵件。其中大多數(shù)(70%)都在利用AI生成的誘餌繞過傳統(tǒng)的電子郵件安全防線，這些誘餌與合法通信難以區(qū)分。釣魚和商業(yè)電子郵件入侵(BEC)是網(wǎng)絡(luò)安全團(tuán)隊(duì)利用AI來幫助識(shí)別和阻止入侵的兩個(gè)領(lǐng)域。

“利用 AI 是抵御 AI 驅(qū)動(dòng)的攻擊的最佳防御措施，”Zscaler 首席安全官 Deepen Desai 說。

美國最大的零售抵押貸款機(jī)構(gòu)之一Rate Companies 的 Mowen 則強(qiáng)調(diào)了主動(dòng)身份安全的必要性：“隨著攻擊者不斷改進(jìn)他們的策略，我們需要一種能夠?qū)崟r(shí)適應(yīng)并讓我們更深入地了解潛在威脅的解決方案。

3.加速安全事件響應(yīng)

在任何入侵或漏洞利用事件中，每一秒都至關(guān)重要。隨著入侵時(shí)間窗口的縮短，沒有時(shí)間可以浪費(fèi)?；谶吔绲南到y(tǒng)通常使用多年未打補(bǔ)丁的過時(shí)代碼，導(dǎo)致大量誤報(bào)。與此同時(shí)，不斷完善武器化AI的攻擊者在幾秒鐘內(nèi)就能突破防火墻，進(jìn)入關(guān)鍵系統(tǒng)。企業(yè)需要利用AI來實(shí)現(xiàn)快速檢測(cè)、分類和遏制威脅。

Mowen建議首席CSO效仿 Rate Companies 的1-10-60 安全運(yùn)營中心模型。該模型旨在 1分鐘內(nèi)檢測(cè)入侵、 10 分鐘內(nèi)對(duì)其進(jìn)行分類，并在 60 分鐘內(nèi)將其控制住。她建議將此作為安全運(yùn)營的基準(zhǔn)。

正如Mowen所警告的："您的攻擊面不僅僅是基礎(chǔ)設(shè)施，還有時(shí)間。您有多長(zhǎng)時(shí)間來響應(yīng)?"未能加快遏制速度的組織將面臨更長(zhǎng)時(shí)間的入侵和更高的損失。她建議CSO通過跟蹤平均檢測(cè)時(shí)間(MTTD)、平均響應(yīng)時(shí)間(MTTR)和誤報(bào)減少來衡量AI對(duì)事件響應(yīng)的影響。威脅被遏制得越快，造成的損害就越小。AI不僅僅是一種增強(qiáng)，它正在變成一種必需品。

4.持續(xù)強(qiáng)化攻擊面

從大量移動(dòng)設(shè)備到大規(guī)模云遷移，再到無數(shù)的物聯(lián)網(wǎng)傳感器和終端，每個(gè)組織都在努力應(yīng)對(duì)著不斷變化的一系列攻擊面。AI驅(qū)動(dòng)的暴露管理可以實(shí)時(shí)主動(dòng)識(shí)別和修復(fù)各種環(huán)境中的漏洞和錯(cuò)誤配置。

在Rate Companies，Katherine Mowen強(qiáng)調(diào)了可擴(kuò)展性和可見性的必要性。Rate Companies需要快速調(diào)整和適應(yīng)其業(yè)務(wù)運(yùn)營，這是推動(dòng)其采用AI策略以實(shí)現(xiàn)對(duì)多樣化云環(huán)境的實(shí)時(shí)可見性和自動(dòng)檢測(cè)錯(cuò)誤配置的幾個(gè)因素之一。

5.利用行為分析和AI檢測(cè)內(nèi)部威脅

隨著影子人工智能的興起，內(nèi)部威脅加劇已成為一個(gè)緊迫的挑戰(zhàn)。AI 驅(qū)動(dòng)的用戶和實(shí)體行為分析(UEBA)通過持續(xù)監(jiān)控用戶行為與建立的基線進(jìn)行比較，并快速檢測(cè)偏差來解決這一問題。

Rate Companies 面臨著嚴(yán)重的基于身份的威脅，促使Mowen 的團(tuán)隊(duì)整合實(shí)時(shí)監(jiān)控和異常檢測(cè)。她指出："即使是最好的終端保護(hù)措施也無法防范攻擊者竊取用戶憑據(jù)。今天，我們采取'從不信任，總是驗(yàn)證'的方法，持續(xù)監(jiān)控每一筆交易。"

WinWire 首席技術(shù)官 Vineet Arora 觀察到，傳統(tǒng)的 IT 管理工具和流程通常缺乏對(duì)人工智能應(yīng)用程序的全面可見性和控制，從而使影子人工智能得以蔓延。他強(qiáng)調(diào)平衡創(chuàng)新與安全的重要性。他說："提供安全的人工智能選擇可以確保人們不會(huì)被誘惑偷偷摸摸地使用。你無法杜絕人工智能的采用，但你可以安全地引導(dǎo)它。"通過人工智能驅(qū)動(dòng)的異常檢測(cè)實(shí)施 UEBA 可以加強(qiáng)安全性，降低風(fēng)險(xiǎn)和誤報(bào)。

6.人機(jī)協(xié)同的AI模式

在任何網(wǎng)絡(luò)安全應(yīng)用、平臺(tái)或產(chǎn)品中實(shí)施AI的主要目標(biāo)之一是讓它不斷學(xué)習(xí)并增強(qiáng)人類的專業(yè)知識(shí)，而不是取代人類。AI和人類團(tuán)隊(duì)都需要建立互惠的知識(shí)關(guān)系才能取得卓越成果。

CrowdStrike的CTO Elia Zaitsev認(rèn)為，很多時(shí)候，AI并不能取代人類，而是增強(qiáng)人類的能力。他說：“我們之所以能夠如此快速、高效、有效地構(gòu)建AI，是因?yàn)槲覀冇惺嗄甑娜祟愝敵?，現(xiàn)在可以將其輸入AI系統(tǒng)。"

這種人機(jī)協(xié)作在安全運(yùn)營中心(SOC)中尤為關(guān)鍵，AI必須在有限自主權(quán)下運(yùn)行，協(xié)助分析師而不是完全接管控制權(quán)。

未來，AI驅(qū)動(dòng)的網(wǎng)絡(luò)威脅將會(huì)變得更加自動(dòng)化和智能化。惡意軟件可以實(shí)時(shí)變形，釣魚活動(dòng)可以偽裝得與合法通信難以區(qū)分。入侵時(shí)間窗口正在縮短，傳統(tǒng)防御已經(jīng)跟不上步伐。企業(yè)必須在安全的各個(gè)層面嵌入AI驅(qū)動(dòng)的檢測(cè)、響應(yīng)和恢復(fù)能力，才能跟上攻擊者的步伐。

網(wǎng)絡(luò)防御的關(guān)鍵不僅僅是AI技術(shù)本身，更在于AI與人類專業(yè)知識(shí)的協(xié)同。AI應(yīng)該是安全防御者的倍增器，而不是替代品，幫助人類做出更快、更明智的安全決策。只有人機(jī)協(xié)同，企業(yè)才能在這場(chǎng)"AI VS. AI"的網(wǎng)絡(luò)安全對(duì)抗中立于不敗之地。面對(duì)日益智能化的網(wǎng)絡(luò)威脅，企業(yè)需要將AI融入到整個(gè)安全生命周期中，并與人類專業(yè)知識(shí)相結(jié)合，構(gòu)建全方位、動(dòng)態(tài)適應(yīng)的主動(dòng)防御體系，才能在未來的網(wǎng)絡(luò)安全態(tài)勢(shì)中保持領(lǐng)先優(yōu)勢(shì)。