為什么AI對于網(wǎng)絡(luò)安全至關(guān)重要?因為每天都有，事實上是每秒都有，惡意行為者利用AI來擴大他們的攻擊手段的范圍和速度。

　　一方面，正如CrowdStrike高級副總裁Adam Meyers在最近接受記者采訪時所說，“敵人每年都快了10到14分鐘。隨著他們的突破時間縮短，防御者必須反應(yīng)更快——在威脅擴散之前檢測、調(diào)查和阻止它們。這是一場速度之戰(zhàn)。”

　　與此同時，Gartner在最近的一項研究《新興技術(shù)影響雷達(dá)：預(yù)防性網(wǎng)絡(luò)安全》中寫道，“惡意行為者正在利用GenAI以機器速度發(fā)動攻擊。組織不能再等到檢測到漏洞后才采取行動。預(yù)見潛在攻擊并優(yōu)先采取預(yù)防性緩解措施進(jìn)行預(yù)測分析變得至關(guān)重要。”

　　就其本身而言，Darktrace的最新威脅報告反映了網(wǎng)絡(luò)攻擊者冷酷無情的新心態(tài)，他們不惜一切手段獲得所需的速度和隱蔽性，以突破企業(yè)防線，甚至在安全團隊知道他們受到攻擊之前，就竊取數(shù)據(jù)、資金和身份。他們對AI的利用已經(jīng)超越了深度偽造，擴展到規(guī)模上和范圍上都與合法營銷活動相似的網(wǎng)絡(luò)釣魚郵件。

　　Darktrace研究中一個最值得注意的發(fā)現(xiàn)是，武器化的AI和惡意軟件即服務(wù)(MaaS)的威脅日益嚴(yán)重。根據(jù)Darktrace最近的研究，MaaS目前已占所有網(wǎng)絡(luò)攻擊的57%，標(biāo)志著向自動化網(wǎng)絡(luò)犯罪顯著加速。

　　AI滿足了網(wǎng)絡(luò)安全對速度的需求

　　突破時間正在急劇下降。這無疑是攻擊者行動更快、微調(diào)新技術(shù)，而基于邊界的傳統(tǒng)系統(tǒng)和平臺無法察覺的跡象。Microsoft的Vasu Jakkal在最近接受記者采訪時生動地說明了這種加速：“三年前，我們每秒檢測到567次與密碼相關(guān)的攻擊。如今，這一數(shù)字已飆升至每秒7000次。”

　　很少有人比Rate Companies(前身為Guaranteed Rate)信息安全高級副總裁Katherine Mowen更了解這一挑戰(zhàn)。Rate Companies是美國最大的零售抵押貸款機構(gòu)之一，每天有數(shù)十億美元的交易流經(jīng)其系統(tǒng)，是AI驅(qū)動網(wǎng)絡(luò)攻擊的主要目標(biāo)，從憑證盜竊到復(fù)雜的基于身份的欺詐。

　　Mowen在最近接受記者采訪時解釋說，“由于我們業(yè)務(wù)的性質(zhì)，我們面臨著一些最先進(jìn)且持久的網(wǎng)絡(luò)威脅。我們看到抵押貸款行業(yè)中的其他公司也遭受了攻擊，所以我們必須確保我們不會成為下一個目標(biāo)。我認(rèn)為我們現(xiàn)在正在做的是用AI對抗AI。”

　　Rate Companies通過AI威脅建模、零信任安全和自動化響應(yīng)來實現(xiàn)更高網(wǎng)絡(luò)彈性的戰(zhàn)略，為各行各業(yè)的安全領(lǐng)導(dǎo)者提供了寶貴的經(jīng)驗。

　　CrowdStrike的首席執(zhí)行官George Kurtz告訴記者，“網(wǎng)絡(luò)攻擊者現(xiàn)在利用AI驅(qū)動的惡意軟件，可以在幾秒鐘內(nèi)變形。如果你的防御不是同樣具有適應(yīng)性，那你就已經(jīng)落后了。”例如，Rate Companies的Mowen正在通過一系列有效的防御性AI策略來對抗敵對的AI。

　　用AI對抗AI：什么有效

　　記者與一群要求匿名的首席信息安全官坐下來，以更好地了解他們用AI對抗AI的策略。以下是那次會議中總結(jié)的六條經(jīng)驗：

　　利用自我學(xué)習(xí)的AI改善威脅檢測正在取得成效。敵對AI是當(dāng)今越來越多泄露事件的核心。所有這些活動的一個快速結(jié)論是，基于簽名的檢測最多只能勉強跟上攻擊者的最新手段。

　　網(wǎng)絡(luò)攻擊者并沒有停止利用身份及其眾多漏洞。他們正在進(jìn)步，使用存活于局域網(wǎng)(LOTL)技術(shù)并將AI武器化以繞過靜態(tài)防御。安全團隊被迫從被動防御轉(zhuǎn)向主動防御。

　　Darktrace的報告解釋了原因。該公司在披露零日漏洞之前的17天就在Palo Alto防火墻設(shè)備上檢測到了可疑活動。這只是有關(guān)關(guān)鍵基礎(chǔ)設(shè)施上日益增多的AI輔助攻擊的眾多例子中的一個，該報告也提供了相關(guān)數(shù)據(jù)。Darktrace威脅研究副總裁Nathaniel Jones觀察到，“在入侵后檢測威脅已經(jīng)不再足夠。自我學(xué)習(xí)的AI能發(fā)現(xiàn)人類忽視的微妙信號，從而實現(xiàn)主動防御。”

　　考慮用AI驅(qū)動的威脅檢測自動化網(wǎng)絡(luò)釣魚防御。網(wǎng)絡(luò)釣魚攻擊激增，僅去年一年，Darktrace就檢測到了超過3000萬封惡意郵件。其中大多數(shù)，即70%，通過利用與合法通信無法區(qū)分的由AI生成的誘餌，繞過了傳統(tǒng)電子郵件安全。網(wǎng)絡(luò)安全團隊正在依靠AI來識別和阻止網(wǎng)絡(luò)釣魚和商務(wù)郵件泄露(BEC)這兩個領(lǐng)域的泄露事件。

　　Zscaler首席安全官Deepen Desai說：“利用AI是對抗AI驅(qū)動攻擊的最佳防御。”Rate Companies的Mowen強調(diào)了主動身份安全的重要性：“隨著攻擊者不斷改進(jìn)他們的戰(zhàn)術(shù)，我們需要一種能夠?qū)崟r適應(yīng)并讓我們更深入洞察潛在威脅的解決方案。”

　　AI驅(qū)動的事件響應(yīng)：你是否足夠快以遏制威脅?在任何入侵或泄露事件中，每秒都很重要。隨著突破時間的急劇縮短，已經(jīng)沒有時間可以浪費。基于邊界的系統(tǒng)通常有多年未打補丁的過時代碼。這一切都會引發(fā)誤報。與此同時，正在完善武器化AI的攻擊者只需幾秒鐘就能突破防火墻并進(jìn)入關(guān)鍵系統(tǒng)。

　　Mowen建議首席信息安全官遵循Rate Companies的1-10-60 SOC模型，該模型旨在1分鐘內(nèi)檢測到入侵，10分鐘內(nèi)對其進(jìn)行分類，并在60分鐘內(nèi)將其遏制住。她建議將此作為安全運營的基準(zhǔn)。Mowen警告說，“你的攻擊面不僅僅是基礎(chǔ)設(shè)施——還有時間。你有多少時間來響應(yīng)?”未能加速遏制威脅的組織面臨泄露事件延長和損失更高的風(fēng)險。她建議首席信息安全官通過跟蹤平均檢測時間(MTTD)、平均響應(yīng)時間(MTTR)和誤報減少情況來衡量AI對事件響應(yīng)的影響。威脅被遏制得越快，它們造成的損害就越小。AI不僅僅是一種增強手段——它正成為一種必需品。

　　不斷尋找用AI強化攻擊面的新方法。每個組織都在應(yīng)對一系列不斷變化的攻擊面的挑戰(zhàn)，這些攻擊面可以從一系列移動設(shè)備到大規(guī)模云遷移或無數(shù)物聯(lián)網(wǎng)傳感器和端點。AI驅(qū)動的暴露管理可以實時主動識別和緩解漏洞。

　　在Rate Companies，Mowen強調(diào)了可擴展性和可見性的必要性。“我們的員工隊伍可以快速增長或減少。”Mowen說。需要快速靈活調(diào)整其業(yè)務(wù)運營是推動Rate制定使用AI進(jìn)行實時可見性和跨其多樣化云環(huán)境自動檢測配置錯誤的戰(zhàn)略的因素之一。

　　使用行為分析和AI檢測和減少內(nèi)部威脅的數(shù)量。內(nèi)部威脅隨著影子AI的興起而加劇，已成為一個緊迫的挑戰(zhàn)。AI驅(qū)動的用戶和實體行為分析(UEBA)通過連續(xù)監(jiān)控用戶行為與既定基線的對比，并迅速檢測偏差來解決這一問題。Rate Companies面臨嚴(yán)重的基于身份的威脅，促使Mowen的團隊整合了實時監(jiān)控和異常檢測。她指出：“如果攻擊者只是竊取用戶憑證，那么最好的終端保護(hù)也不起作用。如今，我們采取‘絕不信任，始終驗證’的方法，連續(xù)監(jiān)控每筆交易。”

　　WinWire首席技術(shù)官Vineet Arora觀察到，傳統(tǒng)的IT管理工具和流程通常缺乏對AI應(yīng)用程序的全面可見性和控制，從而使影子AI得以盛行。他強調(diào)了平衡創(chuàng)新與安全的重要性，他說，“提供安全的AI選項可以確保人們不會想要偷偷繞過。你不能扼殺AI的采用，但你可以安全地引導(dǎo)它。”實施帶有AI驅(qū)動異常檢測的用戶和實體行為分析可以增強安全性，降低風(fēng)險和誤報。

　　人類參與的AI：長期網(wǎng)絡(luò)安全成功的關(guān)鍵。在任何網(wǎng)絡(luò)安全應(yīng)用、平臺或產(chǎn)品中實施AI的主要目標(biāo)之一是讓它不斷學(xué)習(xí)并增強人類的專業(yè)知識，而不是取代它。AI和人類團隊要想都取得成功，就需要在知識上存在互惠關(guān)系。

　　CrowdStrike首席技術(shù)官Elia Zaitsev說：“很多時候，AI并沒有取代人類。它增強了人類的能力。”“我們之所以能夠如此快速、高效和有效地構(gòu)建AI，是因為我們十多年來一直有人類在創(chuàng)造人類產(chǎn)出，而現(xiàn)在我們可以將其輸入到AI系統(tǒng)中。”這種人類與AI的協(xié)作在安全運營中心(SOC)尤為重要，在那里，AI必須在有限的自主權(quán)下運行，輔助分析師而不奪取全部控制權(quán)。

　　網(wǎng)絡(luò)安全的未來已來

　　AI驅(qū)動的威脅正在自動化泄露事件，實時改變惡意軟件，并生成與合法通信幾乎無法區(qū)分的網(wǎng)絡(luò)釣魚活動。企業(yè)必須同樣行動迅速，將AI驅(qū)動的檢測、響應(yīng)和恢復(fù)能力嵌入到安全層的每一層中。

　　突破時間正在縮短，而傳統(tǒng)防御無法跟上。關(guān)鍵不僅在于AI，而在于AI與人類專業(yè)知識相結(jié)合。正如Rate Companies的Katherine Mowen和CrowdStrike的Elia Zaitsev等安全領(lǐng)導(dǎo)者所強調(diào)的，AI應(yīng)該增強防御者，而不是取代他們，從而使他們能夠做出更快、更明智的安全決策。