攻防對抗中的六個“AI VS. AI”最佳實踐
責編:gltian |2025-03-13 16:47:53人工智能技術的發展正在深刻影響著網絡安全領域。一方面,AI賦能了網絡攻擊手段的自動化和智能化,使得攻擊者能夠更快、更隱蔽地入侵企業網絡,竊取數據、資金和身份信息;另一方面,AI也為網絡防御帶來了新的機遇,通過自學習、異常檢測等能力,AI可以幫助安全團隊更快速、準確地發現和應對網絡威脅。
Darktrace最新的威脅報告顯示,網絡攻擊者不擇手段地利用AI來獲得入侵企業所需的速度和隱蔽性,在安全團隊意識到被入侵之前就已經竊取了數據、資金和身份信息。
Gartner 在最近發布的《新興技術影響雷達:主動網絡安全》中寫道:”惡意行為者正在利用生成式人工智能發動以機器速度進行的攻擊。組織再也無法等到檢測到入侵后才采取行動。預測潛在攻擊并利用預測分析優先考慮主動緩解措施已經變得至關重要。”
在這場”AI VS. AI”的對抗中,企業必須積極擁抱AI技術,才能在不斷變化的網絡安全態勢中保持優勢。以下,是AI VS. AI的六個最佳實踐。
01?利用自學習AI提升威脅檢測能力
對抗性AI正在成為越來越多網絡入侵事件的核心。網絡攻擊者不僅利用身份認證及其諸多漏洞,還在利用”生活在陸地上”(LOTL)的技術和武器化AI來繞過靜態防御。安全團隊被迫從被動防御轉向主動防御。
基于特征的檢測方式在應對攻擊者的最新手段時舉步維艱。Darktrace 威脅研究副總裁 Nathaniel Jones提到:“檢測到入侵后的威脅已不再足夠。自學習 AI 能精準識別人類容易忽視的細微信號,實現主動防御。”
例如,Darktrace 在零日漏洞被披露前 17 天就檢測到了 Palo Alto 防火墻設備上的可疑活動,這體現了自學習 AI 在應對人工智能輔助攻擊關鍵基礎設施方面的優勢。當下,對抗性 AI 已成為大量數據泄露事件的核心因素,安全團隊不得不從被動防御轉向主動防御。
02?自動化釣魚防御
釣魚攻擊正在激增,僅在過去一年,Darktrace就檢測到超過3000萬封惡意電子郵件。其中大多數(70%)都在利用AI生成的誘餌繞過傳統的電子郵件安全防線,這些誘餌與合法通信難以區分。釣魚和商業電子郵件入侵(BEC)是網絡安全團隊利用AI來幫助識別和阻止入侵的兩個領域。
“利用 AI 是抵御 AI 驅動的攻擊的最佳防御措施,”Zscaler 首席安全官 Deepen Desai 說。
美國最大的零售抵押貸款機構之一Rate Companies 的 Mowen 則強調了主動身份安全的必要性:“隨著攻擊者不斷改進他們的策略,我們需要一種能夠實時適應并讓我們更深入地了解潛在威脅的解決方案。
03?加速安全事件響應
在任何入侵或漏洞利用事件中,每一秒都至關重要。隨著入侵時間窗口的縮短,沒有時間可以浪費。基于邊界的系統通常使用多年未打補丁的過時代碼,導致大量誤報。與此同時,不斷完善武器化AI的攻擊者在幾秒鐘內就能突破防火墻,進入關鍵系統。企業需要利用AI來實現快速檢測、分類和遏制威脅。
Mowen建議首席CSO效仿 Rate Companies 的1-10-60 安全運營中心模型。該模型旨在 1分鐘內檢測入侵、 10 分鐘內對其進行分類,并在 60 分鐘內將其控制住。她建議將此作為安全運營的基準。
正如Mowen所警告的:”您的攻擊面不僅僅是基礎設施,還有時間。您有多長時間來響應?”未能加快遏制速度的組織將面臨更長時間的入侵和更高的損失。她建議CSO通過跟蹤平均檢測時間(MTTD)、平均響應時間(MTTR)和誤報減少來衡量AI對事件響應的影響。威脅被遏制得越快,造成的損害就越小。AI不僅僅是一種增強,它正在變成一種必需品。
04?持續強化攻擊面
從大量移動設備到大規模云遷移,再到無數的物聯網傳感器和終端,每個組織都在努力應對著不斷變化的一系列攻擊面。AI驅動的暴露管理可以實時主動識別和修復各種環境中的漏洞和錯誤配置。
在Rate Companies,Katherine Mowen強調了可擴展性和可見性的必要性。Rate Companies需要快速調整和適應其業務運營,這是推動其采用AI策略以實現對多樣化云環境的實時可見性和自動檢測錯誤配置的幾個因素之一。
05?利用行為分析和AI檢測內部威脅
隨著影子人工智能的興起,內部威脅加劇已成為一個緊迫的挑戰。AI 驅動的用戶和實體行為分析(UEBA)通過持續監控用戶行為與建立的基線進行比較,并快速檢測偏差來解決這一問題。
Rate Companies 面臨著嚴重的基于身份的威脅,促使Mowen 的團隊整合實時監控和異常檢測。她指出:”即使是最好的終端保護措施也無法防范攻擊者竊取用戶憑據。今天,我們采取”從不信任,總是驗證”的方法,持續監控每一筆交易。”
WinWire 首席技術官 Vineet Arora 觀察到,傳統的 IT 管理工具和流程通常缺乏對人工智能應用程序的全面可見性和控制,從而使影子人工智能得以蔓延。他強調平衡創新與安全的重要性。他說:”提供安全的人工智能選擇可以確保人們不會被誘惑偷偷摸摸地使用。你無法杜絕人工智能的采用,但你可以安全地引導它。”通過人工智能驅動的異常檢測實施 UEBA 可以加強安全性,降低風險和誤報。
06?人機協同的AI模式
在任何網絡安全應用、平臺或產品中實施AI的主要目標之一是讓它不斷學習并增強人類的專業知識,而不是取代人類。AI和人類團隊都需要建立互惠的知識關系才能取得卓越成果。
CrowdStrike的CTO Elia Zaitsev認為,很多時候,AI并不能取代人類,而是增強人類的能力。他說:“我們之所以能夠如此快速、高效、有效地構建AI,是因為我們有十多年的人類輸出,現在可以將其輸入AI系統。”
這種人機協作在安全運營中心(SOC)中尤為關鍵,AI必須在有限自主權下運行,協助分析師而不是完全接管控制權。
未來,AI驅動的網絡威脅將會變得更加自動化和智能化。惡意軟件可以實時變形,釣魚活動可以偽裝得與合法通信難以區分。入侵時間窗口正在縮短,傳統防御已經跟不上步伐。企業必須在安全的各個層面嵌入AI驅動的檢測、響應和恢復能力,才能跟上攻擊者的步伐。
網絡防御的關鍵不僅僅是AI技術本身,更在于AI與人類專業知識的協同。AI應該是安全防御者的倍增器,而不是替代品,幫助人類做出更快、更明智的安全決策。只有人機協同,企業才能在這場”AI VS. AI”的網絡安全對抗中立于不敗之地。面對日益智能化的網絡威脅,企業需要將AI融入到整個安全生命周期中,并與人類專業知識相結合,構建全方位、動態適應的主動防御體系,才能在未來的網絡安全態勢中保持領先優勢。