為什么 AI 對網(wǎng)絡(luò)安全變得至關(guān)重要?因為每天，實際上每秒，惡意行為者都在利用人工智能擴大其攻擊方法的范圍和速度。

正如 CrowdStrike 的高級副總裁 Adam Meyers 在最近接受 VentureBeat 采訪時所說：“對手每年快了 10 到 14 分鐘。隨著他們的突破時間縮短，防御者必須更快地反應(yīng)——在威脅擴散之前檢測、調(diào)查和阻止威脅。這是一場速度的游戲。”

與此同時，Gartner 在其最近的研究《新興技術(shù)影響雷達(dá)：預(yù)防性網(wǎng)絡(luò)安全》中寫道：“惡意行為者正在利用生成式 AI 以機器速度發(fā)起攻擊。組織不能再等到檢測到漏洞后才采取行動。預(yù)測潛在攻擊并優(yōu)先采取預(yù)防性緩解措施已變得至關(guān)重要。”

Darktrace 的最新威脅報告則反映了網(wǎng)絡(luò)攻擊者的新無情心態(tài)，他們愿意不惜一切代價獲得突破企業(yè)所需的速度和隱秘性，甚至在安全團隊意識到受到攻擊之前就竊取數(shù)據(jù)、資金和身份。他們對 AI 的武器化不僅限于深度偽造，還包括大規(guī)模和范圍類似于合法營銷活動的網(wǎng)絡(luò)釣魚電子郵件轟炸。

Darktrace 研究中最顯著的發(fā)現(xiàn)之一是武器化 AI 和惡意軟件即服務(wù)(MaaS)的威脅日益增加。根據(jù) Darktrace 的最新研究，MaaS 現(xiàn)在占所有網(wǎng)絡(luò)攻擊的 57%，這表明自動化網(wǎng)絡(luò)犯罪顯著加速。

AI 滿足了網(wǎng)絡(luò)安全對速度的需求

突破時間正在迅速下降。這是攻擊者行動更快并微調(diào)新技術(shù)的明確信號，基于外圍的傳統(tǒng)系統(tǒng)和平臺無法捕捉到這些技術(shù)。Microsoft 的 Vasu Jakkal 在最近的 VentureBeat 采訪中生動地量化了這種加速：“三年前，我們每秒看到 567 次與密碼相關(guān)的攻擊。今天，這個數(shù)字飆升到了每秒 7,000 次。”

很少有人比 Rate Companies(前身為 Guaranteed Rate)信息安全高級副總裁 Katherine Mowen 更了解這一挑戰(zhàn)。作為美國最大的零售抵押貸款機構(gòu)之一，Rate Companies 每天有數(shù)十億美元的交易通過其系統(tǒng)流動，是 AI 驅(qū)動的網(wǎng)絡(luò)攻擊的主要目標(biāo)，從憑證盜竊到復(fù)雜的基于身份的欺詐。

正如 Mowen 在最近的 VentureBeat 采訪中所解釋的那樣：“由于我們的業(yè)務(wù)性質(zhì)，我們面臨著一些最先進(jìn)和持續(xù)的網(wǎng)絡(luò)威脅。我們看到抵押貸款行業(yè)的其他公司遭到攻擊，因此我們需要確保這不會發(fā)生在我們身上。我認(rèn)為我們現(xiàn)在所做的是用 AI 對抗 AI。”

Rate Companies 實現(xiàn)更高網(wǎng)絡(luò)彈性的策略基于 AI 威脅建模、零信任安全和自動化響應(yīng)，這為各行業(yè)的安全領(lǐng)導(dǎo)者提供了寶貴的經(jīng)驗。

“網(wǎng)絡(luò)攻擊者現(xiàn)在利用 AI 驅(qū)動的惡意軟件，可以在幾秒鐘內(nèi)變形。如果你的防御措施沒有同樣的適應(yīng)性，你已經(jīng)落后了，”CrowdStrike 的 CEO George Kurtz 告訴 VentureBeat。例如，Rate Companies 的 Mowen 正在通過一系列有效的防御性 AI 策略與對抗性 AI 作斗爭。

用 AI 對抗 AI：什么有效

VentureBeat 與一組要求匿名的首席信息安全官(CISO)進(jìn)行了會談，以更好地了解他們用 AI 對抗 AI 的策略。以下是從該會議中學(xué)到的六個經(jīng)驗：

使用自學(xué)習(xí) AI 改進(jìn)威脅檢測正在取得成效。對抗性 AI 是當(dāng)今越來越多漏洞的核心。從所有這些活動中得到的一個快速結(jié)論是，基于簽名的檢測在跟上攻擊者最新技藝方面充其量是掙扎的。

網(wǎng)絡(luò)攻擊者不僅僅停留在利用身份及其眾多漏洞上。他們正在進(jìn)步，使用“利用現(xiàn)有資源”(LOTL)技術(shù)并將 AI 武器化以繞過靜態(tài)防御。安全團隊被迫從被動防御轉(zhuǎn)向主動防御。

DarkTrace 的報告解釋了原因。該公司在零日漏洞被披露前 17 天檢測到 Palo Alto 防火墻設(shè)備上的可疑活動。這只是報告中提供數(shù)據(jù)的許多 AI 輔助攻擊關(guān)鍵基礎(chǔ)設(shè)施的例子之一。Darktrace 威脅研究副總裁 Nathaniel Jones 指出：“在入侵后檢測威脅已不再足夠。自學(xué)習(xí) AI 能夠識別出人類忽視的微妙信號，從而實現(xiàn)主動防御。”

考慮使用 AI 驅(qū)動的威脅檢測自動化網(wǎng)絡(luò)釣魚防御。網(wǎng)絡(luò)釣魚攻擊正在飆升，僅在去年，Darktrace 就檢測到超過 3,000 萬封惡意電子郵件。大多數(shù)(70%)通過利用 AI 生成的誘餌繞過傳統(tǒng)電子郵件安全，這些誘餌與合法通信無異。網(wǎng)絡(luò)釣魚和商業(yè)電子郵件泄露(BEC)是網(wǎng)絡(luò)安全團隊依賴 AI 幫助識別和阻止漏洞的兩個領(lǐng)域。

Zscaler 的首席安全官 Deepen Desai 說：“利用 AI 是對抗 AI 驅(qū)動攻擊的最佳防御。”Rate Companies 的 Mowen 強調(diào)了主動身份安全的必要性：“由于攻擊者不斷改進(jìn)他們的策略，我們需要一個能夠?qū)崟r適應(yīng)并為我們提供更深入潛在威脅可見性的解決方案。”

AI 驅(qū)動的事件響應(yīng)：你能否足夠快地遏制威脅?在任何入侵或漏洞中，每秒都很重要。隨著突破時間的縮短，沒有時間可以浪費。基于外圍的系統(tǒng)通常具有多年未修補的過時代碼。這一切都助長了誤報。同時，正在完善武器化 AI 的攻擊者在幾秒鐘內(nèi)就能突破防火墻進(jìn)入關(guān)鍵系統(tǒng)。

Mowen 建議 CISO 采用 Rate Companies 的 1-10-60 SOC 模型，該模型旨在在一分鐘內(nèi)檢測入侵，十分鐘內(nèi)進(jìn)行分類，并在六十分鐘內(nèi)遏制。她建議將此作為安全操作的基準(zhǔn)。正如 Mowen 警告的那樣：“你的攻擊面不僅僅是基礎(chǔ)設(shè)施——它也是時間。你有多長時間來響應(yīng)?”未能加速遏制的組織面臨著長期漏洞和更高損失的風(fēng)險。她建議 CISO 通過跟蹤平均檢測時間(MTTD)、平均響應(yīng)時間(MTTR)和誤報減少來衡量 AI 對事件響應(yīng)的影響。威脅遏制得越快，它們造成的損害就越小。AI 不僅僅是一種增強——它正在成為一種必要。

不斷尋找新方法通過 AI 加固攻擊面。每個組織都在努力應(yīng)對不斷變化的一系列攻擊面，這些攻擊面可能從一系列移動設(shè)備到大規(guī)模云遷移或無數(shù)的物聯(lián)網(wǎng)傳感器和終端。AI 驅(qū)動的暴露管理主動識別并實時緩解漏洞。

在 Rate Companies，Mowen 強調(diào)了可擴展性和可見性的必要性。“我們管理的員工隊伍可以快速增長或縮減，”Mowen 說。快速靈活地適應(yīng)業(yè)務(wù)運營的需求是推動 Rate 使用 AI 實現(xiàn)實時可見性和自動檢測其多樣化云環(huán)境中錯誤配置的幾個因素之一。

使用行為分析和 AI 檢測并減少內(nèi)部威脅。內(nèi)部威脅因影子 AI 的興起而加劇，已成為一個緊迫的挑戰(zhàn)。AI 驅(qū)動的用戶和實體行為分析(UEBA)通過持續(xù)監(jiān)控用戶行為與既定基線進(jìn)行比較并快速檢測偏差來解決這一問題。Rate Companies 面臨顯著的基于身份的威脅，促使 Mowen 的團隊整合實時監(jiān)控和異常檢測。她指出：

“即使是最好的終端保護(hù)也無濟于事，如果攻擊者只是竊取用戶憑證。今天，我們采用‘永不信任，總是驗證’的方法，持續(xù)監(jiān)控每筆交易。”

WinWire 的 CTO Vineet Arora 觀察到，傳統(tǒng)的 IT 管理工具和流程通常缺乏對 AI 應(yīng)用程序的全面可見性和控制，允許影子 AI 蓬勃發(fā)展。他強調(diào)了在創(chuàng)新與安全之間取得平衡的重要性，并表示：“提供安全的 AI 選項可確保人們不會被誘惑走捷徑。你無法扼殺 AI 的采用，但可以安全地引導(dǎo)它。”通過 AI 驅(qū)動的異常檢測實施 UEBA 加強了安全性，減少了風(fēng)險和誤報。

人機協(xié)作 AI：長期網(wǎng)絡(luò)安全成功的關(guān)鍵。在任何網(wǎng)絡(luò)安全應(yīng)用、平臺或產(chǎn)品中實施 AI 的主要目標(biāo)之一是讓它不斷學(xué)習(xí)并增強人類的專業(yè)知識，而不是取代它。AI 和人類團隊之間需要有一種互惠的知識關(guān)系，以便雙方都能出色地發(fā)揮作用。

“很多時候，AI 并沒有取代人類。它增強了人類，”CrowdStrike 的 CTO Elia Zaitsev 說。“我們能夠如此迅速、高效和有效地構(gòu)建 AI，是因為我們有十多年的人類創(chuàng)造的人類輸出，現(xiàn)在可以將其輸入 AI 系統(tǒng)。”這種人機協(xié)作在安全運營中心(SOC)中特別關(guān)鍵，AI 必須在有限的自主權(quán)下運行，協(xié)助分析師而不完全控制。

AI 對抗 AI：網(wǎng)絡(luò)安全的未來就是現(xiàn)在

AI 驅(qū)動的威脅正在自動化漏洞，實時變形惡意軟件，并生成幾乎與合法通信無異的網(wǎng)絡(luò)釣魚活動。企業(yè)必須同樣快速地行動，將 AI 驅(qū)動的檢測、響應(yīng)和彈性嵌入到安全的每一層。

突破時間正在縮短，傳統(tǒng)防御無法跟上。關(guān)鍵不僅僅是 AI，而是 AI 與人類專業(yè)知識的協(xié)同工作。正如 Rate Companies 的 Katherine Mowen 和 CrowdStrike 的 Elia Zaitsev 等安全領(lǐng)導(dǎo)者所強調(diào)的，AI 應(yīng)該增強防御者，而不是取代他們，從而實現(xiàn)更快、更智能的安全決策。