人工智能如何从根本上改变云环境的威胁形势?
这是一个有趣的问题,因为人工智能当然是一种对好人和坏人都有用的工具。现在,我们假设我们关注的是坏人。
针对性威胁总是比大规模攻击更成功(也更昂贵)。人工智能有助于将大规模攻击的规模和成本与更符合针对性方法的成功相结合。特别是在云世界中,有多种技术可以让人工智能“增加价值、复杂性,并最终使攻击更成功”。
这些包括通过自适应恶意软件使用简单技术(例如用于填充暴力攻击的人工智能或用于支持有针对性的访问请求的生成性人工智能),使用人工智能重写代码以绕过任何或其他检测,更直接地使用人工智能来检测和利用易受攻击的系统,或通过快速扫描、探测和研究来识别和利用组织级别的错误配置(尽管也许更令人担忧的是,它也可以以相同的速度和技术应用于共享云或多用途 API,例如,破坏大规模一对多系统)。
人工智能还可用于支持更有针对性的方法、其处理数据压缩攻击的速度和能力及其结果,例如自动化横向移动、持久性和权限提升技术,使攻击者能够快速识别和获取大型云存储环境中的高价值数据,或编辑日志文件/操纵其他数据以隐藏漏洞并阻碍调查。
您认为,面对人工智能攻击,传统的云安全方法在多大程度上变得过时?
前面的答案在某种程度上支持了这一点,网络安全一直是一个对攻击者有利的竞争环境,攻击者只需成功一次,而防御者每次都需要成功。
许多传统的云安全方法与 AI 驱动或支持的攻击的规模、执行速度和复杂性不符。也许更重要的是,人们从云环境中获得的大部分好处都得到了“足够好”的安全措施的支持,而时间点安全性是在部署之后实现的,并且仍然高度依赖人为因素。
传统方法通常严重依赖静态防御,例如基于边界的边缘保护、固定规则集和预定义访问控制。这些方法旨在防范已知的攻击媒介,并假设威胁形势相对可预测。再加上需要人工交互时间框架来应对威胁的反应性专业资源,我们的人工智能同胞开始“亮起”眼睛,意识到造成混乱的可能性。
以前需要数天精心设计和规划的攻击现在只需几秒钟即可实施。虽然传统防御在理论上“可以”解决这个问题,但如果所有东西都始终得到正确修补和配置,所有资源始终运行正常,并且从不依赖第三方或供应链,那么就有可能。现实世界的安全与这种天堂截然不同。
在一个充满人工智能攻击者的世界里,更新一条传统建议“你不必跑得最快,但你只要不跑得最慢就行了”,可能会有 1000 只速度更快、力量更强、攻击性更强的蟑螂大小的熊同时追逐每一位顾客。你可能甚至都看不到它们,它们就会把你打倒。
企业需要采取哪些实用策略才能防范云端出现的威胁?
就像坏人一样,你也可以利用人工智能力量增强你的防御能力。
但是,让我们从做好基础工作开始,将可以实现的自动化(例如,利用基础设施即代码和具有自动化测试的管道来消除人为配置错误或复杂性,自动执行、验证和隔离备份,并持续测试核心系统的可利用性)。然后,让我们将重点转向通常会导致系统被入侵的周边因素(如身份),并更积极地遏制和隔离可疑行为。遵循“假设入侵”的原则,隔离并积极监控和应对核心系统,删除可疑访问权限以便有时间进行调查,如果是无害的,则恢复访问权限。计划并思考如何在这些期间保持关键系统运行,以便即使关键人员或系统访问权限被暂时撤销,您的服务仍可继续运行。
在谈论人工智能时,重要的是不要完全忽略人为因素。重点应是建立全面、持续的学习计划,让您的安全团队掌握理解和应对人工智能威胁所需的知识和专业技能。通过培养持续教育的文化,组织可以确保其团队在不断变化的威胁形势中保持领先地位,并准备好应对利用人工智能和机器学习技术的复杂攻击。
然后让我们开始添加一些人工智能级别的防御
首先,使用人工智能建立主动防御,构建生成式人工智能(请不要使用公共系统,否则您将训练它们如何攻击您)或找到一个有证据证明的安全合作伙伴,他们可以训练和协调私人生成式人工智能来支持您,只需询问它将如何攻击您,并相应地规划您的防御。请记住,在共享数据之前,要证明您的数据被删除并从合作伙伴系统中学习,并验证他们的安全性。这将在数字孪生环境中协调您的防御和验证您的控制方面发挥价值。
其次,实施持续的云态势管理,以近乎实时的方式标记任何错误或配置错误,并利用人工智能来推动检测。机器学习生成异常信息提供了丰富的“可能很糟糕但肯定不同的事情”来源,可以从数百万个事件的噪音中筛选出 10 个有用的事件。
第三,使用人工智能来推动响应行动,这是最终状态,应该谨慎规划和处理,因为主动自动响应可能会影响业务和连续性,但是假设违规,消除错误配置,包含(和释放)资产以提供时间调查、验证和发布良性活动。
安全是一把双刃剑,最安全的方法是关闭并停用它们,但这显然意味着您无法从资产中实现任何商业价值。这些类型的攻击需要采用不同的方法,即实施零信任和持续的 CSPM 以及自动响应,如果操作得当,它将为您提供两全其美的效果,以 AI 规模和速度响应 AI 驱动的攻击,但如果没有经过深思熟虑、没有规划、没有专家、经验丰富的支持和知识,它可能会造成重大的业务问题。
您能否分享一些现实世界的例子来说明组织如何成功适应?
最近,我与一位遭遇事故的客户合作。在 DFIR 参与之后,他们要求我们研究如何完善他们的防御措施,我们帮助他们安全地采取了以下措施:
(1) 通过使用 PAM 解决方案将云平台的身份控制迁移到其企业 IAM 系统。这意味着策略、监控和(经过规划和测试后)自动响应在整个组织中保持一致,在所有环境中保持一致
(2)将测试和补救措施整合到其构建管道中(降低部署可利用代码的风险)。
(3)将其生产环境(为客户服务的一些关键系统除外)集成到 SOAR(安全编排自动化和响应)中,并构建适当的剧本来遏制(和释放)可疑资产和资源。
(4)部署持续的 CSPM(云安全态势管理),随后实现自动化,实时自动修复 90% 以上的问题
(5)将 EDR 工具扩展到生产环境
(6)对其资源进行进一步培训,包括专门针对开发人员、架构师和整个企业的真实深度伪造视频示例的课程。
