当攻撃击手段の进化超越传统防御：何主動式AI安全已刻不容缓

如果你目前从事与安全相关的工作，你可能会觉得自己总是在追赶。新闻中总有新的数据泄露事件、新的勒索软件故事，以及防御者未曾预料到的巧妙攻击手法。与此同时，许多防护措施仍然依赖于旧互联网时代的理念，那时网络边界清晰，攻击者的行动也更为缓慢。

数据表明这并非仅仅是感觉。最新的 IBM数据泄露成本报告指出，2024年全球数据泄露的平均成本为488万美元，高于前一年的445万美元。这10%的增幅是自疫情年以来最大的飙升，而这还是在安全团队投入更多工具和人力的背景下发生的。

2024 Verizon数据泄露调查报告分析了超过30,000起安全事件和10,000多起已确认的泄露事件。报告强调了攻击者如何依赖窃取的凭证、Web应用程序漏洞以及诸如借口欺诈等社会行为，并指出组织在补丁发布后，平均需要约55天才能修复其关键漏洞的一半。对于持续扫描的攻击者来说，这55天是一个非常充裕的时间窗口。

在欧洲，2023年的 ENISA威胁态势报告同样指出了勒索软件、拒绝服务攻击、供应链攻击和社会工程学的严重混合。另一项专注于供应链事件的ENISA研究估计，2021年此类攻击的数量可能是2020年的四倍，并且这一趋势持续上升。 

因此，情况简单但令人不安。即使工具在改进，数据泄露正变得越来越普遍、代价更高且更复杂。许多组织当前的防御方式在结构上存在根本问题。

为何传统安全模型正在落后

长期以来，网络防御的心理图景很简单。你有清晰的内部和外部。你会用防火墙和过滤器构建强大的边界。你会在终端部署防病毒软件并查找已知的恶意特征码。你会调整规则，监控警报，并在出现明显迹象时做出反应。

在当前世界中，这种模型存在三个大问题。

首先，边界基本已消失。人们使用托管和非托管的设备在任何地方工作。数据存放在公共云平台和软件即服务工具中。合作伙伴和供应商直接连接到内部系统。像ENISA供应链研究这样的报告显示，入侵现在经常通过受信任的合作伙伴或软件更新开始，而不是直接对中央服务器进行正面攻击。

其次，对已知特征码的关注留下了巨大的盲点。现代攻击者将定制恶意软件与防御者称之为“就地取材”的技术混合使用。他们依赖内置的脚本工具、远程管理代理和日常管理操作。单独看每一步都可能看起来无害。简单的基于特征码的方法无法看到更大的模式，尤其是当攻击者在每次活动中改变微小细节时。

第三，人类不堪重负。Verizon报告显示，漏洞利用现在是进入网络的主要途径，许多组织难以足够快地应用补丁。IBM的研究补充道，漫长的检测和控制时间是导致泄露成本持续攀升的主要原因。分析师们被淹没在警报、日志和手动分类的海洋中，而攻击者则尽可能地实现自动化。

于是，你拥有更快、更自动化的攻击者，以及仍然严重依赖手动调查和旧模式的防御者。人工智能正进入这个缺口。

攻击者已将AI视为队友

当人们谈论安全领域的人工智能时，他们通常想象的是帮助抓住恶意行为者的防御工具。现实是，攻击者同样渴望使用人工智能来简化他们的工作。

2025 微软数字防御报告描述了国家支持的团体如何利用人工智能创建合成媒体、自动化入侵活动的部分环节以及扩大影响力行动。一份独立的 美联社对微软威胁情报的总结报告称，从2024年中到2025年中，涉及AI生成虚假内容的事件上升到200多起，是前一年的两倍多，大约是2023年数量的10倍。

在实践中，这表现为看起来像母语人士编写的钓鱼信息，语言任选。这表现为深度伪造的音频和视频，帮助攻击者冒充高级领导或可信合作伙伴。这表现为AI系统筛选大量被盗数据，以找出关于你的环境、员工和第三方最有价值的细节。

最近一篇 金融时报关于网络攻击中智能体AI的文章甚至描述了一个基本自主的间谍行动，其中一个人工智能编码代理在有限的人工输入下，处理了从侦察到数据外泄的大部分步骤。无论你对这个具体案例有何看法，发展方向是明确的。攻击者非常乐意让人工智能处理工作中枯燥的部分。

如果攻击者正在使用人工智能来更快地移动、更好地融入环境并攻击更多目标，那么防御者就不能指望传统的边界工具和手动警报分类就足够了。你要么将类似的智能引入你的防御体系，要么差距会继续扩大。

从被动防御到主动安全思维

第一个真正的转变不是技术性的，而是思维上的。

被动姿态建立在这样的理念上：你可以等待明确的麻烦迹象，然后做出反应。检测到一个新的二进制文件。警报因流量匹配已知模式而触发。一个账户显示出明显的入侵迹象。团队介入、调查、清理，并可能更新规则以防止该模式再次生效。

在攻击缓慢且稀有的世界里，这可能没问题。但在一个充满持续探测、快速移动的漏洞利用和AI支持攻击活动的世界里，这就太迟了。等到一个简单的规则触发时，攻击者往往已经探索了你的网络、接触了敏感数据并准备了备用路径。

主动姿态则始于不同的起点。它假设你总是受到恶意流量的触及。它假设某些控制措施会失效。它关注的是你发现异常行为的速度、控制它的速度以及从中学习的连贯性。在这个框架下，核心问题变得非常实际。

• 你是否对你的关键系统、身份和数据存储具有持续的可见性？

• 你能否注意到与正常行为的微小偏差，而不仅仅是已知的恶意特征码？

• 你能否将这种洞察与快速、可重复的行动联系起来，而不让你的团队精疲力尽？

人工智能本身并非解决方案，但它是一种强大的方式，能够以现代环境所需的规模来回答这些问题。

AI驱动的网络安全态势是怎样的

人工智能帮助你从简单的威胁“是或否”视图转向更丰富、基于行为的图景。在检测方面，模型可以监控身份活动、终端遥测和网络流量，并了解你的环境中哪些行为看起来正常。它们不仅可以阻止已知的恶意文件，还可以在账户于异常时间从异常位置登录、转向从未接触过的系统，然后开始移动大量数据时发出警报。每一个单独事件都可能容易被忽视。但组合起来的模式就值得关注。

在暴露面方面，AI支持的工具可以映射你真实的攻击面。它们可以扫描公共云账户、面向互联网的服务和内部网络，以发现被遗忘的测试系统、配置错误的存储和暴露的管理面板。它们可以将这些发现分组为实际的风险描述，而不是原始列表。随着组织内部影子AI的增长，这一点尤为重要——团队在没有中央监督的情况下启动自己的模型和工具，IBM在其更近期的 数据泄露成本研究中将这一趋势称为一个严重的风险领域。 

在响应方面，人工智能可以帮助你更快、更一致地采取行动。一些安全运营中心已经使用AI支持的系统来实时推荐遏制步骤，并为人类分析师总结冗长的调查时间线。美国网络安全和基础设施安全局在其 人工智能资源中描述了几个此类用途，展示了AI如何帮助检测异常网络活动并分析联邦系统中大量威胁数据流。

所有这些都不会消除对人类判断的需求。相反，AI成为一种力量倍增器。它接管了持续的监控、模式识别和部分早期分类工作，从而使人类防御者能够将更多时间投入到深入调查以及诸如身份策略和网络分段等艰难的设计问题上。

如何开始朝这个方向迈进

如果你负责安全工作，所有这些听起来可能宏大而抽象。好消息是，从被动到主动的转变通常始于几个扎实的步骤，而不是一次巨大的转型。

第一步是理顺你的数据流。人工智能的有用程度取决于它能看到的信号。如果你的身份提供商、终端工具、网络控制和云平台都将日志发送到独立的孤岛中，那么每个模型都会有盲点，攻击者也会有藏身之处。投资于对最重要遥测数据的集中视图很少引人注目，但它是实现有意义的AI支持的基础。

第二步是选择特定的用例，而不是试图将AI撒得到处都是。许多团队从用户账户的行为分析、云环境中的异常检测或更智能的电子邮件和钓鱼检测开始。目的是选择那些你已经知道存在风险，并且跨大数据集的模式识别能明显提供帮助的领域。

第三步是为每一个新的AI支持工具配备一套明确的护栏。这包括定义模型被允许独立做什么、哪些操作必须始终有人类参与，以及你将如何衡量系统是否长期诚实有用。在这方面， NIST AI框架中的思路以及像CISA这样的机构的指导可以让你避免一切从头开始。

为何主动式AI安全刻不容缓

网络攻击正变得更像一种持续的背景状态，而非罕见的紧急事件，而攻击者非常乐意让人工智能为他们承担大量繁重工作。成本在上升，入口点在倍增，攻击方的工具每年都在变得更智能。那种等待响亮警报然后仓促应对的被动模型，根本就不是为那个世界而构建的。

主动的AI驱动姿态，与其说是追逐一个闪亮的趋势，不如说是做那些安静、不起眼的工作：理顺你的数据、增加基于行为的洞察力，并为新的AI系统设置清晰的护栏，使它们帮助你的防御者而不是让他们措手不及。攻击者与防御者之间的差距是真实存在的，但它并非一成不变，你现在关于如何在安全技术栈中使用AI的选择，将决定未来几年哪一方移动得更快。