Rohit 是 Fortra 的产品策略副总裁。Rohit 拥有超过 20 年的安全行业经验,跨越产品策略、威胁研究、产品管理和开发以及客户解决方案。Dhamankar 持有来自 University of Texas Austin 的电气工程硕士学位和来自印度坎普尔 IIT 的物理硕士学位。
现代网络安全的规模网络安全已经发展成为一个万亿美元的产业——这个数字使其与整个国家的GDP相当。为了更好地理解这一点,全球网络安全市场与印度尼西亚(1.4万亿美元)或荷兰(1.0万亿美元)等国的经济产出相当。这项巨大的投资反映了不仅我们所保护的价值,还有过去25年中出现的威胁格局的无情性质。基本的不对称性这个行业一直依赖于可以被描述为不对称的创新。攻击者和防御者之间的关系是现代经济中最迷人的竞争动态之一。数学是严酷和无情的:黑暗势力只需要成功一次,而防御解决方案必须尽可能多地捕获攻击——理想情况下是全部。这种不对称性创造了一个独特的创新环境。攻击者可以承担反复失败的风险,从每次尝试中学习并改进他们的方法。防御者,相反,必须在不断扩大的攻击面上保持近乎完美的警惕。观察了近25年的这种演变,人工智能驱动的攻击的出现代表了既可预测的进步又是这种不对称战争的基本转变。历史上的范式转变:过去的教训黑暗势力的创新始终导致了网络安全行业市场技术的范式转变。早期2000年代针对Microsoft操作系统的蠕虫驱动的网络入侵防御系统(NIPS)指数级增长是一个明显的例子。组织内部的辩论非常激烈——他们应该部署可能会导致延迟或网络中断的额外内联技术吗?这些哲学讨论在蠕虫完全破坏企业环境的几分钟内得到了解决。网络性能影响的风险与这些攻击可能造成的破坏相比变得微不足道。这种范式转变几乎是在一夜之间发生的,创造了一个价值数十亿美元的全新市场。我们即将在人工智能领域见证类似的转变——不对称性再次发挥作用。当前的电子邮件安全范式受到威胁网络安全行业长期以来一直专注于确保所有电子邮件都被检查是否存在恶意链接和恶意附件。整个生态系统围绕这些基本原则发展,创建了复杂的检测引擎、沙盒技术和URL分析平台。这种方法已经成为二十多年来电子邮件安全的基石。然而,最新的基于人工智能的技术为传统的电子邮件安全方法带来了新的挑战。网络犯罪者开发了可能是传统军备竞赛中最优雅的解决方案:消除了恶意指标的攻击,同时利用人工智能创建完美的社会工程攻击。这些新的对话劫持攻击展示了人工智能在威胁行为者手中的力量。攻击者不再依赖于安全系统可以检测的恶意链接或附件,而是使用大型语言模型生成整个伪造的电子邮件对话,这些对话完美地模仿了内部公司通信。这种复杂性令人惊叹——这些人工智能系统可以适应公司的沟通风格,复制组织术语,并创建遵循典型工作模式的真实时间戳。情报优势使这一发展尤其令人担忧的是攻击者如何利用公开可用的信息。专业平台如LinkedIn提供详细的组织层次结构,揭示了支付批准链和通信模式。当与人工智能处理和综合此信息的能力结合时,攻击者现在可以轻松地制作出高度个性化、语境准确的攻击。心理操纵也已经演变。这些人工智能生成的攻击同时利用了权威偏见、确认偏见和社会证明。员工收到看似内部电子邮件线程的电子邮件,显示出明确的批准链,会将其处理为常规的业务通信,而不是外部欺骗。即将到来的范式转变:历史的教训就像早期2000年代的蠕虫迫使组织迅速采用NIPS技术,尽管人们担心网络性能问题一样,人工智能驱动的对话劫持攻击即将在网络安全领域带来下一次重大范式转变。几十年来电子邮件安全投资背后的基本假设——威胁可以通过技术分析来检测——正在被系统地拆解。从经济角度来看,这代表了成本效益分析的重大转变。对于攻击者来说,人工智能显著降低了高度复杂、定制化攻击的边际成本。曾经需要大量的手动研究和制作,现在可以自动化并同时针对成千上万的目标。对于防御者来说,传统的基于签名的检测、URL过滤和沙盒技术需要在没有技术指标可分析的情况下使用补充方法。围绕扫描恶意链接和附件而建立的公司生态系统需要适应他们的方法,并扩大他们的能力,以应对没有传统技术指标的威胁。数据战略的必要性:重新定义外部攻击面这种演变使数据战略成为组织安全规划的前沿,方式以前所未有的。几十年来,安全团队专注于传统的外部攻击面——开放端口、暴露的服务和易受攻击的应用程序。这个面现在扩大到包括一个基本不同的元素:组织无意中共享的智能,这使攻击者能够学习和模仿内部模式。问题不再仅仅是存在哪些技术漏洞,而是哪些行为和通信智能被暴露给潜在的对手。组织必须批判性地评估他们共享的信息中哪些是必要的,哪些可能为攻击者创造了学习组织模式、通信风格和运营工作流程的机会。每个LinkedIn个人资料、新闻稿、收益电话记录和公开采访都可能成为人工智能攻击的潜在侦察材料。这代表了组织如何思考信息共享的范式转变。传统的公共通信的风险效益分析现在必须考虑到这些信息将被用于训练人工智能模型的可能性,这些模型旨在以几乎完美的准确性模仿内部通信。零信任的演变:从设备到通信网络安全行业已经接受了零信任模型用于登录和设备,从根本上改变了组织如何处理身份验证和访问控制。”永远不要信任,始终验证”的原则已经成为网络访问的标准做法,需要不断验证用户身份和设备完整性,无论位置或之前的身份验证如何。现在,面对人工智能驱动的对话劫持攻击,组织必须面对一个令人震惊的问题:是否需要将零信任原则扩展到电子邮件通信本身?虽然将每封电子邮件视为潜在已损害的想法似乎极端,但人工智能生成的攻击的复杂性使得这种不舒服的对话变得必要。与零信任演变的相似之处很明显。十年前,许多组织抵制实施零信任架构,认为它们过于复杂,可能会破坏业务运营。今天,零信任被认为是基本的网络安全卫生。问题是我们是否正在接近电子邮件通信的类似转折点。重新思考电子邮件信任假设基本的挑战是电子邮件长期以来一直被组织视为可信的通信渠道。内部电子邮件,尤其是那些看似来自已知同事并遵循既定的对话线索的电子邮件,带有一个隐含的信任,收件人很少会质疑它。人工智能驱动的对话劫持攻击以毁灭性的有效性利用了这种信任假设。对电子邮件的零信任方法将要求组织将每次电子邮件通信视为潜在已损害的,无论其看似发件人、域名或对话历史如何。这将需要任何通过电子邮件请求的操作的验证协议,特别是涉及财务交易、敏感数据访问或运营更改的操作。创建业务流程护城河从业务角度来看,这种威胁环境将需要在处理财务交易和敏感数据的任何流程周围创建额外的保护护城河。组织需要实施超越传统电子邮件基于批准的多层验证协议。最成功的企业将是那些设计其关键业务流程以假设任何电子邮件通信都可能被损害或伪造的企业。这种对电子邮件通信的零信任方法意味着建立在电子邮件渠道之外运行的验证机制——安全消息平台、语音验证协议和高价值交易的面对面确认。虽然为电子邮件通信实施零信任可能看起来与零信任网络一样具有破坏性,但维持可以被人工智能系统利用的信任假设所带来的风险却远远大于此。组织如果提前采用电子邮件零信任原则,可能会在这些攻击变得更加普遍时发现自己处于更好的位置。防御者的困境:检测不可检测的攻击从防御者的角度来看,这代表了另一个重大挑战,在已经复杂的威胁格局中。基本问题变成了:安全团队如何轻松地发现这一波攻击并阻止它们,而这些攻击中没有传统的入侵指标?传统的安全工具,例如垃圾邮件过滤器、恶意链接检测和附件扫描,变得基本上无关紧要。攻击向量从技术利用转变为纯粹的社会工程,通过技术上合法但语境上欺骗性的通信进行传递。在人工智能驱动的威胁格局中构建弹性最成功的组织将是那些认识到这不仅仅是一个技术问题,而是一个业务流程和文化挑战的问题。它需要将通信完整性视为与数据保护和业务连续性一样的核心运营风险。安全培训必须演变为包括人工智能生成的、伪造的对话线程,这些线程看起来和感觉起来都像是真实的内部通信。组织必须培养一种环境,让员工在安全的名义下质疑权威不仅是允许的,而且是被期望的。前进的道路随着人工智能的不断进步,其创建越来越复杂的伪造的能力也会随之增长。写作辅助工具的普及正在创造更为统一的通信模式,使得区分真实的个人风格和复杂的人工智能生成内容变得更加困难。万亿美元的网络安全行业正处于一个转折点。定义这一领域的基本不对称性正被人工智能放大,但也为创新防御创造了机会。理解这些双重趋势——威胁演变和防御创新——的组织将最好地应对这一新格局。军备竞赛继续,但武器已经从根本上改变。在这个人工智能驱动的威胁的新时代,成功将属于那些能够将技术复杂性与流程创新和文化适应相匹配的人。这种不对称性仍然存在,但战场已经演变——以及随之而来的胜利所需的策略。
