网络安全10 months ago
安全团队正在修复错误的威胁。在AI攻击时代,如何纠正方向
网络攻击不再是手动、线性的操作。随着AI如今被嵌入攻击策略,攻击者正在开发多态恶意软件,自动化侦察,并以许多安全团队无法跟上的速度绕过防御。这不是未来的场景,而是正在发生的事实。 与此同时,大多数安全防御仍然是反应式的。它们依赖于识别已知的入侵指标,应用历史攻击模式,并根据可能无法反映真实威胁态势的严重性评分来标记风险。团队被数量而非洞察力所淹没,为攻击者创造了成功的完美环境。 行业围绕合规清单、定期评估和碎片化工具构建的传统思维已成为一种负担。安全团队比以往任何时候都更努力地工作,却常常在修复错误的东西。 为何存在这种差距 网络安全行业长期以来一直依赖像CVSS这样的风险评分来对漏洞进行优先级排序。然而,CVSS评分并不能反映组织基础设施的真实环境,例如漏洞是否暴露、可达或在已知攻击路径中可利用。 因此,安全团队常常花费宝贵的时间修补不可利用的问题,而攻击者则找到创造性的方法,将未被注意的弱点串联起来并绕过控制措施。 安全堆栈的碎片化性质使情况进一步复杂化。SIEM、端点检测与响应(EDR)系统、漏洞管理(VM)工具和云安全态势管理(CSPM)平台都独立运行。这种孤立的遥测数据造成了盲点,而具备AI能力的攻击者正越来越擅长利用这些盲点。 基于签名的检测正在失效 现代网络安全中最令人担忧的趋势之一是传统检测方法的价值正在减弱。当威胁遵循可预测的模式时,静态签名和基于规则的警报是有效的。但AI生成的攻击不遵循这些规则。它们会变异代码、规避检测并适应控制措施。 以多态恶意软件为例,它每次部署都会改变其结构。或者AI生成的钓鱼邮件,能以惊人的准确度模仿高管沟通风格。这些威胁可以完全绕过基于签名的工具。 如果安全团队继续依赖识别已经见过的东西,他们将始终落后于不断创新的对手一步。 监管压力日益增大 问题不仅仅是技术性的,现在也是监管性的。美国证券交易委员会(SEC)最近推出了新的网络安全披露规则,要求上市公司实时报告重大网络安全事件并描述其风险管理策略。同样,欧盟的数字运营弹性法案(DORA)要求从定期评估转向持续、经过验证的网络风险管理。 大多数组织尚未准备好应对这种转变。他们缺乏提供实时评估的能力,无法判断其当前的安全控制措施是否对当今的威胁有效,尤其是在AI继续以机器速度演变这些威胁的情况下。 威胁优先级排序已失效 核心挑战在于组织如何确定工作的优先级。大多数组织仍然依赖静态风险评分系统来决定修复什么以及何时修复。这些系统很少考虑漏洞存在的环境,也不考虑它是否暴露、可达或可利用。 这导致安全团队花费大量时间和资源修复不可攻击的漏洞,而攻击者则找到方法将评分较低、被忽视的问题串联起来以获取访问权限。传统的“发现并修复”模式已成为一种低效且往往无效的网络风险管理方式。 安全必须从对警报做出反应,演变为理解对手行为——攻击者实际上会如何穿越系统,他们可能绕过哪些控制措施,以及真正的弱点在哪里。 更好的前进方向:主动的、基于攻击路径的防御 如果安全团队不是对警报做出反应,而是能够持续模拟真实攻击者会如何试图入侵其环境,并且只修复最重要的问题,那会怎样? 这种方法通常被称为持续安全验证或攻击路径模拟,正作为一种战略转变而获得动力。它不是孤立地处理漏洞,而是映射攻击者如何将错误配置、身份弱点和易受攻击的资产串联起来以到达关键系统。 通过模拟对手行为并实时验证控制措施,团队可以专注于实际暴露业务的可利用风险,而不仅仅是合规工具标记的风险。 给CISO和安全领导者的建议 以下是安全团队今天应该优先考虑的事项,以领先于AI生成的攻击: 实施持续攻击模拟 采用自动化的、AI驱动的对手模拟工具,以真实攻击者的方式测试您的控制措施。这些模拟应该是持续进行的,而不仅仅是为年度红队演练保留。...
