网络安全
安全团队正在修复错误的威胁。以下是如何在AI攻击时代进行纠正

网络攻击不再是手动、线性的操作。随着AI现在嵌入到攻击策略中,攻击者正在开发多态恶意软件,自动化侦察,并以比许多安全团队能够应对的速度绕过防御。这不是未来情景,它正在发生。
同时,大多数安全防御仍然是被动的。它们依赖于识别已知的入侵指标,应用历史攻击模式,并根据可能不反映真实威胁情况的严重性评分来标记风险。团队被大量的信息淹没,而不是洞察力,创造了一个让攻击者成功的完美环境。
行业的传统思维方式围绕着合规性检查清单、周期性评估和碎片化的工具已经成为一种负担。安全团队比以往任何时候都更努力地工作,但往往修复了错误的事情。
为什么存在这种差距
网络安全行业长期以来一直依赖于风险评分,如CVSS,来确定漏洞的优先级。然而,CVSS评分并不反映组织基础设施的真实上下文,例如,漏洞是否暴露、可达或在已知攻击路径中可被利用。
因此,安全团队经常花费宝贵的时间来修复不可被利用的问题,而攻击者则找到创造性的方法来链接被忽视的弱点并绕过控制。
这种情况进一步被安全栈的碎片化性质所复杂化。SIEM、端点检测和响应(EDR)系统、漏洞管理(VM)工具和云安全姿势管理(CSPM)平台都独立运行。这种分散的遥测创建了盲点,AI启用的攻击者越来越擅长于利用这些盲点。
基于签名的检测正在消失
现代网络安全中最令人担忧的趋势之一是传统检测方法的价值正在减少。静态签名和基于规则的警报在威胁遵循可预测模式时是有效的。但是,AI生成的攻击不遵循这些规则。它们会改变代码,避免检测,并适应控制。
以多态恶意软件为例,它在每次部署时都会改变其结构。或者,AI生成的钓鱼电子邮件可以以惊人的准确性模仿高管的沟通风格。这些威胁可以完全绕过基于签名的工具。
如果安全团队继续依赖于识别已知的威胁,他们将始终落后于不断创新攻击者的步伐。
监管压力正在增加
问题不仅仅是技术上的,也是监管上的。美国证券交易委员会(SEC)最近引入了新的网络安全披露规则,要求上市公司报告重大网络安全事件,并描述他们的风险管理策略,以实时方式进行。同样,欧盟的数字运营韧性法案(DORA)要求从周期性评估转向持续、验证的网络安全风险管理。
大多数组织都没有准备好应对这一变化。他们缺乏提供当前安全控制在今天的威胁面前有效的实时评估的能力,尤其是当AI继续以机器速度演变这些威胁时。
威胁优先级是破碎的
核心挑战在于组织如何优先安排工作。大多数组织仍然依赖静态风险评分系统来确定什么需要修复以及何时修复。这些系统很少考虑到漏洞存在的环境,或者它是否暴露、可达或可被利用。
这导致安全团队花费大量时间和资源修复不可被利用的漏洞,而攻击者则找到方法将低评分、被忽视的问题链接在一起以获得访问权限。传统的“发现和修复”模型已经成为一种低效且往往无效的管理网络风险的方式。
安全需要从对警报的反应转变为理解对手行为——攻击者实际上如何移动系统、哪些控制可以被绕过以及真正的弱点在哪里。
更好的前进方式:主动、基于攻击路径的防御
如果安全团队可以连续模拟真实攻击者如何尝试破坏他们的环境,并且只修复最重要的事情会怎么样?
这种方法,通常被称为持续安全验证或攻击路径模拟,正在获得动力作为战略转变。与将漏洞作为孤立问题处理不同,它会绘制攻击者如何将配置错误、身份弱点和易受攻击的资产链接在一起以到达关键系统的图景。
通过模拟对手行为并实时验证控制,团队可以专注于可被利用的风险,这些风险实际上会暴露业务,而不仅仅是那些被合规工具标记的风险。
CISO和安全领导者的建议
以下是安全团队今天应该优先考虑的内容,以便在AI生成的攻击面前保持领先:
- 实施持续攻击模拟 采用自动化、AI驱动的对手模拟工具来测试您的控制,方法与真实攻击者相同。这些模拟应该是持续进行的,而不仅仅是为年度红队演习所保留的。
- 将可被利用性置于严重性之上 超越CVSS评分。将攻击路径分析和上下文验证纳入您的风险模型。问:这个漏洞是否可达?它可以被利用吗?
- 统一您的安全遥测 将SIEM、CSPM、EDR和VM平台的数据整合到一个集中、相关的视图中。这使得攻击路径分析成为可能,并提高了检测复杂、多步骤入侵的能力。
- 自动化防御验证 从手动检测工程转变为AI驱动的验证。使用机器学习来确保您的检测和响应策略随着威胁的演变而演进。
- 现代化网络风险报告 用实时暴露评估取代静态风险仪表板。与MITRE ATT&CK等框架保持一致,以展示您的控制如何映射到真实世界的威胁行为。
转向持续验证和可被利用性优先的组织可以在安全运营的多个维度上预期显著改善。通过专注于可行、有影响力的威胁,安全团队可以减少警报疲劳并消除由假阳性或不可被利用的漏洞引起的干扰。这种简化的关注使得对真实攻击的响应更快、更有效,显著减少了滞留时间并改善了事件控制。
此外,这种方法增强了监管遵从性。持续验证满足了来自SEC网络安全披露规则和欧盟DORA法规等框架的日益增长的需求,这些框架要求对网络风险有实时的可见性。也许最重要的是,这种策略确保了资源分配更加高效,并允许团队将他们的时间和注意力投入到最重要的地方,而不是在庞大的理论风险表面上分散注意力。
现在是时候适应了
AI驱动的网络犯罪时代不再是预测,而是现在。攻击者正在使用AI来找到新的入口。安全团队必须使用AI来关闭它们。
这不仅仅是添加更多的警报或更快地修复漏洞。这是关于了解哪些威胁很重要,持续验证您的防御,并使您的策略与真实世界的攻击者行为保持一致。只有这样,防御者才能在AI重写交战规则的世界中重新获得主动权。












