人工智能攻势：如何优化在网络安全的投资，利用人工智能技术预防和检测攻击

人工智能攻势：如何优化在网络安全的投资，利用人工智能技术预防和检测攻击(只提供英文版本)

日期: 2022年3月31日

机构:德勤咨询(香港)有限公司

作者: Ms. Eva KWOK, Mr. Terence LI 及 Ms. Vanessa MAK

自1950年以来，人工智能（AI）经历了数十年的飞速发展，如今已与人类生活息息相关，影响范围也越来越广。在网络世界，人工智能的发展催生了众多有益的应用，例如自动语音识别（如苹果的Siri和谷歌的Alexa）、人工智能驱动的聊天机器人和搜索引擎。与此同时，攻击者也开始利用人工智能来强化恶意软件和攻击手段，以扩大攻击目标范围、加快攻击速度并提高入侵成功率。

攻击性人工智能的常见用途有哪些？

攻击者通常利用人工智能进行更具针对性的身份冒充，并以更复杂、更自动化的方式进行更快速的入侵。

模仿

通过冒充他人进行攻击的人工智能提高了利用人类行为的有效性，而人类行为通常是网络安全中最薄弱的环节。

• 人工智能生成的钓鱼邮件。研究人员发现，人工智能能够撰写比人类更出色的钓鱼邮件。诸如 GPT-3 之类的深度学习语言模型，以及其他人工智能即服务平台，显著降​​低了制作有效且目标明确的钓鱼邮件的门槛。
• 人工智能语音模仿。借助深度学习技术，犯罪分子可以模仿上级的声音，发起高效的鱼叉式网络钓鱼攻击，诱骗公司员工进行恶意活动。
• 深度伪造身份。攻击者利用深度伪造技术来欺骗生物识别认证，以验证人类身份，并入侵企业电子邮件和企业通信平台（如微软Teams、Zoom）。

入侵

此外，犯罪分子利用攻击性人工智能来入侵公司系统，并逃避安全入侵检测。

• AI验证码绕过。验证码（CAPTCHA）旨在通过验证用户是否为真人来防止计算机自动填写表单。但随着深度学习和计算机视觉技术的兴起，机器经过训练可以自动绕过验证码，从而实现撞库攻击和暴力破解。
• 人工智能模糊测试。人工智能可用于加速发现零日漏洞、自动逆向工程和侧信道攻击。
• 人工智能控制的机器人。人工智能可以帮助犯罪分子提高隐蔽能力，通过自动化技术在网络中进行横向移动，从而感染更多机器。

常见的AI驱动型攻击类型

图 1：常见的 AI 驱动型攻击类型

各个组织准备好应对这种情况了吗？

2021年，《麻省理工科技评论》洞察版和Darktrace联合开展了一项针对全球300多位首席级高管、总监和经理的调查，旨在了解他们如何应对面临的网络威胁[注1]。调查显示，60%的受访者表示，他们目前依靠人工应对网络攻击的方式无法跟上自动化攻击的步伐。当被问及对未来针对其公司的网络攻击会使用人工智能的担忧程度时，97%的受访者表示，未来人工智能增强型攻击令人担忧，其中58%的受访者表示，此类网络攻击非常令人担忧。

人工智能驱动的攻击日益普及只是时间问题。此外，数字化趋势和新冠疫情显著加剧了网络战的复杂性。如今，企业投入数百万美元购买各种工具并聘请安全专家来抵御网络攻击已屡见不鲜。然而，这种传统的被动防御方式无法有效阻止人工智能驱动的攻击。现在是时候开始采用人工智能技术，以更高效、更有效地预防和检测攻击了。

我们该从哪里开始呢？

您的组织是一个宝库，其中蕴藏着大量数据和信息，这些数据和信息来自您可能已经安装的各种用于预防网络攻击的系统。基于您目前的能力，您可以确定哪些特定领域可以应用人工智能技术和网络分析。该框架以表格形式呈现，涵盖了网络安全的各个阶段。

如何应用人工智能技术来提升网络安全态势？

图 2：人工智能技术在哪些方面可以应用于提升网络安全态势？ （来源：德勤——《智慧网络安全：人工智能如何帮助管理网络风险》[注 2]）

在许多引人注目的应用案例中，机器人自动化（通常称为机器人流程自动化，或 RPA）、人工智能和其他数据分析技术可以帮助您优先考虑网络安全投资，以抵御人工智能驱动的攻击。

这里我们列举一些人工智能技术可以改善您的安全态势，并实现对任何潜在攻击的更早检测和响应的方式。

借助自动化技术，您可以：

1. 治理、风险和合规 (GRC)
   • 治理与风险管理。利用大量背景数据和决策点，为整体战略提供信息，并提高报告能力，从而帮助制定符合组织风险承受能力的战略决策。
   • 法规综合与映射。开发并维护组织的综合安全控制框架，从多个监管来源和指南中提取信息。
   • 评估触发。 定期进行自动评估，或因应用程序和/或业务流程的变更而进行评估。
   • 关键风险指标（KRI）自动化。 自动收集和可视化KRI指标，使组织能够评估和应对风险敞口。
   • 责任分配。 利用自助服务流程在各个团队之间分配网络安全责任，提高效率，并使风险所有者能够更紧密地协调一致。
   • 控制测试。实现控制测试的自动化，以便持续评估控制措施的有效性，并提供有关组织安全状况的近乎实时的更新。
2. 身份和访问管理 (IAM)
   • 角色维护。利用人工智能引擎提供角色维护建议，帮助组织简化维护角色定义这一既困难又耗时耗力的任务。
   • 角色挖掘引擎。扩展AI角色维护引擎，使其能够从多个数据源挖掘角色，并推荐新的角色和权限。
   • 访问请求推荐引擎。通过分析各种数据源（例如同级组访问权限和历史访问请求），简化访问请求流程，然后推荐用户所需的访问级别。
   • 访问认证分析。分析不同的数据集，并应用分析来改进认证流程，具体方法包括：根据访问请求数据预先批准认证项目、检测认证周期中的异常情况，以及使用同行组数据计算置信度分数，从而帮助审核人员做出明智的决定。
   • 将访问使用数据整合到分析引擎中，以生成更深入、更高效的洞察。

借助人工智能和分析技术，您可以：

1. 系统安全
   • 控制有效性。通过监控可用的日志数据，增强和评估防火墙、代理和数据丢失防护解决方案等久经考验的工具的有效性，然后识别和修复错误配置。
2. 网络威胁情报（CTI）
   • 网络风险感知。通过监控各种公共和封闭的情报来源（例如黑客论坛和私人聊天群组），追踪威胁行为者的思维过程，并在针对贵组织的网络攻击发生之前发现其最初迹象。
3. 威胁检测
   • 异常行为检测。通过分析用户登录、用户行为变化和未经批准的更改，帮助识别异常数据访问活动和恶意应用程序活动。
   • 威胁发现。监控活动和实体，以确定正常行为模式。然后，利用正常行为模式来检测可能造成潜在风险（例如欺诈、洗钱和内部威胁）的异常来源。
   • 警报清理和优先级排序。利用机器学习，根据攻击类型、频率和以往经验等因素，显著自动化第一级警报分类。
   • 有针对性的调查和支持。利用大数据平台，通过历史分析挖掘新的洞见，从而能够基于当前和历史数据快速高效地开展事件调查。
4. 威胁狩猎和漏洞管理
   • 威胁狩猎。通过导入已知的战术、技术、流程和攻击模式，以及漏洞详情和修复信息，快速搜索新威胁，从而在攻击周期的早期阶段就帮助消除威胁。此过程必须持续、集成且优化，以符合贵组织的目标。一旦 CTI 识别出新威胁并提供所用战术、技术和流程 (TTP) 的洞察，威胁狩猎人员将借助防御分析技术，在您的环境中搜索已识别的行为。
   • 漏洞扫描。使用机器人启动并扫描应用程序、系统和其他资产的漏洞，评估风险并确定补丁程序的优先级。
   • 配置审查。使用机器人审查系统配置，以确保基线加固并排除配置错误。
   • 攻击路径建模。对安全数据 进行预测分析，以确定易受攻击的入口点以及攻击者可能使用的访问路径。

概括

人工智能技术近来备受关注。虽然人工智能技术已成为网络攻击的重要工具，但它和分析技术也能显著提升企业的网络安全能力。通过提供环境中威胁和漏洞的可见性，并主动分析可以采取措施来缩小组织攻击面的领域，人工智能技术和分析能够帮助企业更上一层楼。率先将这些颠覆性创新应用于网络安全领域，就能扭转局势，领先一步抵御威胁。

尾注：

1. MIT Technology Review 和 Darktrace，“为人工智能网络攻击做好准备”（2021 年）。
2. 德勤，《智能网络安全：人工智能如何帮助管理网络风险》（2019 年）。