在过去的二十年中,网络安全一直围绕一个简单的原则构建:比攻击者更快地检测。公司扩展了监控工具、检测平台和安全运营中心,以便在入侵造成重大损害之前识别它们。
然而,这个模型基于一个隐含的假设:时间仍然是防御和攻击之间对抗的决定性因素。
人工智能的兴起正在深刻改变这种平衡。在很多场景下,主要的限制不再是技术专长,而是执行速度。以前,复杂的入侵需要数天或数周的系统侦察、漏洞利用开发和网络内的横向移动,而现在某些步骤可以由软件代理实现自动化,这些软件代理能够以人类团队不可能实现的速度探索计算环境并测试不同的方法。
网络安全正逐渐进入攻击可能进展的阶段 机器速度。
攻击自动化
这种转变不仅仅归功于人工智能模型的力量。这主要是因为它们能够自动执行历史上为专家保留的任务。
生成模型可以生成代码、分析配置、测试操作假设并构建攻击场景。与能够在真实系统上执行操作的代理相结合,它们可以更快地协调进攻行动。
攻击的几个方面特别适合这种自动化。
首先是认可。代理可以自动导航基础设施、映射公开的服务并识别系统之间的依赖关系。
那时功绩的产生。能够生成代码的模型可以使已知的漏洞适应特定的环境。
最后,协调。多个代理可以同时工作、共享信息并探索实现同一目标的不同路径。
结果是一种分布式且持久的攻击形式。目标不再只是找到单个漏洞,而是系统地检查组织的整个暴露面。
攻击面持续扩大
这种加速是随着 IT 基础设施变得越来越复杂而出现的。
公司正在增加集成人工智能模型的云应用程序、API 接口、外部服务和工具的数量。每个新技术层都会引入额外的依赖项,并可能引入新的入口点。
两种动力相结合,攻击者拥有更有效的工具来探索系统,而组织则扩大了暴露面。
在此背景下,某些历史实践显示出其局限性。每年进行一到两次的渗透测试可以提供信息系统安全性的概况。然而,基础设施在不断发展:新应用程序、新配置、新用户帐户。
在两次审计之间,环境可能发生了深刻的变化。
进攻性安全的出现仍在继续
面对这种加速,一种方法变得越来越重要:持续的进攻性安全。
这个想法是不仅从防御者的角度观察系统,而且还从攻击者的角度观察系统。具体来说,这涉及不断模拟入侵场景,以识别真正可利用的访问路径。
几家初创公司现在正在开发旨在自动化此类分析的平台。
例如,荷兰公司 Hadrian 提供的工具能够自动映射组织的外部攻击面并测试可利用的漏洞。
在英国,Mindgard 专注于人工智能系统的红队,特别是测试模型针对对手攻击或操纵尝试的稳健性。
其他欧洲参与者正在致力于行为检测或确保开发渠道的安全。 Darktrace 多年来一直在开发基于机器学习的异常分析系统,而比利时初创公司 Aikido Security 则将自己定位于保护代码和开发链。
在美国,几家初创公司也在探索自动化进攻安全的想法。因此,Hex Security 公司开发了能够对企业环境进行持续入侵测试的代理。
与此相关的是,HiddenLayer 专注于保护人工智能模型本身,这是与企业应用中人工智能系统的泛化相关的网络安全新领域。
主要的安全出版商也没有缺席这一发展。 CrowdStrike 或 Palo Alto Networks 等组织正在逐步将自动化分析和攻击模拟功能集成到他们的平台中。
从检测到了解风险
新一代工具不仅仅旨在检测更多漏洞。它的主要目的是了解如何在真实环境中利用这些技术。
在复杂的基础设施中,孤立的违规行为并不一定代表重大风险。另一方面,多个漏洞的组合可以使攻击者从一个系统转移到另一个系统,直到到达敏感资产。
攻击路径分析正是包括重建这些轨迹。目标不是生成详尽的漏洞列表,而是根据两个基本标准对风险进行优先级排序:它们的实际可利用性以及对公司活动的潜在影响。
对于安全团队来说,这种优先级变得至关重要。组织已经从其检测工具中收到了大量警报。挑战不再只是发现异常,而是确定需要优先修复哪些漏洞。
自治系统之间的对抗
如果这些技术继续进步,网络安全可能会演变成进攻和防御系统之间日益自动化的对抗。
攻击者将使用能够快速测试大量入侵场景的代理。防御者还需要依赖能够不断分析其环境、识别有风险的配置并在某些漏洞被利用之前纠正这些漏洞的系统。
这一发展提出了几个问题。首先是控制:在什么情况下可以将自主权委托给自动化系统,从什么时候起人为干预仍然至关重要?然后是治理。企业需要将这些技术集成到安全流程中,以便以更快的速度处理决策。
然而,有一点变得越来越清楚:在攻击可以以机器速度进行的环境中,防御将不再能够依靠静态工具或一次性评估。
她也必须学会实时操作。
