企业应如何防范 AI 驱动的网络安全威胁?
互联网技术和 AI 科技为世界开启了一个新的发展篇章。同时,网络攻击也呈现出愈发强势的发展势头:高级持续性威胁 (APT:Advanced Persistent Threat)组织采用新的战术、技术和程序 (TTP)、AI 驱动下攻击数量和速度的提高、更大规模更具破坏性的勒索软件部署案例等。
人工智能为网络犯罪分子提供了便捷
网络犯罪分子继续将人工智能武器化,并将其用于邪恶目的。恶意行为者正越来越多地利用人工智能来提高他们部署攻击的数量和速度。从更有效地收集数据到使用大型语言模型(LLM)来制作比以往任何时候都更逼真的网络钓鱼通信, 有经验的和新手威胁行为者都在依赖人工智能,将其作为简化其工作的 "简易 "按钮。 攻击者将以各种方式利用人工智能:
自动网络钓鱼活动
攻击者利用 LLM 创建具有完美语法和上下文感知个性化的高说服力网络钓鱼电子邮件。这些人工智能生成的电子邮件可以模仿已知联系人的写作风格,使其难以与合法通信区分开来。 这种策略提高了鱼叉式网络钓鱼活动的成功率,使攻击者发送的电子邮件能够避开用户警惕。
人工智能驱动的密码喷洒
人工智能可用于分析常用密码的模式,更有效地猜测密码的变体。在大量泄露凭证数据集上训练的 LLM 可以生成更适合目标组织用户群的真实密码列表。 这些经过人工智能改进的密码攻击绕过了传统的速率限制和锁定机制,将尝试分散到多个账户中,并对方法进行微调,以最大限度地减少检测。
深度伪造辅助语音网络钓鱼(Vishing)
攻击者利用深度学习模型创建合成声音,模仿特定个人的语气和说话模式。威胁行为者可能会假冒公司高管,说服员工执行未经授权的金融交易或共享敏感信息。深度伪造语音技术的逼真性使员工难以识别欺诈行为,这可能会造成重大的财务和声誉损失。
恶意软件创建能力增强
LLM 可帮助生成多态恶意软件,改变代码结构以逃避基于签名的检测。攻击者还可以利用这些模型编写新的代码片段或改进现有的恶意软件,使其更高效、更不易被检测到。这加速了高级恶意软件变种的开发,降低了技术水平较低的攻击者的技术门槛,增加了恶意软件的总体流通量。
人工智能生成的误导信息活动
威胁行为者利用 LLM 制造和大规模传播错误信息。这包括制作假新闻文章、社交媒体帖子和评论,以在重大事件中左右公众舆论或制造恐慌。错误信息会损害声誉,削弱人们对机构的信任,造成动荡。自动创建内容的能力可让攻击者充斥信息渠道,让事实核查人员和应对团队应接不暇。 随着对手越来越乐于使用人工智能来加强他们的行动,人工智能的应用将会加速。网络犯罪团伙将利用人工智能协助开展更多活动,例如识别软件代码中的新漏洞,并加以利用。
用于社会工程的生成式建模
LLM 通过分析社交媒体帖子、公共数据和其他在线内容,帮助攻击者建立详细的社交工程档案。通过综合这些数据,攻击者可以根据受害者的兴趣爱好、工作关系甚至近期活动来定制他们的通信。 这些人工智能增强型档案的精确性增加了目标对于恶意行为者的信任,从而导致敏感信息的泄露和对数据的未授权访问。
企业应如何应对 AI 驱动的威胁行为?
攻击者正在迅速部署新的方法,以对抗许多组织针对特定技术实施的防护措施。为了应对威胁行为者为绕过标准防御措施而使用的不断演变的方法,安全专业人员应该:
- 主动诱捕威胁:防御者不应等待警报,而应主动捕获威胁,以识别自动化系统可能会忽略的潜在入侵迹象。这种方法包括利用先进的数据分析、行为分析和假设检验。
- 将其安全态势分层:实施深度防御战略,将多种安全机制(如网络监控、端点安全和异常检测)分层,以便在一种防御机制被绕过时,其他机制可以起到安全网的作用。理想情况下,这些解决方案应集成到一个平台中,以便在安全和网络系统之间无缝共享分层检查。
- 采用零信任原则:持续验证用户和设备的身份及信任级别,即使在网络边界内也是如此。零信任模式可最大限度地减少攻击者在访问网络时可能造成的破坏。
- 整合威胁情报:使用最新的威胁情报,随时了解新出现的 TTP,并保持游戏手册的更新。这有助于防御者预测新战术,并相应调整现有的防护措施。
- 进行例行的红色小组演习:定期的红蓝团队模拟可以揭示组织防御的薄弱环节,并对攻击者可能使用的绕过策略提供可操作的见解。 这种自适应、多层次的方法以持续学习和采用新兴安全技术为基础,有助于组织在威胁环境不断变化时保持弹性。