利用人工智能让攻击面管理事半功倍
随着攻击面的扩大,威胁的数量成倍增加、速度加快、种类增多,攻击者占据了绝对优势,攻击面管理也变得越来越困难。但是,企业可以以创新的方式利用人工智能,在控制攻击面方面获得源源不断的优势。
攻击者最近开发了新的工具来识别我们快速增长的复杂攻击面。更让人头疼的是,攻击者正在使用一种他们和我们这些捍卫者一样唾手可得的技术:人工智能 (AI)。
这改变了攻击面管理 (ASM) 的游戏规则,而攻击面管理正是技术、风险、方法和潜在破坏性结果之间日益复杂的交叉。对于首席信息安全官 (CISO) 来说,现实情况是这样的:人工智能使未来的 ASM 变得极其复杂,难以理解和解决。
多年来,将人工智能用于网络安全有三大挑战,而直到最近,还没有一种网络安全解决方案能克服这三大挑战。具体包括:
- 客户通常并不了解自己所拥有的大量 IT 资产,往往最多知道 70%。
- 不同类型的数据和不同的网络安全工具之间的数据整合有限,阻碍了对整个企业的安全风险创建高效统一的视图。
- 攻击者在战术上不断创新,善于随着时间的推移而改变战术,因此很难确定他们的攻击载体和漏洞利用选择。
任何提高 ASM 效率和效果的尝试都必须考虑这三个挑战。
人工智能在 ASM 中的作用
建立一个真正世界一流、世界领先的攻击面管理解决方案充满了挑战性,因为必须同时建立多个组件。我们认为需要构建和集成多达五个组件,才能充分发挥 ASM 的作用。但是,如果在四个方面都做得很好,但在第五个方面却失误连连,该怎么办呢?
遗憾的是,谁都没有办法因为完美地拥有了五个组件中的四个就实现 80% 的优势。获得的潜在优势会大大减少 — 可能只有 10%,这意味着 ASM 防御不起作用,因为需要将所有这些部分紧密集成到一个解决方案中。
幸运的是,人工智能可以增强 ASM 的功能。Palo Alto Networks Cortex Xpanse 平台等解决方案就以这种方式增强了 ASM。这种技术为 ASM 带来了诸多优势,包括自动化、可扩展性、性能(大规模)、准确性等等。它使我们的网络安全团队、技术和 ASM 指导的流程更加强大、高效和可靠,力量倍增。
持续监控数字资产的挑战
具体来说,人工智能通过提供高质量、可靠和一致的数据收集来帮助 ASM 高效运行。这一点非常重要,因为在互联网上以“时间点”的方式收集一次攻击相关数据相当简单,但要定期、持续、一次又一次地收集这些数据则要困难得多。
确定并克服与全天候监控基本 IT 和运营技术功能相关的挑战是非常棘手的。原因之一是所有权的概念;具体来说,我们长期以来一直在纠结谁拥有互联网上的什么东西。
例如,假设我们确定了一家公司,这家公司有一家子公司。我们可能知道,这家子公司六年前收购了另一家公司,而他们的 web 服务器是以特定方式配置的。如今,这个 web 服务器运行在 Azure 上,将数据库服务器不安全地暴露在互联网上。这很复杂,但也相对简单。但是,如果将这种情况推广到我们的客户群中,事情就会变得复杂得多。
另一个需要考虑的问题是为长期了解客户及其资产而建立的知识图谱。知识图谱必须完全准确,ASM 才能正常工作。只有人工智能才能高效、全面地做到这一点。
最后,请记住,攻击者已经发现他们可以利用人工智能来扩大攻击面,就像我们寻求防御的方式一样:自动化、可扩展、高性能和精确。他们希望利用人工智能来保持多年来建立起来的面对网络防御者的竞争优势。
为了防止这种情况发生,我们必须将人工智能提升到一个新的水平,发挥 ASM 的潜力。
人工智能驱动的 ASM 解决方案让捍卫者处于领先地位
ASM 的一个关键因素在于它能够提供实时、全面的可视性。然而,从历史上看,ASM 并不擅长利用我们告诉客户的结果来做任何有意义和切实可行的事情。假设我们利用了 Xpanse 原生内置的大量技术和公司更广泛的安全解决方案组合。在这种情况下,我们可以告诉客户,他们不仅可以了解自己的所有数字资产,还可以了解攻击发生或可能发生的位置,以及如何发现和解决问题。
这整合了数据、人工智能和工作流程,为我们的 Xpanse 平台提供了 CISO 所需的力量和性能。它还能使集成技术以强大的方式结合在一起,使 ASM 更加直观、切实可行,成功发现和阻止威胁。而且,补救威胁的影响固然重要,我们还需要重点防止漏洞利用。攻击者已经非常擅长使用人工智能和其他工具来渗透和利用我们的系统,以至于我们没有足够的时间在事故发生前对威胁做出反应。
从某种程度上说,这是“左移”心态的一个新的重要化身,这种心态在软件开发生命周期中掀起了一场风暴,这是有道理的。然而,软件开发与人工智能之间存在着重要的区别。打个比方,软件是一种相当静态的东西,定期更新新版本和补丁;它的存在接近其原始形式,随着时间的推移做着类似的事情。
相反,人工智能是一种动态过程的一部分 - 尤其是在正确、适当的情况下。我们将其称为“数据飞轮”,为了拥有真正出色的人工智能,帮助 ASM 做更多工作并领先于攻击者,这是持续开发过程的一部分。数据来自客户,经过理解和处理,并且以一种与其他数据标准化的方式完成。如果数据选择得当,即使是对正确数据的基本回归也能产生深远的影响。
我们与 Cortex Xpanse 平台合作的另一个重要方面是使用一种我们称之为“精准人工智能”的技术。来自 Palo Alto Networks 的这一独特的技术和流程组合使 Xpanse 能够实时检测和预防攻击。通过结合机器学习、深度学习和生成式人工智能 - 所有这些都是在全球最大的安全数据湖基础上训练出来的,是纯粹的网络安全领导者们的成果 - 像 ASM 这样的网络安全战略得到了不可估量的提升。这是通过以下方式实现的:
- 实时阻止威胁变种,无需识别特征。
- 了解非结构化数据,防止敏感信息泄露。
- 通过使用 GenAI 创建新的攻击,不断提高检测率并减少误报。
这些功能已集成到 Cortex Xpanse 中,打造了一个更强大、更智能、更弹性的 ASM 防御框架。要做到这一点,我们需要利用最多样化和最高质量的数据、可共享和访问数据的平台式方法,以及正确的人工智能和网络安全专业知识来创建最准确、切实可行的模型。
展望未来
对于 CISO 和所有网络安全从业人员来说,预测攻击者下一步可能采取的行动非常重要。幸运的是,我们现在回过头来看,就会发现攻击者确实致力于完成他们的使命,并且拥有实现这一使命的技能和工具。我们的工作就是确保我们有正确的工具、战略和流程来防止这种情况的发生。
我们必须超越现有的创新技术,采取更具战略性的方法来预测和挫败攻击。CISO 必须与其高管合作伙伴和董事会通力合作,采取更加积极主动的心态。前面我们谈到了“左移”运动,但我们需要积极思考和行动。请记住,当资产被入侵时,可能已经来不及采取任何有意义的补救措施了。
纵观非托管资产,情况尤其如此,不幸的是,财富 500 强企业的非托管资产往往占所有资产的 30% 左右。如果在互联网上有未受管理的资产,那么就没有时间做出回应。你不太可能知道它何时被人利用,因此,自被人利用以来发生的所有横向移动现在都会在不受监控的情况下更快地发生。
当然,为了获得适当的 ASM 和高效的网络安全解决方案,进行正确的财务和人力资源投资是必不可少的,尤其是在发现和应对基于人工智能的新型攻击时。考虑到我们必须保护的资产的关键任务性质,现在正是需要崭新思维和创造性解决方案的时候。
我们有机会走在进攻者的前面,并保持领先。让我们不要错失良机。