摘要：正如 CrowdStrike 的高级副总裁 Adam Meyers 在最近接受 VentureBeat 采访时所说：“对手每年快了 10 到 14 分钟。随着他们的突破时间缩短，防御者必须更快地反应——在威胁扩散之前检测、调查和阻止威胁。这是一场速度的游戏。”

为什么 AI 对网络安全变得至关重要？因为每天，实际上每秒，恶意行为者都在利用人工智能扩大其攻击方法的范围和速度。

正如 CrowdStrike 的高级副总裁 Adam Meyers 在最近接受 VentureBeat 采访时所说：“对手每年快了 10 到 14 分钟。随着他们的突破时间缩短，防御者必须更快地反应——在威胁扩散之前检测、调查和阻止威胁。这是一场速度的游戏。”

与此同时，Gartner 在其最近的研究《新兴技术影响雷达：预防性网络安全》中写道：“恶意行为者正在利用生成式 AI 以机器速度发起攻击。组织不能再等到检测到漏洞后才采取行动。预测潜在攻击并优先采取预防性缓解措施已变得至关重要。”

Darktrace 的最新威胁报告则反映了网络攻击者的新无情心态，他们愿意不惜一切代价获得突破企业所需的速度和隐秘性，甚至在安全团队意识到受到攻击之前就窃取数据、资金和身份。他们对 AI 的武器化不仅限于深度伪造，还包括大规模和范围类似于合法营销活动的网络钓鱼电子邮件轰炸。

Darktrace 研究中最显著的发现之一是武器化 AI 和恶意软件即服务（MaaS）的威胁日益增加。根据 Darktrace 的最新研究，MaaS 现在占所有网络攻击的 57%，这表明自动化网络犯罪显著加速。

AI 满足了网络安全对速度的需求

突破时间正在迅速下降。这是攻击者行动更快并微调新技术的明确信号，基于外围的传统系统和平台无法捕捉到这些技术。Microsoft 的 Vasu Jakkal 在最近的 VentureBeat 采访中生动地量化了这种加速：“三年前，我们每秒看到 567 次与密码相关的攻击。今天，这个数字飙升到了每秒 7,000 次。”

很少有人比 Rate Companies（前身为 Guaranteed Rate）信息安全高级副总裁 Katherine Mowen 更了解这一挑战。作为美国最大的零售抵押贷款机构之一，Rate Companies 每天有数十亿美元的交易通过其系统流动，是 AI 驱动的网络攻击的主要目标，从凭证盗窃到复杂的基于身份的欺诈。

正如 Mowen 在最近的 VentureBeat 采访中所解释的那样：“由于我们的业务性质，我们面临着一些最先进和持续的网络威胁。我们看到抵押贷款行业的其他公司遭到攻击，因此我们需要确保这不会发生在我们身上。我认为我们现在所做的是用 AI 对抗 AI。”

Rate Companies 实现更高网络弹性的策略基于 AI 威胁建模、零信任安全和自动化响应，这为各行业的安全领导者提供了宝贵的经验。

“网络攻击者现在利用 AI 驱动的恶意软件，可以在几秒钟内变形。如果你的防御措施没有同样的适应性，你已经落后了，”CrowdStrike 的 CEO George Kurtz 告诉 VentureBeat。例如，Rate Companies 的 Mowen 正在通过一系列有效的防御性 AI 策略与对抗性 AI 作斗争。

用 AI 对抗 AI：什么有效

VentureBeat 与一组要求匿名的首席信息安全官（CISO）进行了会谈，以更好地了解他们用 AI 对抗 AI 的策略。以下是从该会议中学到的六个经验：

使用自学习 AI 改进威胁检测正在取得成效。对抗性 AI 是当今越来越多漏洞的核心。从所有这些活动中得到的一个快速结论是，基于签名的检测在跟上攻击者最新技艺方面充其量是挣扎的。

网络攻击者不仅仅停留在利用身份及其众多漏洞上。他们正在进步，使用“利用现有资源”（LOTL）技术并将 AI 武器化以绕过静态防御。安全团队被迫从被动防御转向主动防御。

DarkTrace 的报告解释了原因。该公司在零日漏洞被披露前 17 天检测到 Palo Alto 防火墙设备上的可疑活动。这只是报告中提供数据的许多 AI 辅助攻击关键基础设施的例子之一。Darktrace 威胁研究副总裁 Nathaniel Jones 指出：“在入侵后检测威胁已不再足够。自学习 AI 能够识别出人类忽视的微妙信号，从而实现主动防御。”

考虑使用 AI 驱动的威胁检测自动化网络钓鱼防御。网络钓鱼攻击正在飙升，仅在去年，Darktrace 就检测到超过 3,000 万封恶意电子邮件。大多数（70%）通过利用 AI 生成的诱饵绕过传统电子邮件安全，这些诱饵与合法通信无异。网络钓鱼和商业电子邮件泄露（BEC）是网络安全团队依赖 AI 帮助识别和阻止漏洞的两个领域。

Zscaler 的首席安全官 Deepen Desai 说：“利用 AI 是对抗 AI 驱动攻击的最佳防御。”Rate Companies 的 Mowen 强调了主动身份安全的必要性：“由于攻击者不断改进他们的策略，我们需要一个能够实时适应并为我们提供更深入潜在威胁可见性的解决方案。”

AI 驱动的事件响应：你能否足够快地遏制威胁？在任何入侵或漏洞中，每秒都很重要。随着突破时间的缩短，没有时间可以浪费。基于外围的系统通常具有多年未修补的过时代码。这一切都助长了误报。同时，正在完善武器化 AI 的攻击者在几秒钟内就能突破防火墙进入关键系统。

Mowen 建议 CISO 采用 Rate Companies 的 1-10-60 SOC 模型，该模型旨在在一分钟内检测入侵，十分钟内进行分类，并在六十分钟内遏制。她建议将此作为安全操作的基准。正如 Mowen 警告的那样：“你的攻击面不仅仅是基础设施——它也是时间。你有多长时间来响应？”未能加速遏制的组织面临着长期漏洞和更高损失的风险。她建议 CISO 通过跟踪平均检测时间（MTTD）、平均响应时间（MTTR）和误报减少来衡量 AI 对事件响应的影响。威胁遏制得越快，它们造成的损害就越小。AI 不仅仅是一种增强——它正在成为一种必要。

不断寻找新方法通过 AI 加固攻击面。每个组织都在努力应对不断变化的一系列攻击面，这些攻击面可能从一系列移动设备到大规模云迁移或无数的物联网传感器和终端。AI 驱动的暴露管理主动识别并实时缓解漏洞。

在 Rate Companies，Mowen 强调了可扩展性和可见性的必要性。“我们管理的员工队伍可以快速增长或缩减，”Mowen 说。快速灵活地适应业务运营的需求是推动 Rate 使用 AI 实现实时可见性和自动检测其多样化云环境中错误配置的几个因素之一。

使用行为分析和 AI 检测并减少内部威胁。内部威胁因影子 AI 的兴起而加剧，已成为一个紧迫的挑战。AI 驱动的用户和实体行为分析（UEBA）通过持续监控用户行为与既定基线进行比较并快速检测偏差来解决这一问题。Rate Companies 面临显著的基于身份的威胁，促使 Mowen 的团队整合实时监控和异常检测。她指出：

“即使是最好的终端保护也无济于事，如果攻击者只是窃取用户凭证。今天，我们采用‘永不信任，总是验证’的方法，持续监控每笔交易。”

WinWire 的 CTO Vineet Arora 观察到，传统的 IT 管理工具和流程通常缺乏对 AI 应用程序的全面可见性和控制，允许影子 AI 蓬勃发展。他强调了在创新与安全之间取得平衡的重要性，并表示：“提供安全的 AI 选项可确保人们不会被诱惑走捷径。你无法扼杀 AI 的采用，但可以安全地引导它。”通过 AI 驱动的异常检测实施 UEBA 加强了安全性，减少了风险和误报。

人机协作 AI：长期网络安全成功的关键。在任何网络安全应用、平台或产品中实施 AI 的主要目标之一是让它不断学习并增强人类的专业知识，而不是取代它。AI 和人类团队之间需要有一种互惠的知识关系，以便双方都能出色地发挥作用。

“很多时候，AI 并没有取代人类。它增强了人类，”CrowdStrike 的 CTO Elia Zaitsev 说。“我们能够如此迅速、高效和有效地构建 AI，是因为我们有十多年的人类创造的人类输出，现在可以将其输入 AI 系统。”这种人机协作在安全运营中心（SOC）中特别关键，AI 必须在有限的自主权下运行，协助分析师而不完全控制。

AI 对抗 AI：网络安全的未来就是现在

AI 驱动的威胁正在自动化漏洞，实时变形恶意软件，并生成几乎与合法通信无异的网络钓鱼活动。企业必须同样快速地行动，将 AI 驱动的检测、响应和弹性嵌入到安全的每一层。

突破时间正在缩短，传统防御无法跟上。关键不仅仅是 AI，而是 AI 与人类专业知识的协同工作。正如 Rate Companies 的 Katherine Mowen 和 CrowdStrike 的 Elia Zaitsev 等安全领导者所强调的，AI 应该增强防御者，而不是取代他们，从而实现更快、更智能的安全决策。

来源：至顶网