"AI重塑网络安全的攻防天平------它既是帮凶,也是防御伙伴。
大数据产业创新服务媒体
------聚焦数据**·**改变商业
近日,在刚刚落幕的第七届网络安全运营实战大会(CSOP)上,一个共识愈发清晰:我们已进入一个"无休止对抗"的时代。攻击无处不在、防御必须实战。而人工智能,正在这场没有硝烟的战争中,扮演着越来越复杂的双重角色。
新态势下的新实战
何谓新态势?微步在线创始人兼CEO薛锋表示,五年前很多企业普遍都抱着一种防御性心态: "谁会攻击我?""为什么攻击我?""真的打得进来吗?"今天回过头来重新审视,这其实是一种鸵鸟心态。
如今,画风彻底变了。
"我们肯定会被攻击,就是时间问题。""对方一定能攻进来。""能不能在被攻击前先发现威胁?"企业这一波认知升级的背后,是这几年来勒索软件、"银狐"黑灰产和各类实战攻防演练的疯狂"教育"。
何谓新实战?微步在线创始人兼CEO薛锋形象地形容,以前的网络安全,有点像为了满足消防规定去添置设备。"需要买灭火器,我就买一个;需要消防栓,我就装一个;但最后买了什么型号、能不能用,好不好用我并不关心。"而现在,安全进入了"医疗时代":B超机查不出病?药吃了没用?那是要出人命的。
企业心态的变化是整个安全产业全面进入"实战"时代的缩影。大家深刻感知到,漏洞不再是遥不可及的理论风险,而是即刻发生的业务威胁。
"我们的安全运营面临八大硬核难题,包括钓鱼攻击、漏洞管理、海量告警、高质量日志缺失、凭证泄露与滥用、加密流量检测、攻防时间不对称以及不断扩大的攻击面。"微步在线创始人兼CEO薛锋总结道。
面对这些新的挑战,传统的防火墙和杀毒软件就像是用弹弓打无人机------看似在努力防御,实则没什么用。想要解决这些问题,必须回归安全运营的本质,通过提升基础能力而非盲目追逐热点,才能实现安全能力的质变。
AI入局 重塑安全战场的攻守之道
近年来,安全运营领域一个最大的变量就是AI,AI的入局为传统安全的攻防两端带来了新武器、新打法。
在攻方,呈现出以下几个特征。
·AI武器化加速:攻击者利用生成式AI批量制造钓鱼邮件(效率提升40倍)、自动化扫描漏洞(速度达传统工具的100倍)。比如说,某金融企业2023年遭遇的AI语音诈骗案件中,攻击者通过合成CEO声音骗取转账$2400万。
·AI生成恶意软件与数据挖掘:很多网络犯罪团伙借助AI技术生成并优化恶意代码、自动化DDoS攻击流程,并对被盗数据进行清洗处理。以"Gabbers Shop"为代表的平台,已通过AI提升数据转售价值与攻击目标精度。
·AI模型的武器化与劫持:从被盗的大语言模型账号到暗网定制的FraudGPT、WormGPT等黑产模型,攻击者正绕过原有安全机制,将AI工具商业化,用于黑客攻击与诈骗活动。
·自动化与规模化:AI可以7x24小时不间歇地寻找漏洞、生成钓鱼邮件或发动攻击,其速度和规模远超人工。
与此同时,防守方也在利用AI强化自己的防御力量。大模型就像是游走在在攻防天平两端的砝码,任何一方能更好利用这枚砝码,就能在瞬息万变的战场,掌握先机。
薛锋分析认为,相比于量的提升,大模型对于攻方来说,对于"质"的提升更为显著。比如说大模型能够有助于攻方更好研究出漏洞,让其写出更逼真,更能以假乱真的钓鱼软件。同时,大模型也降低了攻击的门槛。即使初级攻击者也能利用AI工具发起复杂攻击,而高级攻击者则能打造更先进的武器。
而对防守方来讲,最显著的则是量的变化。比如说,面对海量的噪音,每天几万条告警海啸一般袭来。因为其中90%都是没有意义的内容,真正有价值的只有冰山一角,AI可以自动处理和压缩绝大部分无价值的内容,大大降低了人工排查的成本和时间。
"我觉得短时间内对攻方的帮助更大一点。攻方好奇心强、作战团队小,决策机制更灵活。比如GPT5今晚发布,马上就会有攻方从四面八方围攻过来。但长期来看,守方毕竟是正规军,有更加强大的科研力量,只要时间拉长一定会研究出应对之策。"薛锋形象地说,"攻击方像拿一根针,满天扎气球,扎中一个就算赢。防守方得像空气一样,密不透风。"薛锋表示。
但他也客观的指出,AI虽然可以简化很多规则流程,但AI没有改变安全的本质------它只是让对抗更快、更狠、更隐蔽。漏洞、钓鱼、身份泄露这些老问题依然存在,只是工具变了。
目前为止,AI还没有让攻方达到"如有神助"、"如入无人之境"的地步。也没有让守方产生"溃敌千里"、"自动驾驶"的能力。微步在线行业第一个安全类垂类大模型在网信办完成备案,标志着技术正在进步,但距离完全自主运营至少还有一两年的距离。未来AI能否产生颠覆性影响,在于如何跟数据结合,如何真正融入到安全的实战环境中。
实战现场:三类安全事件的生死博弈
随着整个社会数字化转型的不断提速,加之境外的恶意攻击不断增多。惊心动魄的安全实战几乎在每一个产业领域上演,在一年的大量应急响应中,微步在线发现三类安全事件最为常见:
勒索攻击已成为企业的噩梦。有些企业被加密后停产,有些则收到"预警信":"几天内不打钱,加密你全部服务器"。董事长直接找CSO问:"系统有没有问题?"CSO说没事,但三天后可能全军覆没。这时,企业最需要专业判断:对方是不是真的控制了?付钱能解决吗?
银狐黑产在去年成为应急响应最多的威胁。攻击者拉一个几百人甚至上千人的公司群,里面全是"领导"。然后发消息:"财务速转XX万元",有人就真转了。发生这样的事,这不只是技术问题,更是企业对安全运营的信任危机------信息团队花那么多钱,连个群都防不住?
APT攻击是最隐蔽也最危险的威胁。有些企业被彻底渗透,黑客可随时取走任何数据。"比如说十万台电脑都被攻击,怎么清理?重装都来不及,这边还没处理好,那边又感染了。"这种手术级对抗需要极高的专业技术。
薛锋说到,过去这一年,他亲自参与了好几起复杂的应急响应。最初只想着在会议室参与一下就好,结果常常一不留神就跟团队一起熬到了半夜。这些应急过程中遇到的,他会清晰地感觉到,自己不是在处理冰冷的告警,而是在与屏幕另一端的"人"博弈。
"让我印象特别深的,是有一次我们的工程师远程接入客户受感染的电脑,对方已经被一个APT团伙控制了。我们的同事刚把装有专用应急工具的U盘插上去,几乎就在一瞬间------U盘里的内容被对方直接删除了。那一刻你仿佛能感觉到对手就在对面看着你,就像两个持枪的人隔着一道门对峙,你知道他就在那儿,他也知道你已经来了。
甚至有时候,这种对抗还会出现更'人性化'的互动。比如我们正在分析对方的攻击路径和行为特征,突然之间,对方会在终端上弹出一个对话框,像打招呼似的说:'哥们,别分析了。'那一瞬间,你会感知你面对的不再是模糊的恶意代码,而是一个真实的、带有挑衅意识的对手。"薛锋说道。
这种你来我往的博弈,背后其实是人与人之间的技术较量与心理试探。它不像很多人想象的那种虚拟战争,反而更像一场无声的猫鼠游戏------没有硝烟,但步步惊心。也正是这样的时刻,让我们更清晰地意识到:网络安全,从来不只是工具和规则的竞赛,更是人与人的对抗。
AI时代的安全新哲学
事实上,安全的领域的对抗不仅仅发生在攻防两端。成本与效益的拉锯,安全与发展的平衡,投入与产出的博弈,这些问题都是企业要面对的现实问题。
安全必然影响便利性,但好的技术可以减轻这种痛苦。
比如说,为了行车安全人人都需要系安全带,但是系安全带会给人带来不便。作为保障安全的重要手段,交规规定安全带非系不可,作为厂商,可以在技术上让安全带更舒服一些。随着整个社会数字化程度的不断提升,安全优先级会越来越高,但又不能到很过分的程度,不能影响企业的正常发展。要让客户"无痛"享受到安全的保障。
"安全就像治病,不是要灭绝所有疾病,而是要学会与风险共存、持续对抗。"
微步在线去年和今年都保持了连续增长。"我们一直在做自己认为对的事情,比如专业化和创新。"薛锋表示。
当AI成为黑客的帮凶与保镖,网络安全正在进入一个全新的时代------一个更加智能、更加复杂、更加需要人与机器协同的时代。在这场没有硝烟的战争中,AI既是帮凶,也是伙伴。而真正的胜负手,我们相信依然是人。
文:俊驰/ 数据猿
责编:夜阑听雨 / 数据猿
☆往期好文推荐☟
标贝科技李秀林博士:用AI的眼光做数据,用数据的思维做AI | 数据猿专访
面对AI Agent,SaaS公司还有救么?
Data Agent时代,不要做孤胆英雄
