美国国家安全局网络高官强调需将情报数据融入网络行动

编者按：美国国家安全局网络安全部门首席运营官丹尼尔·麦考马克表示，情报数据与军事网络行动的深度融合将为美国提供关键优势，对手网络攻击方式正变得愈发隐蔽复杂，而AI正在重塑网络攻防对抗的格局。

一是情报数据与网络行动的结合将为美国提供关键优势。丹尼尔·麦考马克表示，开源、信号、人力、金融、地理空间及技术情报，与军事网络行动及行业洞察的深度融合，构成了美国强大的战略组合；美国国家安全局拥有情报洞察，而行业伙伴拥有对本地及全球网络流量的可见性，双方优势互补将使美国国家安全局的能力显著提升；通过将某家公司报告的一起小型事件，与情报及全球网络行动信息相结合，美国国家安全局能够迅速将单一的发现扩展为数百个洞察，从而大幅提升理解和防御能力；这种将微观事件放大为全局认知的能力，为美国国家安全局的网络战士提供了关键优势。

二是对手网络攻击方式演变使防御追捕陷入棘手境地。丹尼尔·麦考马克指出，对手的攻击正变得愈发复杂，不再依赖明显的恶意软件，而是更多利用“末日漏洞”以极低的可检测性入侵网络，且零日漏洞的使用频率正在降低；在进入网络后，攻击者不再使用自己的工具，而是利用管理员的正规凭证和网络自然形态进行移动与持久控制，从而几乎悄无声息地实现数据收集；与勒索软件不同，顶级对手具备“战略耐心”，会长期潜伏，耐心学习管理员的知识、找到网络文档和工具凭证，这种行为使其与真实管理员极为相似，导致追捕工作异常困难。

三是AI在网络攻击中的差异化应用将为网络防御带来新的挑战与机遇。丹尼尔·麦考马克指出，美国国家安全局发现攻击者在攻击初始阶段已广泛使用AI，包括将AI与社会工程学结合，用于鱼叉式网络钓鱼、视频钓鱼、语音伪造以及发现和识别网络漏洞，使初始入侵更加自然高效；美国国家安全局尚未发现AI被用于网络渗透利用，但正在密切关注这一趋势何时会真正兴起；AI极大降低了攻击路径匹配的难度，将原本需要大量人力和时间来完成的“将入口点与目标相匹配”工作变得轻而易举；攻击者目前在AI应用上占据优势，拥有更大的试错空间，在测试方面领先于防御者；防御者正在努力追赶，但需要时间学习如何最好地部署AI代理和防御工具，这也是美国国家安全局当前推进的方向。

奇安网情局编译有关情况，供读者参考。

美国国家安全局（NSA）网络安全部门首席运营官丹尼尔·麦考马克6月4日在TechNet网络大会上表示，开源情报、信号情报、人力情报、金融情报、地理空间情报和技术情报等情报的加入，与军事网络行动以及行业洞察相结合，对美国而言是一种强大的组合。

丹尼尔·麦考马克指出：“我们利用情报洞察所获得的信息，确实增强了我们从行业合作伙伴那里获得的信息。他们可以看到流量在美国境内、全球范围内，甚至在他们部署产品并负有最终责任的本地网络中的流动情况，而我们则能够将我们的洞察与他们的信息相结合，从而真正实现飞跃。”

例如，如果一家公司分享了一起可能被认为是小型、单一事件的信息，那么结合情报和全球网络行动信息，就可以为美国国家安全局描绘出一幅更清晰的图景，并迅速增强理解和防御能力。

丹尼尔·麦考马克表示：“人们会说，‘我在某个特定的网络攻击受害者身上发现了这一点’，现在我们就能知道另外三点。我们可以把这些信息放大，然后说，‘好，现在让我们把你们发现这一点的方法应用到整个生态系统中，应用到我们接触的所有人身上。’这样一来，我们就能很快地从发现三点额外信息增加到三百点。”

美国国家安全局的网络战士需要这种优势。丹尼尔·麦考马克表示，对手针对政府网络和系统使用的攻击手段正变得越来越复杂。对手不再使用那些影响显而易见的恶意软件，而是更倾向于在网络内部进行隐蔽部署。

丹尼尔·麦考马克表示，计算机或软件系统中开发人员或用户未知的漏洞或安全缺陷（称为零日漏洞）仍然是攻击者入侵网络或系统的常见方法，但使用频率正在降低。

丹尼尔·麦考马克分享道：“我想重点强调的两大趋势是，我们目前面临的恶意软件威胁非常小。恶意软件似乎只在最必要的情况下才会被部署。当然，我们看到大量的‘零日漏洞’仍在被开发和使用，但令人震惊的是，大量的‘末日漏洞’被用于访问网络入口。”

丹尼尔·麦考马克警告称，末日方式使得敌对势力能够以极低的可检测性入侵网络，并几乎悄无声息地利用网络。 他称：“一旦攻击者进入网络内部，他们就会利用网络的自然形态进行移动和持续存在。他们利用的是管理员自身的凭证、工具，以及他们的人员部署的一切。”

美国国家安全局的网络操作员们发现，这些对手有多么克制，他们能够坐等不被发现，同时还能从危险的数据收集中获益。

丹尼尔·麦考马克表示：“一些真正的顶级对手具备我们美国国家安全局一直倡导的战略耐心，他们不会像勒索软件攻击者那样，一上来就四处乱窜。他们会花时间了解管理员掌握的一切信息，找到他们存储网络文档的位置，找到工具的凭证。”

丹尼尔·麦考马克称，由于网络攻击者与真正的管理员非常相似，因此追捕起来可能非常棘手。

此外，在很多情况下，攻击者仍然会使用社会工程学，并将其与人工智能相结合，用于诸如鱼叉式网络钓鱼之类的初始攻击活动。美国国家安全局尚未发现人工智能（AI）被用于网络渗透利用。

丹尼尔·麦考马克表示：“我们看到的另一个趋势是‘AI优先’。目前，我们还没有看到很多攻击者在网络内部的攻击阶段使用AI。当然，我们会密切关注这种趋势何时会真正兴起。但攻击者们确实非常喜欢用AI进行初始的鱼叉式网络钓鱼攻击。社交工程变得更加自然，更加人性化。”

美国国家安全局网络安全人员发现，网络犯罪分子利用AI进行视频钓鱼，并对语音进行数字利用，以骗取他人信任。此外，对手还在利用人工智能来发现和识别网络漏洞。

丹尼尔·麦考马克表示：“找到与目标匹配的入口点需要花费大量时间，需要投入大量的人力。AI让这一切变得轻而易举。现在，从外部匹配并找到进入网络的正确路径简直易如反掌。”

从积极的角度来看，丹尼尔·麦考马克确实认为AI将使美国国家安全局和其他组织的网络安全防御人员受益，尽管这需要他们积累更多关于如何最好地使用AI的知识。而这正是该机构正在为其操作人员推进的工作。

丹尼尔·麦考马克表示：“我认为防御者需要花费大量时间才能理解如何实施这些技术。我们目前正处于一个有趣的阶段，人们正在学习如何更好地运用AI代理和AI防御工具。但攻击者在这个领域拥有更大的自由度，他们可以承受更多次的失误。我认为他们现在在测试方面占据优势，但防御者最终也能找到应对之策。而这正是我们正在努力的方向。”

丹尼尔·麦考马克表示，美国国家安全局目前也为网络安全运营人员提供了许多资源工具。此外，业界有望在今年秋季看到更多关于AI安全和零信任实施方面的工具和指南发布。

丹尼尔·麦考马克强调，网络操作人员不应感到自己在战斗中孤军奋战。他称：“我们的网络安全合作中心下设一个专门负责AI安全的团队。他们正在做的其中一项工作就是发布指导方针，帮助我们更好地实施这些技术。关于部署和使用的建议，我们会在网站上公开发布，供大家阅读、实施、评论，并帮助我们改进。”

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。