编者按

美国国防承包商Leidos公司高管提出,面对人工智能驱动的指数级网络攻击增长,传统被动防御已难以应对,必须转向涵盖策略前移、欺骗牵制、跨域协同与硬件升级的系统性主动防御重塑。

一是人工智能驱动攻击升级亟需防御主动前移。Leidos公司高管指出,人工智能正被犯罪分子和国家行为体广泛用于网络攻击,显著加剧了网络空间风险;对于美国国防部而言,数据可用性与完整性的任何受损都可能导致作战风险急剧上升,现代基础设施和作战系统高度复杂,亟需采取更加积极主动的网络防御方法来保障任务的完整性;关键系统因长期任务压力积累大量技术债务,且漏洞修补往往仓促进行,易在复杂环境中引发运行不稳定;面对上述棘手网络威胁,需要从设计之初就构建更安全、更具韧性的架构,利用现代开发、自动化和安全工程实践来应对人工智能威胁,并大幅提升防御性网络活动的运行节奏。

二是欺骗防御可有效增加对手攻击成本。Leidos公司高管提出,防御性网络行动可以通过多种方式来阻击对手,而欺骗是其中一种非常有效的手段,如运用得当可对其造成重大损失;在缺乏物理边界的网络空间,身份已成为新的防线,但海量身份急剧扩大攻击面,使传统检测手段难以区分合法与恶意活动;为有效增加对手攻击成本并打乱其行动节奏,可以在环境中引入精心设计的欺骗性元素,例如诱饵凭证、虚假数据、合成服务或其他对攻击者而言看似具有实际价值的诱饵;通过主动引导攻击者进入预设陷阱,可以将对手转移到由防御者掌控的“镜像迷宫”中,从而在浪费对手的时间和资源的同时,还能了解其战术、技术与程序并开展攻击溯源和取证。

三是接合部漏洞有赖跨域协同应对。Leidos公司高管指出,不同基础设施、技术系统、应用程序及计算环境之间的交互接合部,均会引入安全漏洞;美国国防部内部超过40个受保护区域分属40余家管理机构,导致跨域活动难以关联,统一的态势感知几乎无法实现;防御者必须具备跨军种、跨系统的协同应对能力,尤其在转向主动防御时,跨部门协调已成为领导层优先推动的创新发展方向;作战接合部的脆弱性源于指挥协调缺位,弥补关键在于统一的指挥控制、共同的态势感知以及对指挥官意图的一致理解。

四是硬件代际鸿沟亟须换装升级。Leidos公司高管指出,人工智能正推动网络攻击的数量、速度和多样性呈指数级增长,形成“曲棍球棒”式陡峭上升曲线,当前的防御体系已无法应对上述变化;当前的网络环境仍基于两三代前的老旧架构运行,渐进式改进已无法跟上指数级增长的攻击节奏;为扭转上述失衡局面,各机构必须改变策略以应对威胁态势,果断更换核心硬件,利用现代芯片的性能红利实现更迅速的响应。

奇安网情局编译有关情况,供读者参考。

人工智能正在推动速度更快、范围更广的网络攻击,这些攻击足以压垮防御系统。维持现状远远不够,因为对手拥有速度更快、适应性更强的工具,能够迅速识别并攻击传统系统中的现有漏洞和运行网络中的缺陷。

美国国防承包商Leidos高级副总裁兼国防机构业务领域负责人保罗·韦尔奇和防御性网络安全业务副总裁乔什·萨尔曼森探讨了网络防御如何发展以保护关键系统。

媒体:请描述需要防御性网络技术的威胁场景,特别是那些比被动防御更具前瞻性的技术。

保罗·韦尔奇:我们先从最棘手的问题说起:人工智能。无论是犯罪分子还是国家支持的威胁行为体,都在利用人工智能,这正在加剧整个网络空间的风险。具体到美国国防部,随着数据对国防部行动的重要性日益凸显,数据的可用性和完整性也变得愈发重要,在某些情况下甚至呈指数级增长。一旦数据不可用或不可信,作战风险就会急剧上升。

将这种对数据的日益依赖和需求,与现代基础设施和作战系统的复杂性,以及人工智能对手利用这些系统漏洞的日益增长的威胁结合起来,就显而易见,需要采取更加积极主动的网络防御方法,以保障任务的完整性。

乔什·萨尔曼森:这确实要从生命周期的最初阶段就开始。我们需要从设计之初就构建更具韧性的系统。很多时候,关键系统依然脆弱,因为任务需求持续不断,导致没有时间去解决随着时间积累的技术债务。

这种脆弱性会带来后续风险。当出现新的漏洞时,各机构可能会急于以更快的速度修补系统,有时甚至没有对补丁进行充分测试。在复杂的环境中,这些补丁可能会无意中中断其他关键业务功能,从而造成运行不稳定。

更广泛的目标是实现更快的推进速度,同时从一开始就构建更安全、更具韧性的架构。现代开发、自动化和安全工程实践旨在帮助各机构应对日益增长的人工智能威胁。我们目前所看到的,特别是随着Mythos级模型和其他一些能力的出现,表明防御性网络活动的运行节奏可能需要大幅提升。

各机构和行业都看到,这些先进模型能够以前所未有的速度和规模识别漏洞和攻击路径。在许多情况下,它们能够迅速揭示各机构此前未曾意识到的弱点。因此,防御者可能被迫加快修复速度。这将给运维团队和工程团队带来巨大的压力。现在的挑战是如何在不给本已复杂的环境中引入不稳定因素的情况下,应对这种日益增长的负担。

媒体:我们如何才能增加对手及其网络攻击活动的成本,从而减缓他们的速度?

乔什·萨尔曼森:在这种情况下,防御性网络行动可以通过多种方式造成损失。其中,欺骗是一种非常有效的手段。它贯穿于其他所有军事领域。美军在战争中一直运用欺骗手段,但我们却很少将其应用于网络空间。

这一点至关重要,因为在缺乏真正边界的情况下,它是唯一能够减缓攻击者速度的手段。身份就是新的边界,而且身份的数量远远超过目前使用系统的用户数量。各机构必须管理系统账户、自动化服务、人工智能活动、API 集成和跨云连接。所有这些身份都会扩大攻击面,并模糊真正“内部”环境的边界。

因此,各机构和企业区分合法活动和恶意行为的难度显著增加。在许多情况下,识别入侵者的最有效方法是在环境中引入精心设计的欺骗性元素——例如诱饵凭证、虚假数据、合成服务或其他对攻击者而言看似具有实际价值的诱饵。

媒体:如果你用欺骗手段,他们必须先进入你的圈套,你才能骗到他们。这难道不是一种失败吗?

保罗·韦尔奇:他们必须先进入你希望他们进入的体系部分。对手会使用许多机制和技巧来实现这一点。你可以通过让目标看起来有吸引力、有趣且更容易接近,来引导和控制对手的行动方向。

但他们实际去的地方,或者说他们可能去的地方,最终对他们毫无用处。你让他们付出了代价,因为他们获取的信息并非真实信息。他们浪费了时间,而且因为你一直在观察他们,他们也在暴露自己的战术、技巧和流程。

乔什·萨尔曼森:很多时候,当对手落入诱饵陷阱时,他们其实已经不在原本的目标网络上了。他们被转移到了一个非常安全的空间,在那里他们的工具、战术和操作流程都尽收眼底。对手以为自己仍然身处真实环境,但实际上他们置身于一个完全由我们掌控的镜像迷宫之中。如果他们试图重返真实环境,我们就能知道他们最初是如何入侵的,因为我们可以回溯并进行所有取证追踪。网络欺骗确实有效,而且如果运用得当,会给对手造成巨大的损失。

媒体:我们通常把体系看作一个整体,但显然并非如此。当存在多个体系网络时,网络防御会面临哪些挑战?

保罗·韦尔奇:多个基础设施以及基础设施内多种相互关联和通信的技术都存在接合部,这些接合部会带来漏洞。此外,由于接合部的存在以及多个应用程序之间的交互,多个主机和计算环境也会引入漏洞。

更重要的是,或者说同样重要的是,整个美国国防部有超过40个受保护区域,分别由40多家网络安全服务提供机构负责。因此,几乎不可能全面了解该领域内的所有活动,并掌握统一的态势感知。

重要的是了解美国空军和海军各自在体系内部的运作情况,尤其是在存在跨领域关联活动的情况下,防御者需要能够将这些活动关联起来。然后,防御者必须具备协调一致的应对能力。即使只是对敌方做出反应,协调安全行动也至关重要;而当防御行动转向更主动的方式时,这种协调就变得至关重要。增强跨美国防部协调能力的需求是领导层的优先事项,也是我们网络行动创新发展的驱动力。

媒体:你提到了接合部。在我们现在讨论的这个世界里,接合部指的是什么?为什么它们容易受到攻击?

保罗·韦尔奇:任何时候,当一支作战部队与另一支作战部队相邻作战时,两支部队的作战区域都可能存在缺口。如果你知道这两支部队之间的接合部在哪里,那么就存在作战上的脆弱性。如何确保两支部队协调一致?弥合这一缺口的关键在于指挥与控制,在于对作战行动和作战路线拥有共同的态势感知,以及对指挥官的意图和执行情况有共同的理解。

媒体:人工智能还在哪些方面改变了网络空间的格局?

乔什·萨尔曼森:如今防御者面临的最大问题是,攻击的数量、速度和多样性都发生了巨大变化,而且这种情况每年都在恶化。目前,攻击数量正呈指数级激增,呈现出典型的“曲棍球棒”式陡峭增长曲线。防守体系很难跟上这种变化。

挑战在于:我们几乎所有人需要防御的环境都基于沿用了两三代的老旧架构。行业一直在取得渐进式的进步,但这不足以应对指数级增长的攻击节奏。各机构必须改变策略以应对威胁级别。我们常常仅仅基于成本而非实际运营需求来做决策。

我认为,各类机构和行业必须更换运行企业软件的核心硬件,这样防御者才能跟上当今各类攻击的步伐,并实现更迅速的响应。试想一下,当攻击者驾驶着法拉利,而防御者却还在开着1982年款的福特嘉年华,防御者显然会陷入困境。

行业正开始发生一些非常微妙的变化,但除非你身处那些顶级平台,否则便无法享受到当今硬件性能呈指数级提升所带来的红利。CPU与GPU之间的速度差距高达约一千倍。既然要竞争,不妨利用与对手相同的优势。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。