利用 AI 讓攻擊範圍管理的效用倍增
隨著攻擊範圍規模不斷擴大、威脅數量倍增、速度加快和攻擊手段多樣性,攻擊範圍管理變得更加複雜,進而為攻擊者提供了決定性的優勢。但企業還是能夠透過新穎和創新的方式使用人工智慧,以便在攻擊範圍控制方面保持優勢。
攻擊者最近開發新工具來識別我們快速增長且複雜的攻擊範圍。更糟糕的是他們使用的技術與我們作為防禦者所擁有的技術一樣容易獲得:人工智慧 (AI)。
這項技術不但改變攻擊範圍管理 (ASM) 的遊戲規則,此一日益複雜的交集更涉及各種技術、風險、方法和潛在破壞性結果。這是資訊安全長 (CISO) 面臨的真實情況:AI 使 ASM 的未來變得極其複雜,因此更難以了解和因應。
多年來,AI 在網路安全方面的應用面臨三大挑戰,直到最近,還沒有任何網路安全解決方案能夠克服這三個挑戰。其中包括:
- 一般來說,客戶並不了解他們所擁有的大量重要 IT 資產。他們通常最多能掌握 70% 的資產。
- 不同類型的數據和不同網路安全工具之間的數據整合會受到限制,阻礙在企業範圍內針對安全風險進行有效且統一的檢視。
- 攻擊者的策略不但具有創新性,並且非常善於隨著時間的推移改變策略,因此若想要找出他們的攻擊途徑和入侵選項將變得更為困難。
任何想要讓 ASM 變得更有效率和有效的嘗試都必須考慮這三個挑戰。
AI 在 ASM 中扮演的角色
建立真正世界級和世界領先的攻擊範圍管理解決方案將面臨挑戰,因為您必須同時建立數個元件。我們認為您必須建立及整合多達五個元件才能真正達到 ASM。但是,即使您對於四個元件都處理得宜,卻在第五個元件發生失誤,又會發生什麼情況?
遺憾的是,即使您已經完美地達到五個元件中的四個,仍無法獲得 80% 的好處。您獲得的潛在利益要少得多,可能只有 10%,這代表著您的 ASM 防禦無法發揮作用,因為您需要將所有這些緊密整合到單一解決方案中。
幸運的是,ASM 可以使用 AI 進行增強。Palo Alto Networks Cortex Xpanse 平台等解決方案以這種方式增強 ASM。該技術為 ASM 提供眾多優勢,包括自動化、可擴充性、效能 (大規模)、準確性等等。對我們來說,其是網路安全團隊、技術和 ASM 導向程序的強大、高效率和可靠的效用倍增工具。
數位資產持續監控的挑戰
尤其是,AI 可提供高品質、可靠和一致的數據收集來協助 ASM 維持高效率的運作。這點很重要,因為雖然在特定時間點在網際網路上收集攻擊相關數據相對簡單,但要長期、持續地定期收集這些數據卻要困難得多。
對於基礎 IT 和營運技術功能的全天候監控來說,要識別並克服與其有關的挑戰非常困難。原因之一在於所有權概念;具體來說,我們長期以來一直在思考誰擁有網際網路上的資產。
例如,假設我們找到一家公司,而該公司有一家子公司。我們可能知道該子公司六年前收購另一家公司,他們有一個以特定方式設定的 Web 伺服器。如今,該 Web 伺服器在 Azure 中執行,以不安全的方式將數據庫伺服器暴露在網際網路中。這個概念看似很複雜,卻也相對簡單。但如果將這種情況放在我們的客戶群中進一步推論時,它就會變得更加複雜。
另一個需要考慮的問題是,為了隨著時間的推移來了解客戶及其資產所建立的知識圖譜。該圖譜必須完全準確,ASM 才能正常運作。也唯有透過 AI 才能以更有效率且更全面的方式實現。
最後,請記住,攻擊者已經發現他們可以使用 AI 來擴大攻擊範圍,就像我們以相同方式來進行防禦一樣:自動化、可擴充、高效能和準確的精準度。他們希望利用 AI 來維持多年來針對網路防禦者所累積的競爭優勢。
為了防止這種情況發生,我們必須將 AI 提升到新的層級以發揮 ASM 的潛力。
AI 驅動的 ASM 解決方案能讓防禦者處於領先地位
ASM 的關鍵要素是它能夠提供即時、全面的可視性。然而,從歷史上看,ASM 的表現並不理想,讓我們無法將告訴客戶的結果轉化為有意義且確實可行的行動。假設我們能利用 Xpanse 中原生建構的大量技術以及我們公司更廣泛的安全解決方案產品組合。在這種情況下,我們可以告訴客戶,他們不僅可以了解所有數位資產,還可以掌握正在發生或可能發生的攻擊,以及如何找到和解決問題。
它整合了數據、AI 和工作流程,為我們的 Xpanse 平台提供資訊安全長所需的功能和效能。它還讓整合的技術能夠以更強大的方式結合在一起,使 ASM 更加直觀、可操作,並能成功發現和阻止威脅。而且,與針對威脅衝擊進行補救一樣重要,我們還必須專注於預防入侵。攻擊者非常擅長使用 AI 和其他工具來滲透及利用我們的系統,以致於我們在事件發生之前幾乎沒有足夠的時間來因應威脅。
在某些方面,這是「測試左移」心態的一種全新且重要的具體化,這種心態充斥著整個軟體開發生命週期,並且有充分的理由。然而,軟體開發和 AI 之間仍存在著重要區別。例如,軟體是一個相當靜態的東西,會定期更新版本和修補程式;它的存在接近其原始形式,隨著時間的推移做著類似的事情。
相反地,AI 卻是動態過程的一部分,尤其是當它能夠以正確且適當的方式達成時更是如此。我們將其稱之為「數據飛輪」,為了利用真正優秀的 AI 來協助 ASM 完成更多事情並領先於攻擊者,它必須成為一個持續發展過程的一部分。數據來自於客戶,然後被充分理解及處理,這是透過與其他數據標準化的方式所完成的。如果您選擇正確的數據,即便是基本的數據回歸也能產生深遠的影響。
我們與 Cortex Xpanse 平台合作的另一個重要層面就是使用我們所說的精準 AI。Palo Alto Networks 這種技術和程序的獨特組合使 Xpanse 能夠即時偵測和防禦攻擊。在將機器學習、深度學習和生成式 AI 進行結合,並在純粹網路安全領導者的全球最大安全數據湖中進行訓練後,像 ASM 這樣的網路安全策略得到難以估計的提升。這是透過以下方式發生的:
- 即時阻止威脅變體,無需依賴特徵碼。
- 了解非結構化的數據並防止敏感資訊外洩。
- 使用 GenAI 建立新的攻擊方式,持續提高偵測率並減少誤判。
這些功能已整合到 Cortex Xpanse 中,以建立更強大、更聰明且更具彈性的 ASM 防禦架構。具體而言,就是利用最多樣化和最高品質的數據、使數據可共享和可存取的平台化方法以及正確的人工智慧和網路安全專業知識來建立最準確和可操作的模型。
展望前景
對於資訊安全長和所有網路安全從業人員來說,準確預測攻擊者的下一步非常重要。幸運的是,我們可以回顧過去、了解攻擊者確實致力於執行他們的任務,並擁有達成目標的技能和工具。我們的工作是確保我們擁有正確的工具、策略和程序來防止這種情況發生。
我們必須超越現有的創新技術,採取更具策略性的方法來預測和阻止攻擊。資訊安全長必須與高階主管合作夥伴和董事會密切合作,並採取更積極主動的心態。前面我們談到「測試左移」的概念,但我們必須更積極主動地思考和實行。請記住,當資產遭到入侵時,實作任何有意義的補救措施可能都為時已晚。
如果您談論的是未受管理的資產,這一點尤其重要,遺憾的是,對於財星 500 大企業來說,未受管理的資產往往佔所有資產的 30% 左右。如果您在網際網路上擁有未受管理的資產,您就沒有時間回應。您不太可能知道該資產何時遭到入侵,因此,入侵後發生的所有橫向移動現在都發生得更快,且不受監控。
當然,進行正確的財務和人力資源投資是適當 ASM 和高效率網路安全解決方案的前提,特別是在發現和處理新型 AI 攻擊時更是如此。鑑於我們必須加以保護之資產的重要性,現在是採取全新思維和創意解決方案的時候。
我們有機會領先攻擊者並保持領先。我們不要錯過這個機會。