屏幕中的你是真的你吗?在AI无处不在的今天,相信很多人都不敢保证。以ChatGPT、Sora、多模态等概念为代表的新一代AI技术席卷全球,随之而来的是网络风险陡然增加,基于AI的深度伪造欺诈、钓鱼邮件、勒索软件等日益猖獗,对数据中心、关键基础设施,乃至国家安全造成了重大威胁。“这些攻击是全球化的,是利益驱动的。尤其是AI出现后,网络攻击的成本降低了,我们要思考如何把‘防护墙’建得更高。此外,现在的业务都会接入网络,很多应用运行在云端,数据也会上云,人们每时每刻都在产生数据,随时随地都在面临风险。”Palo Alto Networks(派拓网络)大中华区总裁陈文俊表示。
Palo AltoNetworks(派拓网络)大中华区总裁陈文俊
也就是说,AI是一把双刃剑。黑客可以利用AI技术来增强传统网络攻击的有效性,并借助万物互联延伸到边缘环境,数以亿计的智能终端部署了大量的传感器,从工厂的生产线到机器人、无人机,再到路上行驶的汽车、家庭娱乐等等,都是可能被攻击的对象。同时,如Deepfake类的威胁加大了用户识别的难度,开源大模型的普及带来了更深层的隐藏风险。对此,企业需要从被动防御转为主动防御,借助机器智能、自动化的能力来参与决策,构建全局协同的安全防护体系,保护多云和混合云的安全将成为重点。
身处业务风险之中,勒索软件是绕不开的话题。某大型银行在美全资子公司遭到勒索软件攻击、导致部分系统中断的事件造成了不小的风波,这起网络攻击的疑似策划者据称是一个全球活动猖獗的黑客组织,曾入侵超过1600个组织,包括波音公司、英国皇家邮政等机构。自2020年起,Lockbit在全球范围内的勒索赎金已超过1亿美元。可以看到,勒索软件等网络攻击对关键基础设施和核心系统的威胁愈发严重。
根据派拓网络的观察,当前的网络威胁主要呈现三大特征:普遍性,分布在金融、能源、制造等各行各业;更严峻,攻击规模越来越大,攻击速度越来越快,攻击造成的影响越来越大,其原因在于很多攻击会隐藏到系统中,导致长期数据泄漏的长期威胁,并且很多时候数据从攻击到外泄平均仅需要2-3天;更复杂,一些攻击会入侵软件供应链和开源库,攻击手段迭代变快,黑客也可以借助生成式AI自动形成代码,进行变种攻击。更有策略,更具组织性和专业性。
派拓网络在《2024年勒索软件回顾:Unit 42泄密网站分析》报告中指出,2023年勒索软件泄密网站报告的受害者增加了49%,各勒索软件组织共发布3998个帖子。2023年出现的漏洞包括MOVEit和GoAnywhereMFT服务的SQL注入等,针对这些漏洞的零日漏洞攻击使得CL0P、LockBit和ALPHV(BlackCat)等组织在防御者更新漏洞软件之前感染的勒索软件数量激增。例如,针对GoAnywhere MFT的CVE-2023-0669或针对MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。LockBit、Medusa、ALPHV(BlackCat)等组织通过对Citrix Bleed漏洞CVE-2023-4966发起零日漏洞攻击,在2023年11月期间实施了多次入侵。
此外,2023年还出现了至少25个新的泄密网站,并已经推出了勒索软件即服务(RaaS)产品,这些网站占2023年勒索软件发帖总数的约25%,在新组织中,Akira的发帖数居于首位。Akira于2023年3月首次被发现并被描述成一个快速发展的勒索软件组织。研究人员通过与Conti领导团队相关的加密货币交易将该组织与Conti联系起来。2023年泄密网站发帖数排名第二的是8Base勒索软件,8Base是自2022年以来活跃的勒索软件组织之一,但该组织在2023年5月才开始公布受害者。
在2023年的3998个泄密网站帖子中,LockBit勒索软件仍最为活跃,有928个组织,占到总数的23%。随着Conti、Hive、Ragnar Locker等组织的倒台,LockBit已成为许多攻击者首选的勒索软件,这些攻击者随后成为该组织的成员。LockBit发布了多个可影响Linux和Windows操作系统的变体。通过改变免费软件工具的用途和利用LockBit的快速加密功能,成员可以根据自己的需要定制勒索软件行动。泄密帖子数量排在第二位的是ALPHV(BlackCat)勒索软件,约占2023年泄密网站帖子总数的9.7%。第三名是CL0P勒索软件,约占2023年帖子总数的9.1%。
2023年泄密网站帖子分布情况显示,制造业受勒索软件的影响最大,占到帖子总数的14%。这是由于制造商对其运营技术(OT)系统的可见性通常有限,联网化逐步提升,但对网络缺乏足够的监控,且有时未能落实最佳安全实践。考虑到制造型企业对生产线的连续性要求较高,一旦被勒索遭受的损失是巨大的。位列制造业之后的是法律服务业、高科技行业等。
在中国市场,物流也是易受攻击的行业。“从过去的安全合规驱动,到现在客户已经更多在关注如何去防护更高级的攻击。”Palo Alto Networks(派拓网络)大中华区售前总经理董春涛说,“另外,很多中国企业都在推进业务出海,这就更需要加强网络防御,满足全球各个地区的法律法规。”
Palo Alto Networks(派拓网络)大中华区售前总经理董春涛
对此,派拓网络为企业提出了八项建议:一是落实深度防御策略,除了传统的防火墙、WAF,还要进一步强化,包括创建多个安全控制层,共同提供针对潜在威胁的重叠保护;二是制定事件响应计划,并根据网络安全专家的意见不断审查、更新和测试,以便更好地应对攻击;三是确保攻击面的完全可见性,有助于在漏洞被利用之前发现并减轻其影响;四是在全企业范围内落实零信任网络架构,创建能够防止或限制攻击者在网络中横向移动的安全层;五是落实云安全计划和平台,实现综合全面的云本地安全性,保护云基础设施和应用;六是将MFA作为一项技术控制和安全策略,对所有用户强制执行;七是落实最小权限原则,最大程度减少安全事件的影响;八是利用AI和自动化的力量实现现代化安全运营,减轻分析人员过重的工作负担。
过去,派拓网络的主要业务是做基于应用的防火墙,随着网络安全态势越来越复杂,该公司通过一系列创新和收购,形成了融合云安全、端点安全、安全运营、安全咨询等能力的平台化服务,覆盖硬件、软件和SASE产品。例如,Cortex可以集成数据分析和自动化的SOC能力,结合AI技术防护未知威胁。同时,派拓网络还有Unit 42安全咨询部门,会提供威胁情报、咨询服务,帮助企业应对危机,变被动为主动。Prisma Cloud会在云端保护应用的全生命周期,其采用了云安全左移的理念,把安全置于代码开发的阶段,结合SCA(Software Composition Analysis)软件成分分析,可以帮助企业进行扫描,检查开源代码中是否有漏洞或恶意程序,同时保障软件供应链的可靠性,之后再推进开发和运行。
派拓网络下一代平台帮助企业实现网络转型
借助基于云的虚拟化防火墙技术,派拓网络把NGFW的优势带到了云端,提供虚拟机和容器版本,兼容各类主流公有云,易于部署,可以融入SASE、边缘的资源,对云端、本地的工作负载进行全局防护,具备统一的管理能力,能够在世界上任意区域提供小时级的安全部署。企业可以通过内置云端安全服务(Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering等)的下一代防火墙更好地防范勒索软件威胁。
如果有企业想了解是否受到攻击、云上配置是否有漏洞、是否合规等问题,Strata可以提供态势感知服务,支持硬件、软件和SASE部署。Cortex XSIAM专为SecOps转型而构建,可以把所有的数据和SOC 功能(XDR、SOAR、ASM、SIEM)整合到一个由AI驱动的平台中,将各种数据源的事件联系起来,准确检测并大规模阻止威胁,可以自动执行安全任务,减少人工操作,做到分钟级的反应和检测,企业开箱即可使用这些能力。
因为黑客的攻击已经是通过AI来去做,如果我们再用人手去防是拦不住的,一定是机器对机器。另外我们通过Cortex Xpanse做攻击面管理,借助Xpanse,可以通过全面清查资产,发现之前未发现的攻击面,先于攻击者找到漏洞,并主动降低风险。Cortex Xpanse则可以在整个互联网上持续发现和监控企业的数字攻击面,确保安全运营团队没有暴露盲点。借助Cortex Xpanse,企业发现的资产比使用手动盘点流程跟踪的资产多35%。
事实上,派拓网络在十几年前就开始使用AI精准识别和抵御攻击,并且已经利用生成式AI技术来帮助客户更好地了解、配置和使用产品。如今,派拓网络已在各类产品中采用了4400多个机器学习的模型来处理不同的样本。随着联网的设备越来越多,所面临的攻击形式也是多维的,派拓网络会利用Cortex中的AI算法对庞大的日志进行收集和统计,通过AI算法与大量的攻击样本进行比对,找到关联度最高的原因,找到可疑线索,并给出建议来进行阻断和隔离,这一过程在过去可能要耗费数天,现在甚至几分钟内就可以解决。
“未来三到五年,平台化、AI驱动的主动防御将成为趋势,网络安全市场也会走向整合,聪数千家企业变为几家龙头企业。”陈文俊谈到,“对于派拓网络来说,我们的平台化产品会推动整个市场的整合,帮助客户从被动防御变为主动防御,通过AI驱动帮助客户进行预防、检测、阻断,加上持续不断的技术创新,与客户一起应对未来的安全挑战。”
评论