安全领域的“双刃剑”，AI生成式的利用法则

围绕网络勒索事件，几乎是所有国家、行业无法避开的。利益的驱动愈演愈烈，类似LockBit的黑客组织蠢蠢欲动，发动一次又一次的网络攻击。据2023年9月消息称，山东烟台网安部打掉了一个有组织、谋取非法利益的黑客犯罪团伙，该团伙通过网络渗透攻击手段，连续作案300余起，涉案金额超30亿元。

2024年4月8日，Palo Alto Networks(派拓网络)在北京银泰召开了勒索软件威胁回顾与洞察媒体沟通会。“网络攻击分布在各个行业，金融、能源、制造，我们看到网络安全的现状是非常严峻的，一个是网络攻击规模越来越大、二是攻击速度越来越快，三是网络攻击造成的影响越来越大。”派拓网络大中华区总裁陈文俊表示：“为什么勒索软件会带来更大的收益？因为网络入侵以前可能都是先进到一些系统里面隐藏，当拿到相关数据以后再发起攻击。而现在很多时候会在当天便找到漏洞，直接发起攻击。派拓网络调查发现，去年很多时候数据从攻击到外泄平均两三天就可以发生，所以网络攻击速度是越来越快的。”

此外根据派拓网络的调查，网络安全问题的复杂性越来越高。因为随着生成式AI的流行，勒索软件的变体迭代也更加频繁。有研究表明WormGPT、FraudGPT等工具的出现，生成式AI导致网络钓鱼邮件攻击增长135%。据最新市场调研报告数据，生成式AI和云的广泛应用使得恶意机器人（Bad bots）暴涨，占互联网总流量的73％。

生成式AI降低网络攻击的门槛，并更广泛地用于提高钓鱼邮件和社会工程攻击的专业化水平，使得勒索软件更容易渗透企业。同时，生成式AI的攻击内容更加难以被辨别，尤其是借助Bot自动化攻击手段，让攻击者可以更快速、准确地扫描漏洞或对网络发起攻击，大幅增加网络攻击的波及面和有效性。

派拓网络大中华区售前总经理董春涛表示：“生成式AI出现以来，传统的安全自动化大大提升。不过防御手段的能力也大大提升，企业要思考如何更好的利用AI技术来减轻传统安全工作的负载。”

在行业上来讲，黑客对于所有行业都有涉及，但是董春涛称，制造业受其影响最为严重，其次是服务业和法律机构，还有一些高科技行业。因为制造业在很多时候企业整个工厂不同环节是完全隔绝的，对其运营技术（OT）系统的可见性十分有限，缺少网络的足够监控，有时甚至无法落实最佳安全实践。同时给予庞大的基数，制造业无法全面做到安全的保护。所以，一旦被勒索，损失就会非常大。

为此，派拓网络提出了几点建议，首先要落实深度的防御策略，包括高级的防御，包括DNS的安全，包括UR过滤等等一体化高级的安全能力；其次在整个架构上、设备上、技术上提高之外，企业还要制定应急的响应计划，并根据自己的能力，且要积极配合第三方咨询机构，专业的机构往往会制定专业防御规划；第三，确保攻击面的完全可见性，从外部对网络暴漏出的所有服务做检查；第四，在企业范围内落实零信任网络机构；第五，加强对云商资源的保护；六，强调身份验证，将MFA（Multi-Factor Authentication，多因子认证）作为一项技术控制和安全策略，对所有用户强制执行，并且除了单层的认证之外，还要多加几层多重认证方式，以一切手段来提高认证；第七，落实最小权限管理，在IAM（Identity and Access Management，身份和访问管理）上，对其做更小原则的限制，更大程度地减少安全事件的影响；最后，企业要思考如何更好的利用AI技术来减少传统安全工作的负载。

作为安全领域咨询公司，陈文俊提到，派拓网络在十几年前就已采用精准式AI防御，即要精准的了解攻击的来源，又要通过机器学习、算法、小模型来推动AI的网络安全。目前，派拓网络安全平台、云安全平台、安全运营平台均有内嵌AI的算法。所以，生成式AI的发展，也使攻防部署由过去被动式专为主动式的预防，做到网络、云、端间的关联、联防的防护。陈文俊说道：“所以，精准式AI、生成式AI在我们的平台中有所体现。此外，做AI很重要的一个就是数据，你必须要有一些干净的数据，算法效果才会好，这个也是我们的优势。”随后董春涛补充道：“随着十年以来，我们的模型在各种产品里面采用了4,400多个机器学习的模型用来处理不同的样本。因为很多时候AI用例的关键在于你用这个模型做了什么事情。”

事实上，派拓网络也意识到只靠网络安全是无法应对未来的发展，于是派拓网络通过转型、收购在云端、端点、安全运营、咨询等领域开始整合，覆盖硬件、软件和SASE的安全性。同时为了面对更多未知的威胁，派拓网络Cortex可以全面集成数据、分析和自动化的SOC新方法来提供保护。并且设有Unit42安全咨询部门提供威胁情报和安全咨询，以此来帮助企业提前部署安全场景，且在面对威胁时，会在短时间内作出反应。

写在最后：

董春涛提到，作为安全公司，一般都会交换安全情报。所以，安全公司往往会分享自身的情报内容，以便能够做到更加全面的防护。陈文俊表示：“大家在网上能找到CSIRT（计算机安全事件相应团队），这个是安全公司做情报交换的组织，我们公司也是创办这个组织的成员，他们基本上规定一个月要去贡献1000个情报信息。”