涉及到网络弹性和人工智能时,一定要将想象力发挥到极限
1967 年,阿波罗 1 号发生火灾,三名宇航员不幸遇难。火灾发生后,美国国会召开了一次听证会,讨论火灾原因和应对措施。德高望重的宇航员 Frank Borman 在委员会作证时,被问到了一个直截了当的问题:“起火的原因是什么?”
他没有给出充满技术细节的答案,而是简单却意味深长地回答道:“想象力的失败。”
我想告诉我所有的网络安全同事和他们的老板,我们的网络弹性——我们从网络攻击中立即全面恢复并将运营影响降至最低的能力——面临的危险比以往任何时候都更大,除非我们发挥自身的想象力。而这一努力的灵感来源既是对我们的威胁,也让我们的力量倍增:人工智能 (AI)。
一方面,AI 已经被网络犯罪分子广泛而熟练地运用,从流氓民族国家、恶意内部人士到独狼黑客。除了坚持不懈之外,这可能是他们最强有力的武器。但另一方面,这也是我们最大的财富,是我们比攻击者领先一步的最大希望......只要我们发挥想象力。
对我们复原力的威胁
两年前,我写过关于后疫情世界网络安全的文章。尽管在我写下这些文章的当时,疫情还没有正式“落下帷幕”,但我强调了 CISO 和 CIO 需要落实好计划,确保在我们最终击退疫情时加强网络安全和网络弹性。这是为什么呢?很明显,未来可能会出现另一种病毒威胁,我们必须确保能够抵御其影响。毕竟,网络攻击者也学到了一些东西。
随后,生成式 AI 应运而生。
回想就在短短几年前,rootkit 可以在暗网上轻易获取,通常是由粗制滥造的网络钓鱼电子邮件触发的。现在,黑客们使用的是像 ChatGPT 这样广泛可得而且更加成熟的 GenAI 工具。还记得那些满是拼写、语法、标点和句法错误的钓鱼电子邮件吗?一去不复返了。黑客需要做的就是让 ChatGPT 为自己制作一封毫无瑕疵的电子邮件。
对我们复原力的另一个重要威胁是我们过去已经看到和经历过的,只不过现在正处于超速状态。我说的就是总统选举——但不仅仅是在美国。2024 年,全世界将举行 60 多场选举,选出国家领导人。对于那些想要通过虚假信息、深度造假,以及针对单一选民的偏见和恐惧而精心挑选的信息来挑拨民众的政治黑客来说,这真是一个忙碌的日子。
我可能甚至都不需要提到由 AI 引发的针对金融机构的勒索软件。即使银行和其他财富及敏感数据存储库已经建立了最先进的网络安全防御,但由于坏人对 AI 和机器学习算法的巧妙、创造性使用,他们还是不断来袭。
我们需要做什么
对于我们这些肩负着确保系统正常运行和数据得到保护重任的人——CISO、企业高管和网络安全行业领导者来说,必须明确网络弹性的“好”是什么样子。
有一点是明确的:必要时,我们必须能够在不涉及任何人的情况下阻止最复杂的攻击。我并不是说我们不需要优秀的网络侦探和尽职尽责的安全分析师;我们当然需要。但我们必须摒弃这样一种心态:如果没有直接的人工干预,我们就不能相信 AI。我们必须信任 AI 模型。如果 AI 告诉我们防火墙有问题,我们必须接受并主动阻止潜在的攻击。没有时间进行人工分流来告诉我们这是有根据的攻击还是误报。一秒钟的延误都可能造成灾难性的后果。人类可以也应该增强 AI 模型,当然也要训练 AI 模型,但人类不能成为瓶颈。我们的目标必须是尽可能接近实时,而没有 AI,我们就无法做到这一点。
我们还必须重新设想管理业务风险的方法。今天,我们的企业不仅要应对不断扩大的攻击面,还要处理失控的数据扩散,支持随时随地工作的员工,管理复杂的供应链,满足越来越严格的监管要求。年复一年,这些都将变得更加复杂和关键。
我们还应该重新构想我们的安全框架。这不仅仅是技术或流程,而是整个网络安全和复原力战略。我们需要现代化、具有前瞻性的指标来正确衡量安全效果。如果我们不能告诉自己——更不用说我们的领导层同事和董事会成员——我们的努力是否真的奏效,我们就会迷失方向。
最后,我们的威胁响应必须比以往任何时候都更快、更自动化、更智能、更以情境为导向。我们是要把每一个警报都当作对我们生存的直接威胁来追查,还是要以同样的重视程度来处理每一个警报?
AI 改变我们的安全工作方式
要想了解 AI 能为我们的对手和客户做些什么,最好的办法就是实际接触它。十多年来,我们一直在 Palo Alto Networks 的产品中加入 AI 技术。无论是作为领先的网络安全技术合作伙伴,还是作为犯罪分子的一个巨大潜在攻击点,AI 在多个方面都为我们呈现了巨大的推动力。
它可以帮助我们和我们的客户提高安全团队的效率和效力——这是随着安全威胁变化速度加快而必须具备的能力。它还能帮助企业在没有人工干预的情况下阻止复杂的攻击。
为此,各企业必须:
- 采集和管理正确的数据。拥有大量数据并不一定就能解决问题;您需要息息相关的、与具体情境相适应的数据,才能最大限度地将 AI 用于网络安全。
- 采用平台方法。再次强调,“更多技术”并不是我们应该追求的。相反,技术的设计和部署方式应该有利于促进效率、智能化和快速反应,而不仅仅是将一堆不同的工具拼接在一起。
- 利用深厚的专业知识。这种专业知识必须以人类智慧的形式出现,当然也包括人工智能。对于 CISO、CIO 及其业务部门的同事来说,AI 的重要性与日俱增。但是,人类的智慧仍然至关重要,AI 驱动的自动化工具将人类的智慧从琐碎的任务和繁重的工作中解放出来,帮助我们聪明而敬业的员工去做一些直到最近似乎还难以想象的事情。
我们还应该重新构想我们的安全框架。这不仅仅是技术或流程,而是整个网络安全和复原力战略。我们需要现代化、具有前瞻性的指标来正确衡量安全效果。如果我们不能告诉自己——更不用说我们的领导层同事和董事会成员——我们的努力是否真的奏效,我们就会迷失方向。
最后,我们的威胁响应必须比以往任何时候都更快、更自动化、更智能、更以情境为导向。我们是要把每一个警报都当作对我们生存的直接威胁来追查,还是要以同样的重视程度来处理每一个警报?
行动号召:部署 AI 来实现网络弹性的执行清单
我喜欢在思考和行动中,为我的同事和团队提供切实可行的步骤,以解决问题和利用机会。我的解释方式不太文雅,“那怎么办呢?”
我只是占用你们一天中的几分钟时间,来介绍一个问题的来龙去脉,我知道你们都在夜以继日地工作,并关于为什么需要解决这个问题提出看法。现在,我将就企业如何有效、安全地利用 AI 提高网络弹性,谈谈我的“那怎么办呢”想法。
第 1 步:记录所有内部 AI 风险。这可能是最难发挥想象力的一个领域,但却能为网络弹性带来最大好处。如果没有详细的处理方法,那么要考虑到所有内部 AI 风险,并让每个人都接受,是非常困难的。举例来说,我猜阅读这篇文章的每个人都在使用 LLM。但你能否确保不让公共 LLM 访问你的源代码?
步骤 2:了解 AI 数据的来龙去脉。你知道哪些浏览器插件或工具使用了 AI 吗?你知道 Grammarly 会使用 AI 阅读所有电子邮件吗?(这些可不是反问句。)
第 3 步:编制 AI 风险外部登记册。例如,Zoom AI 会议摘要放在哪里?HR 聊天机器人是否可以访问薪资或健康信息?如果你不知道,那就快点查清楚。
第 4 步:列出企业应该和不应该使用的所有 AI 服务。创建这个数据库是必不可少的,但并不止于此。如何使其保持更新?毕竟,这不是一成不变的资产。
第 5 步:制定全企业范围的 AI 政策。对于所有喜欢在周末 DIY 的人来说,可以把 AI 想象成一把电锯。这是一个很好的工具,但如果使用不当,就会非常危险。企业中的每个人都应该了解自己能用 AI 做什么,不能做什么,以及为什么。
第 6 步:与值得信赖的网络安全领导者合作。工具的好坏取决于背后的技术合作伙伴。正如我在前面提到的,根据“简化、集成、扩展”的原则部署 AI 驱动的平台来使用 AI 是一个明智的选择。
Frank Borman 50 多年前向美国航天界提出的富有远见的建议得到了采纳。美国国家航空航天局 (NASA) 彻底重新规划了对风险的定义和战略,以及用来对抗和战胜风险的工具、系统和理念。
我们也可以通过战略性和创新性地使用 AI,建立一种更具网络弹性的思维模式,抵御更智能的攻击者和更高风险的威胁载体。
我们只是希望不要发生像阿波罗 1 号那样规模的悲剧才能迫使我们发挥想象力。