螢幕中的你是真的你嗎?在AI無處不在的今天,相信很多人都不敢保證。以ChatGPT、Sora、多模态等概念為代表的新一代AI技術席卷全球,随之而來的是網絡風險陡然增加,基于AI的深度僞造欺詐、釣魚郵件、勒索軟體等日益猖獗,對資料中心、關鍵基礎設施,乃至國家安全造成了重大威脅。“這些攻擊是全球化的,是利益驅動的。尤其是AI出現後,網絡攻擊的成本降低了,我們要思考如何把‘防護牆’建得更高。此外,現在的業務都會接入網絡,很多應用運作在雲端,資料也會上雲,人們每時每刻都在産生資料,随時随地都在面臨風險。”Palo Alto Networks(派拓網絡)大中華區總裁陳文俊表示。
Palo AltoNetworks(派拓網絡)大中華區總裁陳文俊
也就是說,AI是一把雙刃劍。黑客可以利用AI技術來增強傳統網絡攻擊的有效性,并借助萬物互聯延伸到邊緣環境,數以億計的智能終端部署了大量的傳感器,從工廠的生産線到機器人、無人機,再到路上行駛的汽車、家庭娛樂等等,都是可能被攻擊的對象。同時,如Deepfake類的威脅加大了使用者識别的難度,開源大模型的普及帶來了更深層的隐藏風險。對此,企業需要從被動防禦轉為主動防禦,借助機器智能、自動化的能力來參與決策,建構全局協同的安全防護體系,保護多雲和混合雲的安全将成為重點。
身處業務風險之中,勒索軟體是繞不開的話題。某大型銀行在美全資子公司遭到勒索軟體攻擊、導緻部分系統中斷的事件造成了不小的風波,這起網絡攻擊的疑似策劃者據稱是一個全球活動猖獗的黑客組織,曾入侵超過1600個組織,包括波音公司、英國皇家郵政等機構。自2020年起,Lockbit在全球範圍内的勒索贖金已超過1億美元。可以看到,勒索軟體等網絡攻擊對關鍵基礎設施和核心系統的威脅愈發嚴重。
根據派拓網絡的觀察,目前的網絡威脅主要呈現三大特征:普遍性,分布在金融、能源、制造等各行各業;更嚴峻,攻擊規模越來越大,攻擊速度越來越快,攻擊造成的影響越來越大,其原因在于很多攻擊會隐藏到系統中,導緻長期資料洩漏的長期威脅,并且很多時候資料從攻擊到外洩平均僅需要2-3天;更複雜,一些攻擊會入侵軟體供應鍊和開源庫,攻擊手段疊代變快,黑客也可以借助生成式AI自動形成代碼,進行變種攻擊。更有政策,更具組織性和專業性。
派拓網絡在《2024年勒索軟體回顧:Unit 42洩密網站分析》報告中指出,2023年勒索軟體洩密網站報告的受害者增加了49%,各勒索軟體組織共釋出3998個文章。2023年出現的漏洞包括MOVEit和GoAnywhereMFT服務的SQL注入等,針對這些漏洞的零日漏洞攻擊使得CL0P、LockBit和ALPHV(BlackCat)等組織在防禦者更新漏洞軟體之前感染的勒索軟體數量激增。例如,針對GoAnywhere MFT的CVE-2023-0669或針對MOVEit Transfer SQL Injection的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708等。LockBit、Medusa、ALPHV(BlackCat)等組織通過對Citrix Bleed漏洞CVE-2023-4966發起零日漏洞攻擊,在2023年11月期間實施了多次入侵。
此外,2023年還出現了至少25個新的洩密網站,并已經推出了勒索軟體即服務(RaaS)産品,這些網站占2023年勒索軟體發帖總數的約25%,在新組織中,Akira的發帖數居于首位。Akira于2023年3月首次被發現并被描述成一個快速發展的勒索軟體組織。研究人員通過與Conti上司團隊相關的加密貨币交易将該組織與Conti聯系起來。2023年洩密網站發帖數排名第二的是8Base勒索軟體,8Base是自2022年以來活躍的勒索軟體組織之一,但該組織在2023年5月才開始公布受害者。
在2023年的3998個洩密網站文章中,LockBit勒索軟體仍最為活躍,有928個組織,占到總數的23%。随着Conti、Hive、Ragnar Locker等組織的倒台,LockBit已成為許多攻擊者首選的勒索軟體,這些攻擊者随後成為該組織的成員。LockBit釋出了多個可影響Linux和Windows作業系統的變體。通過改變免費軟體工具的用途和利用LockBit的快速加密功能,成員可以根據自己的需要定制勒索軟體行動。洩密文章數量排在第二位的是ALPHV(BlackCat)勒索軟體,約占2023年洩密網站文章總數的9.7%。第三名是CL0P勒索軟體,約占2023年文章總數的9.1%。
2023年洩密網站文章分布情況顯示,制造業受勒索軟體的影響最大,占到文章總數的14%。這是由于制造商對其營運技術(OT)系統的可見性通常有限,聯網化逐漸提升,但對網絡缺乏足夠的監控,且有時未能落實最佳安全實踐。考慮到制造型企業對生産線的連續性要求較高,一旦被勒索遭受的損失是巨大的。位列制造業之後的是法律服務業、高科技行業等。
在中國市場,物流也是易受攻擊的行業。“從過去的安全合規驅動,到現在客戶已經更多在關注如何去防護更進階的攻擊。”Palo Alto Networks(派拓網絡)大中華區售前總經理董春濤說,“另外,很多中國企業都在推進業務出海,這就更需要加強網絡防禦,滿足全球各個地區的法律法規。”
Palo Alto Networks(派拓網絡)大中華區售前總經理董春濤
對此,派拓網絡為企業提出了八項建議:一是落實深度防禦政策,除了傳統的防火牆、WAF,還要進一步強化,包括建立多個安全控制層,共同提供針對潛在威脅的重疊保護;二是制定事件響應計劃,并根據網絡安全專家的意見不斷審查、更新和測試,以便更好地應對攻擊;三是確定攻擊面的完全可見性,有助于在漏洞被利用之前發現并減輕其影響;四是在全企業範圍内落實零信任網絡架構,建立能夠防止或限制攻擊者在網絡中橫向移動的安全層;五是落實雲安全計劃和平台,實作綜合全面的雲本地安全性,保護雲基礎設施和應用;六是将MFA作為一項技術控制和安全政策,對所有使用者強制執行;七是落實最小權限原則,最大程度減少安全事件的影響;八是利用AI和自動化的力量實作現代化安全營運,減輕分析人員過重的工作負擔。
過去,派拓網絡的主要業務是做基于應用的防火牆,随着網絡安全态勢越來越複雜,該公司通過一系列創新和收購,形成了融合雲安全、端點安全、安全營運、安全咨詢等能力的平台化服務,覆寫硬體、軟體和SASE産品。例如,Cortex可以內建資料分析和自動化的SOC能力,結合AI技術防護未知威脅。同時,派拓網絡還有Unit 42安全咨詢部門,會提供威脅情報、咨詢服務,幫助企業應對危機,變被動為主動。Prisma Cloud會在雲端保護應用的全生命周期,其采用了雲安全左移的理念,把安全置于代碼開發的階段,結合SCA(Software Composition Analysis)軟體成分分析,可以幫助企業進行掃描,檢查開源代碼中是否有漏洞或惡意程式,同時保障軟體供應鍊的可靠性,之後再推進開發和運作。
派拓網絡下一代平台幫助企業實作網絡轉型
借助基于雲的虛拟化防火牆技術,派拓網絡把NGFW的優勢帶到了雲端,提供虛拟機和容器版本,相容各類主流公有雲,易于部署,可以融入SASE、邊緣的資源,對雲端、本地的工作負載進行全局防護,具備統一的管理能力,能夠在世界上任意區域提供小時級的安全部署。企業可以通過内置雲端安全服務(Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering等)的下一代防火牆更好地防範勒索軟體威脅。
如果有企業想了解是否受到攻擊、雲上配置是否有漏洞、是否合規等問題,Strata可以提供态勢感覺服務,支援硬體、軟體和SASE部署。Cortex XSIAM專為SecOps轉型而建構,可以把所有的資料和SOC 功能(XDR、SOAR、ASM、SIEM)整合到一個由AI驅動的平台中,将各種資料源的事件聯系起來,準确檢測并大規模阻止威脅,可以自動執行安全任務,減少人工操作,做到分鐘級的反應和檢測,企業開箱即可使用這些能力。
因為黑客的攻擊已經是通過AI來去做,如果我們再用人手去防是攔不住的,一定是機器對機器。另外我們通過Cortex Xpanse做攻擊面管理,借助Xpanse,可以通過全面清查資産,發現之前未發現的攻擊面,先于攻擊者找到漏洞,并主動降低風險。Cortex Xpanse則可以在整個網際網路上持續發現和監控企業的數字攻擊面,確定安全營運團隊沒有暴露盲點。借助Cortex Xpanse,企業發現的資産比使用手動盤點流程跟蹤的資産多35%。
事實上,派拓網絡在十幾年前就開始使用AI精準識别和抵禦攻擊,并且已經利用生成式AI技術來幫助客戶更好地了解、配置和使用産品。如今,派拓網絡已在各類産品中采用了4400多個機器學習的模型來處理不同的樣本。随着聯網的裝置越來越多,所面臨的攻擊形式也是多元的,派拓網絡會利用Cortex中的AI算法對龐大的日志進行收集和統計,通過AI算法與大量的攻擊樣本進行比對,找到關聯度最高的原因,找到可疑線索,并給出建議來進行阻斷和隔離,這一過程在過去可能要耗費數天,現在甚至幾分鐘内就可以解決。
“未來三到五年,平台化、AI驅動的主動防禦将成為趨勢,網絡安全市場也會走向整合,聰數千家企業變為幾家龍頭企業。”陳文俊談到,“對于派拓網絡來說,我們的平台化産品會推動整個市場的整合,幫助客戶從被動防禦變為主動防禦,通過AI驅動幫助客戶進行預防、檢測、阻斷,加上持續不斷的技術創新,與客戶一起應對未來的安全挑戰。”
(8669070)