趋势与观点 | 2025年人工智能和网络防御:解码防御策略
“进攻是最好的防守。”
这一原则在生成式人工智能(AI)引发网络安全领域颠覆性变革的时代中引起了强烈的共鸣。面对当前这些明确的风险,我对AI与网络安全的交集可能带来的积极前景持乐观的态度。在2019年的RSA大会上我讨论过AI驱动的恶意软件,然后在2020年的福布斯文章中我探讨过AI入侵我们大脑的风险。本文作为该系列的第三篇领导力思想文章,我将阐述网络安全领导者如何利用AI在网络防御中发挥“好的进攻”。我预计,到2025年,我在下文中描绘的例子将广泛应用于网络防御领域。
在网络安全中,进攻意味着在造成损害之前主动识别和消除威胁,并从过去的事件中持续学习以改善未来的防卫,从而创建相对的攻防优势。这是我们进入AI驱动的网络防御世界旅程的开始。然而有一个针对性的问题浮现:在网络安全领域,我们应该冒着可能遗漏一些常见漏洞的风险而精确聚焦;还是应该力求广泛的关注,全面扫描,尽管这样做可能会忽略隐藏在大量数据深处的细节?
我们讨论的核心在于,在精准防御和区域防御两种战略模式之间找到平衡,这两个概念我们借鉴了二战期间轰炸机黑手党(Bomber Mafia)的战术。马尔科姆·格拉德威尔的同名书籍为我们提供了历史背景,描绘了精确轰炸和区域轰炸之间的巨大分歧。这里我们引用了柯蒂斯·勒梅将军等人的实用主义思想,他们的轰炸策略同样适用于现今AI驱动的网络威胁态势。
精确防御
精确防御包括使用目标明确、由AI驱动的工具来识别、理解和消除特定威胁,这是轰炸机黑手党的战略轰炸方法在网络空间的类比。-
采用自动化的AI驱动的威胁情报平台,实时获取外部签名、战术、技术和程序(TTP)。该平台旨在更快速地识别和抵消网络钓鱼、恶意软件和其他端点威胁,同时通过学习攻击方法来不断进化。
-
实施自动化敏感资产持续监测和警报,从公司使用的API库到个人可识别信息(PII)扫描,以检测暴露风险的特定实例并警告团队。
-
进行AI驱动的持续代码审查,扫描代码异常、跨站脚本攻击、代码注入、缓冲区溢出等问题,并自动替换为安全的代码,同时保持代码的功能完整性。
-
利用AI检测恶意的AI。间接提示注入攻击,大型语言模型(LLM)相关的渗透威胁,以及利用AI来检测多态恶意软件等。
区域防御
区域防御则与勒梅将军提出的区域轰炸策略相呼应,指的是部署广谱防御以构建系统韧性。
-
采用AI驱动的安全信息和事件管理(SIEM)系统,该系统不断地从广泛的网络活动中学习,结合广泛应用AI的蜜罐和防火墙,不仅可以检测,还可以根据网络流量和入侵者的行为模式预测潜在的入侵行为。
-
实施自动化的AI品牌保护,搜索大量社交媒体平台以查找欺诈假冒和诈骗站点,并启动自动化的下架操作。
-
利用AI驱动的身份和访问管理(IAM)系统采取零信任风险基础的访问控制逻辑。该系统持续进行反馈循环,学习和采用“信任但要核实”( trust-but-verify)的方式,迭代以AI技术驱动的身份安全模型。
-
采用AI对实时区块链交易作出自动化监控,如“追踪数字钱包的资金流动”,通过学习识别欺诈活动模式以识别欺诈和犯罪团伙,提供金融风险全景视图。
以上的例子旨在启发灵感及提出AI和网络安全交叉领域可能出现的场景。然而,这个列表并不详尽。随着AI和网络防御的和谐共生和不断发展,到2025年以后,无疑会揭示出更多动态防御的用例。
在不朽的《孙子兵法》中,著名的军事家孙武告诫人们“夫未战而庙算胜者,得算多也,未战而庙算不胜者,得算少也。多算胜,少算不胜,而况于无算乎” —— 现多被理解为没有战术的战略是通向胜利的最慢的途径,而没有战略的战术是失败前的喧嚣。这古老的智慧在我们今天的数字战场中依然有深远的意义。
当我们飞速迈进一个日益互联的未来时,AI无疑成为了一个强大的盟友,一个前线的先锋,帮助我们预测、准备和迅速防御四面八方的网络威胁。然而,我们也需要认同拥有这样一个强大的工具——如果你愿意,可以把它看作是网络空间中的达摩克利斯之剑——是不够的。今天的网络安全领导者需要的不仅仅是反应和回应,他们必须采取积极主动的立场,不断地规划、预测和布局防御,采取必要的策略以始终领先于不断涌来的网络对手一步。
然而,如果我们行动过快,没有一个深思熟虑的方法,我们可能会破坏脆弱的道德领域。我们为何以及何处部署AI 与我们如何在网络安全领域中运用AI同样重要。作为领导者,我们有责任将道德伦理考虑因素紧密地融入我们的AI策略中,建立一个强大的道德指南,引导我们穿越技术可能性的迷宫。
在这场网络安全的棋局中,未来的挑战已经在今天来到我们的面前。拥有一个网络安全计划不再是一个可选项,而是必要的条件,但关键的问题是AI如何帮助网络安全团队更敏捷地适应不断进化的网络威胁。
当我们在精确防御和区域防御之间,速度和道德伦理之间保持微妙的平衡时,让我们记住孙子的永恒话语。战术、战略和智慧必须和谐地结合,铸就一个弹性的防御体系,在AI驱动的未来的挑战中不仅可以经受考验,而且能够茁壮成长。危与机都在眼前,没有反转的可能。数字世界,我们的世界,都取决于它。
作者介绍
Jason Lau, ISACA全球董事会成员,ISACA创新与技术委员会成员, 持有CGEIT、CRISC、CISA、CISM、CDPSE、CISSP、CIPP/E、CIPM、CIPT、CEH、HCISPP、FIP等专业认证。刘教授拥有23年网络及信息安全经验,曾与全球多家财富500强公司合作。刘教授目前担任一家全球金融科技公司的首席信息安全官并在香港浸会大学商学院担任网络安全和隐私特邀教授。另外,刘教授现任香港个人私隐专员公署技术发展常务委员会的成员。在此前,刘教授曾在微软担任网络安全顾问领导职位。