AI技术的快速发展正在拉大威胁行为者与网络防御者之间的能力鸿沟,后者在很大程度上仍依赖人工监督。
这是微隔离服务商Illumio行业战略副总裁Raghu Nandakumara的观点。他指出,攻击者正在利用AI工具发现漏洞、武器化漏洞利用方式并大规模执行攻击,而网络防御者对于让自动化系统执行修复操作依然持谨慎态度。
"攻击方始终在尝试尽可能地实现自动化,因为他们没有理由在攻击流程中保留人工环节。"Nandakumara在接受Computer Weekly采访时表示。相比之下,尽管目前已有AI驱动的安全工具可供使用,IT团队仍不愿让软件在未经人工核实的情况下自主隔离系统或将基础设施下线。
"他们不相信AI具备足够的上下文判断能力来做出正确决策,因为AI并不了解相关操作对业务的潜在影响。"他补充道,"可以看到,这种不对称性只会持续扩大,因为人类总会踩下刹车。"
建立"假设已遭入侵"的安全思维
长期以来,企业将大量资金投入终端检测与响应(EDR)以及边界防火墙,但这些投入已无法有效应对AI驱动的对手所带来的机器级攻击速度。
Nandakumara表示,企业必须转而采纳"假设已遭入侵"的安全思维。"不仅要承认网络攻击必然会发生,还要承认网络攻击——即对目标环境的初始入侵——必然会取得成功。"
这要求安全团队构建网络韧性,通过限制攻击的爆炸半径、遏制攻击扩散来抵御攻击。例如,在网络层应用精细化微隔离策略,将已绕过边界控制的攻击者困于有限范围之内。
"归根结底,攻击者是在寻找某种漏洞或错误配置加以利用,从而获取网络访问权限。如果你能更好地保护网络,就能直接阻止或限制攻击者的横向移动。"Nandakumara说道。
不过,他也提醒安全团队,必须清晰区分微隔离作为技术能力本身,与希望通过它实现的策略目标之间的差异。隔离粒度的选择——无论是分隔单个端口和进程,还是简单地将生产环境与非生产环境隔离——本质上是由业务风险驱动的策略问题。
与SASE及现代安全体系的协同配合
尽管安全访问服务边缘(SASE)和零信任网络访问(ZTNA)等技术的采用率持续增长,Nandakumara澄清,微隔离解决的是一个本质上不同的问题。
他将Zscaler、Cloudflare等云安全厂商提供的SASE服务比作大楼的安保人员:"他们本质上都聚焦于正门——如何让可能身处任何地点的用户安全地连接到企业环境?"
而Illumio的工作完全在边界内部展开。"我们要解决的是:如何让你对内部所有连接拥有完整的可见性并加以保护?"Nandakumara表示,两种方案相辅相成,对于构建完整的零信任架构缺一不可。
他还指出,尽管部分云安全厂商已涉足微隔离领域,但许多厂商因底层架构的局限而举步维艰。"试图沿用原有架构思路并将其延伸至微隔离,往往行不通,或者需要为客户环境引入更高的复杂度。"他说。
OT融合带来新的隔离需求
过去,承载工业控制系统和关键基础设施的运营技术(OT)网络通常与互联网隔绝,导致可见性和管控能力受限。然而,随着OT与IT环境的深度融合,企业的OT系统正面临前所未有的暴露风险。
Nandakumara表示,过去18个月里市场发生了巨大变化。OT隔离是否可行这一曾被视为理论探讨的问题,如今已成为关键优先事项。
"在监管因素与OT环境现代化的双重驱动下,我们正开始看到对OT环境隔离的真实需求。"Nandakumara说。
无论面对的是OT威胁还是AI智能体,Nandakumara认为安全的核心原则始终如一,变化的只是规模与速度。
"我认为云计算并未带来全新的安全挑战,它只是让那些本质性的安全问题变得更加重要——因为任何系统都可能因一个配置失误而暴露。"Nandakumara说,"AI也是如此,只不过其规模与复杂程度是我们前所未见的。"
Q&A
Q1:什么是"假设已遭入侵"的安全思维?
A:这是一种主动防御理念,核心是承认网络攻击和初始入侵必然会发生,而非寄希望于完全阻止攻击。基于这一思维,安全团队的目标是构建网络韧性,通过限制攻击的爆炸半径、运用微隔离等手段遏制攻击扩散,将损失控制在最小范围内,而非仅依赖传统的边界防御。
Q2:微隔离技术和SASE有什么区别?
A:两者解决的是不同层面的安全问题。SASE聚焦于"边界入口",帮助远程用户安全接入企业网络,类似大楼的门卫。微隔离则专注于"边界内部",对网络内部的横向连接进行精细化管控和可见性保障。两者相辅相成,共同构成完整的零信任安全架构,缺一不可。
Q3:AI的发展为什么会加剧网络攻防之间的不对称性?
A:攻击者可以充分利用AI实现全程自动化,无需人工介入,从而以极高速度发现漏洞、发起攻击。而防御者出于对AI判断能力的不信任以及对业务影响的顾虑,仍倾向于保留人工审核环节,导致响应速度远落后于攻击速度。这种"攻击全自动、防御靠人工"的结构性差异,使得攻防不对称持续加剧。
热门跟贴