在當前的云環境中,機器人與自動化工具正逐漸成為最大的安全隱憂。網絡犯罪分子正積極利用自動化手段來竊取憑證、轉移資金,并策劃其他各種惡意活動。據Sysdig首席信息安全官Sergej Epp透露,盡管目前全自動化的威脅尚不多見,且主要攻擊目標為配置錯誤,但這些攻擊手段正在逐步進化,以執行更高級別的攻擊,例如安裝加密挖礦軟件或在系統間進行橫向移動。
這種攻擊自動化帶來的直接影響是攻擊者的駐留時間顯著縮短。傳統攻擊的駐留時間往往以天為單位,而自動化攻擊卻能在短短5分鐘內泄露數據。Epp預測,未來的攻擊將更加自動化,現有的“攻擊機器人”將通過使用更新的大型語言模型得到升級,這無疑給網絡安全專家帶來了巨大挑戰。他們深知需要采取哪些措施來保護組織,但問題在于能否迅速行動。
Epp還警告稱,針對那些資源匱乏、防御措施不足的“網絡底層公司”的攻擊將會大幅增加。為了應對這一威脅,他建議采取與端點安全措施并行的一系列步驟。首要任務是創建云資產清單,并識別出任何可能存在的配置錯誤,這些錯誤可能為數眾多。接下來,需要優先處理并修復這些問題。然而,由于每日掃描無法有效應對實時威脅,這一資產清單和漏洞識別過程必須持續進行。
在業務方面,對AI的快速采用加劇了這一問題的復雜性。然而,Epp指出,大多數人對AI安全的理解存在誤區,他們過于關注模型本身,而忽視了基礎設施的重要性。他強調,Hugging Face庫中有超過180萬個模型,組織不能輕易信任它們,因為傳統掃描對不透明模型無效。目前還沒有有效的技術解決方案來防范提示注入攻擊,防火墻也束手無策,因為與AI相關的網絡流量具有概率性而非確定性。
Epp進一步警告說,這些攻擊不僅限于攻擊者直接訪問聊天機器人的情況。惡意提示可能隱藏在共享文檔或上傳處理的PDF發票中。為了應對這一威脅,他建議將AI工作負載視為任何其他云工作負載,并應用運行時安全最佳實踐。基本原則如假設已發生違規、零信任和縱深防御仍然適用,但必須在每個容器中增加運行時安全智能體,以檢測不當設置或活動,如權限過大的應用程序接口(API)或試圖移出容器的行為。
盡管安全運營中心(SOC)擁有必要的數據,但挑戰在于如何將正確的數據子集提供給正確的智能體以采取正確的行動。障礙包括人才短缺和開發所需軟件的時間。云的短暫性質(60%的容器運行時間少于一分鐘)使得自動化變得至關重要。然而,從這些容器收集安全數據并不容易,Epp指出,存儲超過20%的可用數據可能不切實際。關鍵在于收集哪20%的數據。Sysdig采用自上而下的視角來解決這一問題,盡管這并不容易,但公司廣泛的Kubernetes背景使其成為可能。
Sysdig Sage AI分析師能夠將數據轉化為實時建議,盡管大多數安全運營仍然依賴人工來分析數據并采取行動。Epp表示,Sysdig將自己定位為自主云安全之旅的領導者,但他也承認,完全自主的系統需要高度信任,以確保不會破壞任何東西。對于網絡犯罪分子來說,AI觸發錯誤的成本很低,可能只是暴露他們的存在或需要重新嘗試。然而,對于防御者來說,錯誤可能導致嚴重的財務和聲譽損失,例如意外導致主要在線銀行或零售商宕機,這將引發廣泛關注并導致業務流失。Epp強調:“我們需要加快采用安全控制。要在業務中快速發展,我們在安全方面也必須快速發展。”
