“生成式AI在提升效率的同时,也会成为攻击者武器库的一部分。生成式AI能够让现有攻击更隐蔽、逃避检测,同时还能生成攻击代码,让自动化的攻击以及漏洞利用的效率变得更高。”网宿安全高级总监胡钢伟对证券时报记者表示。
根据网宿科技旗下网宿安全最新发布的《2023年互联网安全报告》(以下简称《报告》),2023年,网宿安全平台监测到的全球Web应用程序攻击数量达到7309亿次,同比增长30%,Web应用多维度风险持续上升。同时,生成式AI的兴起也增加了网络安全的不确定性与复杂性。《报告》建议企业尽早通过建设WAAP防护体系架构,并结合自身安全风险管理的实际诉求,构建符合现代Web安全威胁态势的整体安全方案。
从攻击手法来看,2023年针对API的攻击占比上升到了63%,《报告》推测这一比例的增长源于生成式AI在网络安全以及入侵攻击方面的应用得到了普及。
胡钢伟认为,生成式AI能够让现有攻击更隐蔽、逃避检测,同时还能生成攻击代码,让自动化的攻击以及漏洞利用的效率变得更高。
对于如何防范生成式AI的威胁,安全牛分析师王剑桥表示,生成式AI的攻击链条核心还是按照“网络杀伤链”模型的六个步骤来进行,包括侦察跟踪、工具构建、载荷投递、漏洞利用、安装植入、命令与控制等,生成式AI更多的是提高效率和提高效果。作为防守方,更重要的是以不变应万变,防护好风险点。一是应主动做好安全意识培训,提升内部员工的防范意识。二是及时查漏补缺,减少风险暴露点。
“尤为重要的是,企业不能再继续单点防护,在生成式AI变成一条攻击链条情况下,每一个暴露点都可能被利用,而生成式AI识别风险点的效率很高,如果仅做单点防护,就会难以全面防护,企业应该多点布防。”王剑桥指出。
胡钢伟也认为,防范生成式AI带来的威胁应回归安全的本质,单点防护已经失灵,企业应该构建体系化主动安全。体系化主动安全包含几个核心,首先风险管理是基础,要收敛暴露面、管理漏洞,以及加强人员意识管理等,其次企业要完善自身体系化安全的建设,最后所谓的用魔法打败魔法,企业可以将AI赋能到防守以及安全运营方面,提升防护效率。
网宿安全已经将AI能力赋能到整体防护能力上,其中较为典型的应用场景是Bot智能识别,基于AI的智能识别已经贡献了超40%的Bot识别率,而且这一比例还在上升。
在网宿安全看来,传统的WAF已经难以应对现代化Web应用的威胁趋势,Gartner提出的WAAP(Web应用和API保护)成为防护选择。WAAP通过集成Web应用防火墙、DDoS防护、Bot管理、API安全、威胁情报和自动化响应等安全功能,可以提供全面的威胁检测和防御体系。据悉,网宿安全基于WAAP和风险管理理念构建的全站防护解决方案,已在多个行业和场景中应用落地。