AI武器化下的新型网络欺诈：SOC安全防护的严峻挑战

企业面临着前所未有的网络安全威胁。超过40%的企业欺诈活动如今都由AI驱动，这些AI驱动的恶意程序能够模仿真实用户行为，绕过传统防御系统，其攻击速度之快，甚至让装备精良的安全运营中心（SOC）也难以招架。

2024年，近90%的企业成为攻击目标，其中一半企业损失超过1000万美元。这些恶意机器人模拟人类行为，构建完整的仿真框架、合成身份和行为欺骗，大规模实施账户接管攻击，轻松绕过传统防火墙、EDR工具和孤立的欺诈检测系统。

攻击者正利用AI以新的方式将机器人武器化。去年，恶意机器人占据了所有互联网流量的24%，其中49%被归类为“高级机器人”，它们能够模拟人类行为，执行复杂的交互操作，包括账户接管（ATO）。

2024年超过60%的账户接管（ATO）尝试均由机器人发起，它们能够利用模拟人类行为的仿真框架实时窃取受害者的凭据。攻击者的技术手段现已能够将武器化的AI和行为攻击技术结合到单一的机器人策略中。

这对许多企业来说是致命的打击，这些企业本已在与恶意机器人作斗争，而这些机器人的入侵尝试往往无法被安全运营中心（SOC）中现有的应用程序和工具捕获。

Qualys威胁研究部门主管Ken Dunham最近表示：“一旦被威胁参与者积累，它们就可以被武器化。机器人拥有令人难以置信的资源和能力，可以对目标进行匿名、分布式、异步攻击，例如暴力破解密码攻击、分布式拒绝服务攻击、漏洞扫描、尝试利用等等。”

机器人如同虚拟版的攻击者，其攻击速度可达每秒数百万次尝试，目标涵盖大型企业和备受瞩目的活动，例如泰勒·斯威夫特的演唱会。

DataDome观察到，泰勒·斯威夫特演唱会的全球盛况为攻击者创造了可观的投资回报率，促使他们开发购票机器人，大规模自动化黄牛行为。这些机器人席卷了Ticketmaster，造成了35亿次请求的激增，导致网站多次崩溃。数千名粉丝无法访问预售专场，最终，公开售票不得不取消。

旅程时间编排在整个用户会话中持续评估风险——从登录到交易后——以检测AI驱动的机器人。它用实时、全会话监控取代单点欺诈检查，以应对行为模仿和上下文切换攻击。来源：Gartner，《创新洞察：IAM旅程时间编排》，2025年2月

DataDome、Ivanti和Telesign这三家公司的方案展现了将安全防护从静态检查点转向持续的实时评估的优势。它们也展示了为什么未来SOC的成功必须依赖于实时数据。这三家公司的平台都已发展到能够为每个用户交互（精确到API调用）提供评分，从而在每个会话中，针对每个设备上的每种行为提供更全面的上下文洞察。

这三家公司脱颖而出的原因在于，它们在加强欺诈预防、自动化核心安全功能的同时，不断改进用户体验。它们都在实时平台上结合了这些优势，这些平台也是AI驱动的，并且不断学习——这是与包括僵尸网络在内的武器化AI武器库保持同步的两个核心要求。

作为实时机器人防御领域的领导者，DataDome在AI密集型行为建模方面拥有丰富的专业知识，其平台包含超过85,000个机器学习模型，可在30多个全球PoP同时交付。其全球覆盖范围使其能够每天检查超过5万亿个数据点。其平台能够识别的每个网络、移动和API请求都将使用多模态AI实时评分（通常在2毫秒内），该AI关联设备指纹、IP熵、浏览器标头一致性和行为生物特征。

Fabre表示：“我们的理念是像攻击者一样思考。这意味着要对每个请求进行重新分析——不假设信任——并不断重新训练我们的检测模型以适应零日战术。”

与依赖静态启发式方法或验证码的传统系统不同，DataDome的方法最大限度地减少了对已验证的合法用户的干扰。其误报率低于0.01%，这意味着不到万分之一的人类访客会看到挑战屏幕。即使受到挑战，该平台也会隐形地继续进行行为分析以验证用户的合法性。

Fabre补充道：“机器人现在不仅仅是在解决验证码——它们解决验证码的速度比人类还快。这就是为什么我们完全放弃了静态挑战。AI是唯一能够大规模击败AI驱动的欺诈的方式。”

例如：DataDome已被证明能够在毫秒内区分机器人和粉丝，防止批量购买并保护高峰时段的票务公平性——所有这些都在实时进行。在奢侈品零售领域，爱马仕等品牌部署DataDome来保护高需求商品（例如铂金包）免受自动化囤积。

Ivanti通过其Ivanti Neurons for Zero Trust Access和Ivanti Neurons for Patch Management平台，将实时欺诈信号直接集成到SOC工作流程中，从而重新定义了风险管理。Ivanti的首席信息安全官Mike Riemer最近在接受VentureBeat采访时表示：“零信任并不止于登录。我们将其扩展到会话行为，包括凭据重置、付款提交和个人资料编辑都是潜在的利用途径。”

Ivanti Neurons持续评估设备状态和身份行为，标记异常活动并在会话中强制执行最小权限访问。“2025年将是一个转折点，”Ivanti产品管理高级副总裁Daren Goeson补充道，“现在，防御者可以使用生成式AI来关联跨会话的行为，并比任何人类团队更快地预测威胁。”

随着攻击面的扩大，Ivanti的平台帮助SOC团队检测SIM卡交换、减轻横向移动并自动化动态微分段。“我们目前所说的‘补丁管理’更贴切的名称应该是风险管理，或者说你的组织愿意暴露于特定漏洞多长时间？”Ivanti终端安全产品管理副总裁Chris Goettl告诉VentureBeat。“基于风险的算法帮助团队在大量更新的噪音中识别高风险威胁。”

Goeson补充道：“组织应该从被动的漏洞管理转向主动的风险管理方法。通过采用持续的方法，他们可以有效地保护其数字基础设施免受现代网络风险的侵害。”

Telesign通过将会话规模的身份智能带到欺诈检测的前沿，重新定义了数字信任。通过分析超过2200个数字身份信号（从电话号码元数据到设备卫生和IP信誉），Telesign的API提供实时风险评分，在造成损害之前捕获机器人和合成身份。

Telesign首席执行官Christophe Van de Weyer在最近接受VentureBeat采访时表示：“AI是针对AI驱动的欺诈攻击的最佳防御。在Telesign，我们致力于利用AI和ML技术来打击数字欺诈，为所有人确保更安全、更值得信赖的数字环境。”

Telesign的动态风险评分并非依赖于登录或结账时的静态检查点，而是持续评估整个会话中的行为。“机器学习能够不断学习欺诈者的行为，”Van de Weyer告诉VentureBeat，“它可以研究典型的用户行为以创建基线并构建风险模型。”

Telesign的Verify API强调其全渠道战略，通过单个API实现跨SMS、电子邮件、WhatsApp等的身份验证。“验证客户非常重要，因为许多类型的欺诈通常可以在‘前门’被阻止，”Van de Weyer在最近接受VentureBeat采访时指出。

随着生成式AI加速攻击者的复杂性，Van de Weyer发出了明确的行动号召：“AI的出现将数字世界中信任的重要性摆在了首位。优先考虑信任的企业将成为数字经济的领导者。”以AI为核心，Telesign希望将信任转化为竞争优势。

为了实现欺诈防护的规模化，它必须集成到更广泛的安全基础设施堆栈中，并由SOC团队拥有，这些团队使用它来避免潜在的攻击。在线欺诈检测平台和应用程序正被证明与API、身份和访问管理（IAM）、EDR、SIEM和XDR一样重要。VentureBeat看到越来越多的SOC安全团队承担起验证消费者交易如何建模、评分和挑战的责任。