AI 时代的新型网络战:身份窃取与零信任防御
网络安全威胁正在演变,不再局限于系统入侵,而是将矛头直指个人身份。深度伪造技术和大型语言模型的武器化,让攻击者能够以惊人的速度模仿高管,窃取凭据,并大规模操纵信任,这无疑是一场前所未有的网络战,而身份安全成为了这场战争的焦点。
攻击者们利用 AI 技术,不断优化攻击手段,导致大规模数据泄露和勒索软件攻击事件频发,创下新的记录,并引发了双重勒索的威胁。
CrowdStrike 的 2024 年全球威胁报告指出,60% 的入侵事件涉及有效凭据,这表明基于身份的攻击正在成为日益严重的威胁。思科执行副总裁兼首席产品官 Jeetu Patel 指出,企业面临着一个根本问题:“攻击越来越协调,但防御却很孤立。这种不协调的差距非常危险。”
Cato Networks 联合创始人兼首席执行官 Shlomo Kramer 也表达了类似的观点:“拼凑起来的安全性解决方案时代已经结束。” Cato Networks 的快速发展证明了企业正在转向统一的云安全解决方案,以消除这些安全漏洞。
从黑客到国家级网络战部队,攻击者们都将大规模窃取身份作为首要目标,并利用这些身份谋取经济和政治利益。
为了应对身份驱动的攻击,安全领导者及其团队必须改变安全策略,采用持续身份验证、最小权限访问和实时威胁检测等措施。VentureBeat 的研究表明,企业正在加倍投入零信任框架及其核心概念,以阻止身份驱动的攻击。
德勤金融服务中心预测,到 2027 年,生成式 AI 可能导致美国欺诈损失达到 400 亿美元,高于 2023 年的 123 亿美元。这一预测突出了深度伪造技术和其他 AI 驱动的欺诈机制带来的日益严重的威胁。
2024 年,深度伪造欺诈企图以每 5 分钟一次的频率发生,导致数字文件伪造事件激增 244%。此外,全球 49% 的企业在 2024 年报告了深度伪造欺诈事件。
Gartner 警告称,盲点正在增加:“范围扩展和日益分布式的 IT 环境正在导致身份访问管理 (IAM) 覆盖范围出现差距。”
深度伪造技术是 AI 驱动的攻击的典型代表,仅去年一年就增长了 3000%。
德勤最近的一项调查发现,在过去 12 个月里,25.9% 的企业遭遇了一起或多起针对财务和会计数据的深度伪造事件。
企业领导者并不像害怕暴力攻击那样害怕身份泄露,因为身份泄露往往悄无声息。基于身份的攻击最致命之处在于其出其不意。攻击者通常潜伏在网络中数月,安装勒索软件,窃取数千个身份,然后发动双重勒索攻击,将身份作为人质。
传统的基于周边的安全模型已经成为一种负担。在当今由 AI 驱动的自动化攻击时代,任何依赖于周边安全系统的组织都处于劣势。
网络攻击无情地瞄准端点,首先夺取身份控制权,然后控制整个网络,信任成为了不可承受的弱点。在端点之间或网络之间假设信任,会留下许多漏洞,攻击者利用改进的侦察技术识别这些漏洞。
抵御身份攻击的唯一可行防御是零信任,这是一个基于持续验证、最小权限访问和假设已发生攻击的框架。有关蓝图,请参考美国国家标准与技术研究院 (NIST) 的零信任架构。这是组织规划和实施零信任框架、部署模型和用例以加强企业安全的最常用文档之一。
零信任为保护组织提供了全新的视角和方法。企业应从已经遭到攻击的角度出发,思考如何应对。
对端点和系统进行细分,确保每个身份及其众多凭据都拥有最小权限访问,并持续监控每个服务或访问请求,跟踪这些请求以识别异常活动,这些都是至关重要的。在网络中(更糟糕的是在端点上)假设信任,无异于敞开大门,让攻击者潜伏数月甚至数年而不被发现。
通过实施最小权限,身份只能在特定时间段内使用资源(无论是数据源、应用程序还是网络)。正如 Patel 所解释的那样:“安全是一个数据游戏。如果你只是聚合遥测数据,你就无法获得所需的安全性。”
如今,每个 IAM 供应商都拥有 AI 驱动的异常检测功能,能够在攻击者横向移动之前自动识别凭据滥用和权限提升。许多供应商还在追求机器身份管理,因为机器身份的数量已经超过了人类身份 45 倍——典型的企业报告拥有 250,000 个机器身份。
Patel 观察到:“你无法再以人类的规模应对这些攻击。你必须以机器的规模应对它们。” 这种关注反映在供应商的产品路线图中。仅在 2024 年,Cato Networks 就扩展了其安全访问服务边缘 (SASE) 云平台,增加了扩展检测和响应 (XDR)、端点保护平台 (EPP)、数字体验监控 (DEM) 和物联网/OT 安全,以应对全球运营中非人类身份的激增。
Gartner 强调了一种正在转变的策略:“随着企业认识到点解决方案正在失效,IAM 正在不断发展。安全领导者现在正在寻求能够在混合和多云环境中提供以身份为中心的防御的集成安全平台。”
为了支持这一点,Cato Networks 报告称,2024 年其年度经常性收入 (ARR) 增长了 46%,超过了 2.5 亿美元。该公司将这一增长归功于企业寻求单一的云平台,而不是将多个点解决方案拼凑在一起。超过 3000 家企业正在采用 Cato SASE,这表明企业正在明显转向集成的云安全解决方案。这种广泛的采用表明,零信任解决方案已迅速成为主流防御策略。
Gartner 的身份治理和管理 (IGA) 市场指南重点介绍了引领这一转变的关键供应商:
- IGA:SailPoint、Saviynt、Omada;
- 特权访问管理 (PAM):CyberArk、Delinea、BeyondTrust;
- 访问管理:Okta、Ping Identity、ForgeRock;
- 身份威胁检测和响应 (ITDR):CrowdStrike、Cisco、Zscaler、SentinelOne;
- 机器身份管理:Venafi、Keyfactor、AWS、HashiCorp。
Patel 告诉 VentureBeat,他预测市场将出现大规模整合。“未来不会有 3500 家安全供应商。将只有少数几个平台能够真正跨领域整合安全。”
对于首席信息安全官 (CISO) 来说,这意味着选择能够统一 IAM、ITDR 和零信任原则的自适应平台,而不是管理会导致信息孤岛的独立工具。那些能够将身份安全、威胁检测和 AI 驱动的自动化无缝集成到一个智能系统中的供应商将成为市场的主导者。
网络战正在进行,身份安全岌岌可危。从国家级网络战部队到提供 AI 驱动的自动化攻击的勒索软件团伙,攻击者们正在快速行动。
黑客以机器的速度行动,利用身份漏洞,武器化信任,在安全团队做出反应之前渗透到组织内部。
数据很清楚:60% 的入侵事件涉及有效凭据;深度伪造欺诈企图每 5 分钟发生一次;基于身份的攻击潜伏数月,然后爆发为双重勒索赎金要求。与此同时,依赖于周边防御和孤立的 IAM 工具的传统安全模型正在失效,使企业暴露于复杂的 AI 驱动的威胁之下。
选择很明确:零信任或零机会。
