人工智能 (或人工智能)正在制造 钓鱼 更智能的电子邮件 恶意软件 更狡猾,而且 凭证盗窃 这使得我们每个人都面临更大的攻击和入侵风险。
犯罪分子正在利用人工智能进行一些传统安全工具根本无法阻止的活动。他们让攻击看起来像是正常的日常活动。
不吓人,也不显眼,就是很普通很平常的事。
人工智能的这种转变改变了你的组织需要思考和准备的方式。
以前的钓鱼邮件很容易识别:语法错误百出,格式怪异,还自称是尼日利亚王子,要你提供银行信息。现在,就连我们的母亲们都学会了翻白眼,直接删除。
后来,黑客们变得更加狡猾,开始在钓鱼邮件中加入紧迫感和煽情元素。他们利用时事热点、环境灾难或人为灾难,在我们的邮箱里塞满我们想要点击的链接。通过培训和耐心,我们大多数人都能避免这些更复杂的攻击。
随后,人工智能被应用到电子邮件攻击中,利用其伪装性和融入日常生活的细节。这就是威胁不断演变并屡屡得逞的原因。
人工智能驱动的钓鱼邮件有所不同。它们会利用关于贵公司、团队和供应商的公开信息,精心炮制看似真实的邮件。这些邮件模仿贵公司CEO的写作风格,提及团队正在进行的真实项目,并且会在恰当的时机发送,使其看起来合情合理。再加上繁忙的工作生活和每天数百封邮件的干扰,人们比以往任何时候都更容易误点链接。
但是我们的安全工具(AV, XDR, 防火墙, 外交部它们是为了保护我们免受错误伤害而存在的,对吗?有时是的。但越来越多的时候,并非如此。
人工智能还帮助犯罪分子构建能够不断自我重写的恶意软件,这意味着传统的扫描恶意代码签名的方法完全失效了(高级恶意软件检测——基于特征码的检测与基于行为的检测在人工智能驱动的恶意软件攻击中,恶意软件每次出现时看起来都不一样,因此传统的基于特征码的检测工具无法检测到它。
问题的核心不在于这些攻击手段多么复杂,而在于它们旨在与周围环境融为一体。
传统的反病毒工具基于这样的理念:坏人会做显而易见的坏事。他们来自陌生的地方,一次性尝试成千上万个密码,安装容易识别的恶意软件。当系统检测到这些模式时,就会发出警报。
人工智能攻击者经过训练,能够巧妙地隐藏自身行踪。他们使用窃取的真实凭证登录您的系统,然后在正常工作时间内潜入并执行攻击。他们不会仓促行事,而是谨慎行事,在数天甚至数周内逐步推进,以避免被发现。他们的每一个操作单独来看,都像是真实员工会做的。没有任何异常之处。攻击完全融入了您的日常工作之中。
基于规则的监控难以解决这个问题,因为它只关注个别异常信号,而无法全面了解你的身份和行为模式。要区分真正的员工和冒用员工凭证的攻击者,需要长期观察行为模式,而不仅仅是勾选列表上的选项。
安全团队正在转向一种叫做行为分析的技术。其理念很简单。与其问“这个行为是否符合已知的恶意模式”,不如问“这个行为是否符合这个人实际的行为方式?”
您的财务经理每天早上 8:15 在家办公时都会登录系统,并花两个小时提取报表。她周末不访问工资文件。她从未在居住国以外的地方连接过系统。如果出现任何违反此规律的情况,即使密码正确且设备看起来熟悉,也值得仔细调查。
这种方法会监控人们工作的完整情境,包括他们使用的设备(安卓还是iPhone?Windows还是Mac?)、他们访问的系统(首选、次要和第三方系统)、他们的工作时间以及他们如何处理发现的信息。一旦发现任何偏离基准的情况,系统就会发出警报,以便进行审查。
你不需要先进的人工智能来应用这种思维方式。这些原则对于10人的团队和10,000万人的企业都同样适用。
您无需建立完整的安全运营中心即可取得实质性进展。这些步骤实用、有效且可扩展,适用于任何组织。
首先,开启异常登录活动提醒。大多数商业工具,包括 Microsoft 365、Google Workspace 和您的银行门户网站,都会在有人从新设备和/或新位置登录时发出通知。开启这些日志通常无需任何费用,却能让您有机会在造成更大损失之前发现被盗用的帐户。
第二,始终要求 多因素认证 到处都是如此。没有任何现代论点可以反驳这一措施。 如果高管出于任何原因提出异议,就问问他们是否愿意向当局或股东解释,为什么只有他们被允许绕过唯一一项可以防止数据泄露的安全措施? 被盗凭证是大多数人工智能辅助攻击的入口。即使密码泄露(被盗用),多因素身份验证 (MFA) 也能有效阻止攻击。如果您的团队尚未在电子邮件、银行账户和关键应用程序上启用 MFA,那么这是您今天可以做出的最重要的改变。
第三,加强访问权限审查。每季度检查一次关键系统中哪些人拥有哪些访问权限。审查入职和离职流程,确保所有员工都使用所有系统,并根据其角色进行优化,同时保持这些流程的更新,以便在季度审查过程中参考。不再需要访问权限的前员工、承包商和供应商构成潜在风险。移除不需要的访问权限无需任何成本,却能消除攻击者寻找的目标。
这些步骤都不需要大量投资或复杂的基础设施。它们始于集中精力和采取行动的决心。
从这三个步骤中选择一个,今天就去做。明天再做一遍。接下来的14天都这样做。习惯就是这样养成的。设置登录提醒。启用多因素身份验证 (MFA)。清理用户访问权限。每天重复这些小步骤,就能建立持久的安全保障。
你无需一次性解决所有安全难题。如今的人工智能驱动型攻击旨在融入正常的工作流程,这意味着真正的优势在于发现那些看似微不足道的异常之处。每天在这方面有所进步,你就会变得更加难以被欺骗。这才是真正进步的途径。加油!
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
