隨著ChatGPT、Copilot、Bard等人工智能(AI)工具的復(fù)雜性持續(xù)增長(zhǎng)，它們給安全防御者帶來(lái)了更大的風(fēng)險(xiǎn)，并給采用AI驅(qū)動(dòng)的攻擊技術(shù)的攻擊者帶來(lái)了更大的回報(bào)。

作為一名安全專業(yè)人員，您必須維護(hù)一個(gè)由多個(gè)操作系統(tǒng)(OS)組成的多樣化的生態(tài)系統(tǒng)，以便在采用新的、現(xiàn)代的B2B和B2C超大規(guī)模、超高速、數(shù)據(jù)豐富的接口。您尋找并依賴最新和最好的安全產(chǎn)品來(lái)幫助您抵御攻擊者。

然而，當(dāng)與復(fù)雜的人工智能驅(qū)動(dòng)的技術(shù)對(duì)抗時(shí)，現(xiàn)有的安全產(chǎn)品和實(shí)踐缺少一個(gè)關(guān)鍵的防御元素：一種能夠擊敗下一代機(jī)器驅(qū)動(dòng)的、啟用人工智能的對(duì)手的技術(shù)，這些對(duì)手擅長(zhǎng)機(jī)器學(xué)習(xí)，以驚人的速度和規(guī)模創(chuàng)造新的自適應(yīng)漏洞。

隨著人們對(duì)生成AI系統(tǒng)及其違反檢測(cè)和預(yù)防技術(shù)的能力的關(guān)注，一個(gè)明確的模式開(kāi)始出現(xiàn)。

信息安全專業(yè)人員關(guān)心的是——生成式人工智能可以被利用來(lái)：

• 增加攻擊面：創(chuàng)建傳統(tǒng)安全工具不易檢測(cè)到的新攻擊載體。
• 逃避檢測(cè)：生成專門用于逃避安全工具檢測(cè)的惡意代碼。
• 增加復(fù)雜性：創(chuàng)建更難防御的日益復(fù)雜的攻擊或技術(shù)變體。
• 更快的速度和更大的規(guī)模：以安全團(tuán)隊(duì)難以跟上的規(guī)模和速度發(fā)動(dòng)攻擊。

防御者的視角

人工智能(AI)及其機(jī)器學(xué)習(xí)(ML)和深度學(xué)習(xí)(DL)子集是現(xiàn)代端點(diǎn)保護(hù)平臺(tái)(EPP)和端點(diǎn)檢測(cè)與響應(yīng)(EDR)產(chǎn)品不可或缺的一部分。

這些技術(shù)通過(guò)學(xué)習(xí)大量已知的惡意和良性行為或代碼模式的數(shù)據(jù)來(lái)工作。這種學(xué)習(xí)使他們能夠創(chuàng)建可以預(yù)測(cè)和識(shí)別以前未見(jiàn)過(guò)的威脅的模型。

具體地說(shuō)，人工智能可用于：

• 檢測(cè)異常：識(shí)別終端行為中的異常，如不尋常的文件訪問(wèn)模式或系統(tǒng)設(shè)置的更改。這些異常可能表明有惡意活動(dòng)，即使安全產(chǎn)品不知道具體的行為。
• 行為分類：將終端行為分為惡意行為和良性行為。這使得安全產(chǎn)品可以將注意力集中在最有可能的威脅上。
• 判斷：判斷特定行為或代碼模式是惡意的還是良性的。這使安全產(chǎn)品可以采取措施減輕威脅，例如阻止訪問(wèn)文件或終止進(jìn)程。

人工智能的使用現(xiàn)在正在成為事實(shí)上的標(biāo)準(zhǔn)，通過(guò)識(shí)別事件的背景和理解終端的行為來(lái)幫助減少誤報(bào)，以消除警報(bào)，并使用以前發(fā)送的大量遙測(cè)數(shù)據(jù)追溯糾正錯(cuò)誤分類的信息。

攻擊者的視角

隨著人工智能的發(fā)展和變得越來(lái)越復(fù)雜，攻擊者將找到新的方法來(lái)利用這些技術(shù)為自己帶來(lái)好處，并加速開(kāi)發(fā)能夠繞過(guò)基于人工智能的終端保護(hù)解決方案的威脅。

攻擊者可以利用人工智能攻擊目標(biāo)的方法包括：

• 自動(dòng)化漏洞掃描：攻擊者可以使用人工智能自動(dòng)掃描大量代碼和系統(tǒng)中的漏洞。使用機(jī)器學(xué)習(xí)算法，攻擊者可以識(shí)別模式代碼本身、相關(guān)配置甚至是獨(dú)立的服務(wù)，以發(fā)現(xiàn)潛在的漏洞，并據(jù)此確定攻擊的優(yōu)先級(jí)。它們訓(xùn)練以尋找繞過(guò)檢測(cè)的方法。
• 對(duì)抗性機(jī)器學(xué)習(xí)：對(duì)抗性機(jī)器學(xué)習(xí)是一種使用人工智能在其他人工智能系統(tǒng)中尋找弱點(diǎn)的技術(shù)。通過(guò)利用基于人工智能的安全系統(tǒng)中使用的算法中的漏洞，攻擊者可以繞過(guò)這些防御措施并獲得敏感數(shù)據(jù)的訪問(wèn)權(quán)。
• 漏洞生成：攻擊者可以利用人工智能生成繞過(guò)傳統(tǒng)安全措施的新漏洞。通過(guò)分析目標(biāo)系統(tǒng)和識(shí)別漏洞，AI算法可以生成新的代碼，這些代碼可以利用這些弱點(diǎn)并獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)限。
• 社會(huì)工程：攻擊者可以使用人工智能生成有說(shuō)服力的釣魚(yú)電子郵件或社交媒體消息，誘騙受害者泄露敏感信息或下載惡意軟件。利用自然語(yǔ)言處理和其他人工智能技術(shù)，攻擊者可以使這些消息高度個(gè)性化，更具說(shuō)服力。
• 密碼破解：攻擊者可以使用人工智能使用暴力破解密碼。使用機(jī)器學(xué)習(xí)算法從之前的嘗試中學(xué)習(xí)，攻擊者可以在更短的時(shí)間內(nèi)增加他們破解密碼的機(jī)會(huì)。

我們預(yù)計(jì)攻擊者將積極使用人工智能來(lái)自動(dòng)化漏洞掃描，生成引人注目的釣魚(yú)消息，在基于人工智能的安全系統(tǒng)中找到弱點(diǎn)，生成新的漏洞并破解密碼。隨著人工智能和機(jī)器學(xué)習(xí)的發(fā)展，組織必須保持警惕，并跟上基于人工智能的攻擊的最新發(fā)展，以保護(hù)自己免受這些威脅。

使用基于人工智能系統(tǒng)的組織必須質(zhì)疑其基礎(chǔ)數(shù)據(jù)集、訓(xùn)練集和實(shí)現(xiàn)此學(xué)習(xí)過(guò)程的機(jī)器的魯棒性和安全性，并保護(hù)系統(tǒng)免受未經(jīng)授權(quán)和可能武器化的惡意代碼。發(fā)現(xiàn)的弱點(diǎn)，或注入到基于人工智能的安全解決方案的模型中，可能導(dǎo)致它們的保護(hù)被全局繞過(guò)。

Morphisec之前曾觀察到由高技能和資源豐富的威脅行為者發(fā)起的復(fù)雜攻擊，如國(guó)家行為者、有組織的犯罪集團(tuán)或先進(jìn)的黑客集團(tuán)。基于人工智能的技術(shù)的進(jìn)步，通過(guò)自動(dòng)化多態(tài)和規(guī)避惡意軟件的創(chuàng)造，可以降低創(chuàng)建復(fù)雜威脅的進(jìn)入門檻。

這不僅僅是對(duì)未來(lái)的擔(dān)憂

利用人工智能并不需要繞過(guò)今天的終端安全解決方案。逃避EDR和EPP檢測(cè)的策略和技術(shù)有很好的記錄，特別是在內(nèi)存操作和無(wú)文件惡意軟件中。根據(jù)Picus Security的數(shù)據(jù)，在惡意軟件中使用的頂級(jí)技術(shù)中，逃避和內(nèi)存技術(shù)占了30%以上。

另一個(gè)重要的問(wèn)題是EPP和EDR的反應(yīng)性，因?yàn)樗鼈兊臋z測(cè)通常是在違反之后進(jìn)行的，并且補(bǔ)救不是完全自動(dòng)化的。根據(jù)2023年IBM數(shù)據(jù)泄露報(bào)告，檢測(cè)和控制入侵的平均時(shí)間增加到322天。安全人工智能和自動(dòng)化的廣泛使用將這一時(shí)間縮短到214天，這在攻擊者建立持久性并能夠潛在地竊取有價(jià)值的信息之后仍然很長(zhǎng)時(shí)間。

是時(shí)候考慮一種不同的范式

在無(wú)休止的軍備競(jìng)賽中，攻擊者將利用人工智能來(lái)產(chǎn)生能夠繞過(guò)基于人工智能的保護(hù)解決方案的威脅。然而，要使所有攻擊成功，它們必須破壞目標(biāo)系統(tǒng)上的資源。

如果目標(biāo)資源不存在，或者不斷被改變(移動(dòng))，那么目標(biāo)系統(tǒng)的機(jī)會(huì)就會(huì)降低一個(gè)數(shù)量級(jí)。

舉個(gè)例子，假設(shè)一名訓(xùn)練有素且極其聰明的狙擊手試圖攻破目標(biāo)。如果目標(biāo)隱藏起來(lái)，或者不斷移動(dòng)，狙擊手的成功機(jī)會(huì)就會(huì)降低，甚至?xí)驗(yàn)樵阱e(cuò)誤的位置反復(fù)射擊而危及狙擊手。

利用AMTD阻止生成性AI攻擊

進(jìn)入自動(dòng)移動(dòng)目標(biāo)防御(AMTD)系統(tǒng)，旨在通過(guò)變形——隨機(jī)化系統(tǒng)資源——移動(dòng)目標(biāo)來(lái)防止復(fù)雜的攻擊。

Morphisec的預(yù)防優(yōu)先安全(由AMTD提供支持)使用獲得專利的零信任執(zhí)行技術(shù)來(lái)主動(dòng)阻止規(guī)避攻擊。當(dāng)應(yīng)用程序加載內(nèi)存空間時(shí)，該技術(shù)會(huì)變形并隱藏進(jìn)程結(jié)構(gòu)和其他系統(tǒng)資源，部署輕量級(jí)骨架陷阱來(lái)欺騙攻擊者。無(wú)法訪問(wèn)原始資源，惡意代碼失敗，從而停止并記錄具有完整取證詳細(xì)信息的攻擊。

這種預(yù)防優(yōu)先的方法可以冷酷地阻止攻擊，即使它們繞過(guò)了現(xiàn)有的基于人工智能的端點(diǎn)保護(hù)工具。因此，AMTD系統(tǒng)提供了針對(duì)復(fù)雜攻擊的額外一層防御層。由于防止了攻擊，信息安全團(tuán)隊(duì)獲得了關(guān)鍵的時(shí)間來(lái)調(diào)查威脅，同時(shí)知道他們的系統(tǒng)是安全的。AMTD的確定性還意味著該解決方案會(huì)生成高保真警報(bào)，這有助于確定安全團(tuán)隊(duì)工作的優(yōu)先順序，從而減少警報(bào)疲勞。

Morphisec的AMTD技術(shù)可保護(hù)5,000個(gè)組織中的900多萬(wàn)個(gè)終端，每天可防止繞過(guò)現(xiàn)有終端安全解決方案的數(shù)以萬(wàn)計(jì)的規(guī)避攻擊和內(nèi)存攻擊，包括零日攻擊、勒索軟件、供應(yīng)鏈攻擊等。Morphisec阻止的攻擊通常是未知的，該公司的威脅實(shí)驗(yàn)室團(tuán)隊(duì)首先在野外觀察到了這些攻擊。

Morphisec最近阻止的規(guī)避威脅的例子：

-GuLoader ——一種針對(duì)美國(guó)法律和投資公司的先進(jìn)變體。

-InvalidPrinter ——一個(gè)高度隱蔽的加載器，在Morphisec披露的時(shí)候?qū)Σ《究倲?shù)沒(méi)有檢測(cè)。

-SYS01 Stealer——瞄準(zhǔn)政府和關(guān)鍵基礎(chǔ)設(shè)施。

-ProxyShellMiner——針對(duì)MS-Exchange中的ProxyShell漏洞的一個(gè)新變體。

-Babuk勒索軟件——被Morphisec阻止的泄漏的Babuk勒索軟件的一個(gè)新的未知變體，但觀察到需要兩周以上的主要EPPs和EDRs來(lái)調(diào)整他們的檢測(cè)邏輯。

-遺留系統(tǒng)——為windows和Linux遺留操作系統(tǒng)提供強(qiáng)大的保護(hù)。Morphisec阻止了數(shù)百個(gè)針對(duì)windows 7、8、2008r2、2012和遺留Linux發(fā)行版的惡意軟件家族。

AMTD的威力已經(jīng)證明，它與多波終端保護(hù)解決方案一起證明了其有效性，攻擊者已開(kāi)發(fā)出繞過(guò)它們的策略。從基于簽名的AV、ML-Powered NextGen AVs(NGAV)到目前的EDR和XDR。

AMTD是終端保護(hù)的自然演變，提供真正的安全保護(hù)，免受人工智能攻擊。