如果我是黑客�。
如果我是黑客�,我就找家工廠下手?�,F(xiàn)在的工廠都在數(shù)字化�����,聯(lián)網(wǎng)的OT設(shè)備不要太多��,網(wǎng)絡(luò)暴露面也不要太多��。而且很多OT設(shè)備�����,還運(yùn)行著爺爺輩的Windows XP系統(tǒng)�����,他們身上的漏洞���,早就被管理員忘了�����,沒人記得給他們補(bǔ)丁�。
況且,我還新掌握了“大殺器”����。
AI“武裝”的網(wǎng)絡(luò)攻擊
人工智能就像火藥。
人工智能就像火藥一樣��,又一次改變了網(wǎng)絡(luò)攻防的格局��。這就如����,800年前的重甲鐵騎。他們并非是揮舞著馬刀���,征服了大半個(gè)歐亞��。重甲鐵蹄是那個(gè)時(shí)代最尊重科學(xué)的一群人���。宋、金的工匠們被他們裹挾著西征����,他們也因此用大炮,轟塌了貴族城堡的石墻�,用子彈射穿了騎士的盔甲�。
現(xiàn)在的攻擊者,也如重甲鐵騎一樣�,爐火純青地應(yīng)用了人工智能�。這幫用人工智能武裝起來(lái)的“軍隊(duì)”�,沒有任何道德可言,他們不僅在攻擊IT系統(tǒng)����,還很喜歡對(duì)工廠下手。只因?yàn)?��,在這里更容易下手�。
攻擊者最早研究出來(lái)的武器��,就是“生成對(duì)抗網(wǎng)絡(luò)”����。它拿手的技能是“左右互搏”,左手“生成器神經(jīng)網(wǎng)絡(luò)”�����,負(fù)責(zé)生成惡意軟件;右手“判別器神經(jīng)網(wǎng)絡(luò)”�����,負(fù)責(zé)識(shí)別生成器生成的惡意軟件�����。就是在幾輪的“左右互搏”�����,幾輪的對(duì)抗性訓(xùn)練中�,惡意軟件的逃逸能力越來(lái)越強(qiáng),幾乎可以逃逸所有防病毒引擎和IPS引擎的檢測(cè)���。
但這也只是一招而已��。
攻擊者還已使用“生成對(duì)抗網(wǎng)絡(luò)+遷移學(xué)習(xí)”���,破解網(wǎng)絡(luò)驗(yàn)證碼。他們先用“生成對(duì)抗網(wǎng)絡(luò)”對(duì)驗(yàn)證碼識(shí)別大模型進(jìn)行訓(xùn)練�,再以“遷移學(xué)習(xí)”算法,對(duì)模型進(jìn)行調(diào)優(yōu)。這種模型強(qiáng)到什么程度����?它可以攻破全球排名TOP50網(wǎng)站的驗(yàn)證碼系統(tǒng)��。
這還不算完���。
哪里有AI��,哪里就有逃逸����。攻擊者還在使用“智能網(wǎng)絡(luò)逃逸技術(shù)”��,生成“最低程度被檢測(cè)出”的惡意軟件���。它的攻擊模式就像一部“諜戰(zhàn)片”�,可分為四步:
第一步是“知彼”����,以大數(shù)據(jù)和深度學(xué)習(xí)技術(shù),對(duì)目標(biāo)系統(tǒng)的策略進(jìn)行學(xué)習(xí)�����;第二步是“知己”,以深度學(xué)習(xí)技術(shù)�,對(duì)惡意軟件進(jìn)行分解,以加強(qiáng)軟件的逃逸能力����;第三步是“潛伏”,當(dāng)惡意軟件到達(dá)客戶的沙箱環(huán)境時(shí)�,采用靜默技術(shù),躲避沙箱檢測(cè)�;第四步是“滲透”,當(dāng)進(jìn)入目標(biāo)系統(tǒng)后����,避免異常行為或隨機(jī)回調(diào)連接,實(shí)現(xiàn)長(zhǎng)久的滲透��。
以平臺(tái)對(duì)抗鐵騎
這就是現(xiàn)在被AI“武裝”起來(lái)的重甲鐵騎�����,但他們也有弱點(diǎn)���。重甲鐵騎可以在平原橫沖直撞�����,但陷入山地丘陵��、水網(wǎng)密布地勢(shì)����,就完全喪失優(yōu)勢(shì)����。所以,對(duì)抗攻擊者的升維���,最好的辦法就是“平臺(tái)”����,就是建立平臺(tái)型的安全體系�。
Fortinet的策略就是如此。
如Fortinet中國(guó)區(qū)總經(jīng)理李宏凱所說(shuō):“基于Security Fabric安全架構(gòu)��,以及操作系統(tǒng)FortiOS�,Fortinet的OT安全平臺(tái),深度契合OT網(wǎng)絡(luò)架構(gòu)��、協(xié)議及應(yīng)用需求,形成了‘安全組網(wǎng)’�����、‘安全運(yùn)營(yíng)’和‘統(tǒng)一SASE’三大核心基石����。”
很顯然,“三大基石”體系都形成了超級(jí)的防御縱深�����,且相互之間通過(guò)FortiOS操作系統(tǒng)�����,還能組成“平臺(tái)”�����。其中�����,“安全組網(wǎng)”就是網(wǎng)絡(luò)與安全的深度融合���,Fortinet通過(guò)工業(yè)交換機(jī)�,以及工業(yè)無(wú)線AP,可以將安全能力推送到安全平臺(tái)的每個(gè)二層接口�����,且不需要改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)�。
同時(shí),Fortinet通過(guò)“安全運(yùn)營(yíng)”可在最短時(shí)間內(nèi)����,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊�,并通過(guò)網(wǎng)關(guān)設(shè)備,完成有效隔離����。此外,Fortinet還通過(guò)“統(tǒng)一SASE”實(shí)現(xiàn)云與端的安全一體化�����。
更進(jìn)一步�,基于“安全組網(wǎng)”、“安全運(yùn)營(yíng)”和“統(tǒng)一SASE”三大基石����,Fortinet還形成了龐大的產(chǎn)品和方案矩陣����,其最新推出的產(chǎn)品包括:專為嚴(yán)苛OT環(huán)境設(shè)計(jì)的FortiGate Rugged系列��、FortiSwitch Rugged系列��、FortiAP系列����,以及創(chuàng)新之作FortiExtender Vehicle,專為車聯(lián)網(wǎng)打造���,提供穩(wěn)定可靠的移動(dòng)安全連接方案�����,全方位應(yīng)對(duì)行業(yè)專屬挑戰(zhàn)�����。
用魔法打敗魔法
但這也只是升級(jí)����,還不是升維。人工智能“武裝”起來(lái)的網(wǎng)絡(luò)攻擊�,已經(jīng)對(duì)傳統(tǒng)防御體系形成了降維打擊。對(duì)此Fortinet南區(qū)技術(shù)負(fù)責(zé)人玉文鋒說(shuō):“應(yīng)對(duì)智能化的攻擊�����,Fortinet的方案是用AI應(yīng)對(duì)AI�,用魔法打敗魔法。”
Fortinet在人工智能方向上的投入�,已經(jīng)超過(guò)10年。機(jī)器學(xué)習(xí)技術(shù)已進(jìn)化到了第六代�����,相關(guān)AI專利有59個(gè)�����,開發(fā)了近百個(gè)AI相關(guān)的應(yīng)用���,以AI驅(qū)動(dòng)的解決方案達(dá)到42個(gè)。而且從威脅情報(bào)中心���,到各產(chǎn)品線均已經(jīng)實(shí)現(xiàn)了AI化���,覆蓋了四大應(yīng)用場(chǎng)景��。
首先是AI賦能的威脅情報(bào)
從2012年開始�,Fortinet就在使用機(jī)器學(xué)習(xí)技術(shù)��,每天處理數(shù)以萬(wàn)計(jì)的安全事件��。這使FortiGuard積累了品類最齊全的攻擊樣本�����。正是以海量的攻擊樣本���,結(jié)合第六代機(jī)器學(xué)習(xí)技術(shù)�,Fortinet在云端訓(xùn)練出針對(duì)各類應(yīng)用的安全大模型�����。再將安全大模型進(jìn)行裁剪微調(diào)��,推送到FortiGate防火墻等客戶端設(shè)備中�����。
效果如何?在此之前的項(xiàng)目POC測(cè)試過(guò)程中����,用戶自己精心設(shè)計(jì)了一款惡意軟件。這個(gè)惡意文件成功地躲避了傳統(tǒng)防病毒引擎和沙箱的查殺��,但將惡意文件上傳至FortiGuard檢測(cè)時(shí)�,馬上就被識(shí)別,而且FortiGuard在一小時(shí)內(nèi)���,將特征庫(kù)推送到Fortinet的所有客戶端設(shè)備�。
其次是AI賦能的惡意軟件檢測(cè)
從FortiOS 7.0開始��,FortiGuard就可以將微調(diào)后安全大模型���,打包推送到FortiGate上�����。如此一來(lái),AI增強(qiáng)的防病毒引擎將取代FortiGate以前老舊的啟發(fā)式引擎��,FortiGate防火墻也因此具備了0-Day防御能力。
只不過(guò)��,Fortinet并不認(rèn)為防火墻是萬(wàn)能的���。防火墻也只適合查殺一些較小的����、高危的惡意軟件��,而對(duì)于那些較大的��、耗時(shí)的��,基于行為的惡意軟件��,Fortinet就把它交給FortiEDR進(jìn)行檢測(cè)�。FortiEDR完全拋棄了特征庫(kù)的模式,采用了云端AI模型����,并結(jié)合本地機(jī)器學(xué)習(xí)的方式進(jìn)行惡意軟件的檢測(cè)。
除此之外�,Fortinet還推出了FortiNDR。OT與IT融合之后�����,安全態(tài)勢(shì)也發(fā)生了根本性的變化。這就需要對(duì)OT網(wǎng)絡(luò)里的流量�,進(jìn)行惡意文件或惡意流量的檢測(cè)。FortiNDR就在此時(shí)有了更大的價(jià)值——其既可對(duì)惡意文件進(jìn)行檢測(cè)�,也能對(duì)惡意流量的檢測(cè)。
第三是AI賦能的流量檢測(cè)
不僅如此��。
Fortinet還有一整套方法抵御惡意流量����。DDoS被認(rèn)為是一個(gè)古老的,沒有什么技術(shù)含量的攻擊手段����。但AI重新武裝后的DDoS,可以動(dòng)態(tài)調(diào)整攻擊策略����,繞開防御措施;還可以對(duì)攻擊的全程進(jìn)行監(jiān)控���,當(dāng)發(fā)現(xiàn)目標(biāo)系統(tǒng)已經(jīng)識(shí)別或緩解了此前的攻擊手段���,AI將快速切換到另外一種攻擊模式;此外���,AI還擅長(zhǎng)流量混淆�,生成與合法流量相識(shí)的攻擊流量���。
與此應(yīng)對(duì)��,FortiDDoS設(shè)備中集成的AI能力��,也想到了方法���,防御AI武裝起來(lái)的DDoS攻擊。FortiDDoS基于對(duì)流量的學(xué)習(xí)�����,建立了流量模型��。同時(shí)���,其還可對(duì)每個(gè)數(shù)據(jù)包進(jìn)行深度檢測(cè)��。監(jiān)控從L3層到L 7層的23萬(wàn)個(gè)網(wǎng)絡(luò)參數(shù)�。這樣,FortiDDoS就能對(duì)AI型的DDoS攻擊有著精準(zhǔn)的檢測(cè)和響應(yīng)能力��。
還有剛才提到的FortiNDR�����,其利用機(jī)器學(xué)習(xí)��,可對(duì)異常流量進(jìn)行分析����。FortiNDR可以告訴用戶,網(wǎng)絡(luò)設(shè)備是否正在被高頻掃描���,網(wǎng)絡(luò)中是否存在不常見的����,可能是攻擊者派來(lái)“偵查”的流量�����。
此外����,AI還喚醒了WAF設(shè)備的第二青春���。在AI之前,WAF設(shè)備的策略配置�,屬于一管即死�,一放就松。FortiWeb創(chuàng)新性則在于�,使用了兩層機(jī)器學(xué)習(xí)的模型,來(lái)解決這個(gè)難題�。第一層本地模型解決效率問(wèn)題,快速地分離出異常的流量����,第二層云端模型解決精確率問(wèn)題,準(zhǔn)確區(qū)別“異常流量”是威脅攻擊�,還是真的異常流量。
最后是AI驅(qū)動(dòng)的SecOps
安全運(yùn)營(yíng)對(duì)于企業(yè)來(lái)說(shuō)�,一直都是巨大的挑戰(zhàn),管理員經(jīng)常被大量的安全告警信息��,搞的焦頭爛額�。目前,Fortinet已經(jīng)將生成式AI組件FortiAI�����,引入SecOps解決方案,
FortiAI已無(wú)縫地集成到FortiManager�、FortiAnalyzer、FortiSIEM����、FortiSOAR等核心產(chǎn)品。首先�����,FortiAI可以實(shí)現(xiàn)威脅識(shí)別和移出的自動(dòng)化����;其次,FortiAI對(duì)復(fù)雜攻擊有著全面的理解����,可以預(yù)測(cè)未來(lái)的攻擊;第三�����,FortiAI可以提供智能化的修復(fù)����,提供自動(dòng)化的補(bǔ)?��。蛔詈?����,FortiAI還可以對(duì)安全工作流進(jìn)行優(yōu)化�����。
這也正如Fortinet中國(guó)區(qū)南區(qū)技術(shù)負(fù)責(zé)人玉文鋒最后所說(shuō):
“Fortinet OT安全平臺(tái)的創(chuàng)新之源首推人工智能��。平臺(tái)能力覆蓋了從智能網(wǎng)絡(luò)攻擊防御�,到惡意軟件檢測(cè)�,再到自動(dòng)化威脅狩獵與響應(yīng)。同時(shí)�,Fortinet的產(chǎn)品組合更深度融合了AI能力,能夠自動(dòng)識(shí)別�、預(yù)測(cè)并應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)威脅,確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全���。”
恒景動(dòng)態(tài)
