如果我是黑客。
如果我是黑客,我就找家工廠下手。現在的工廠都在數字化,聯網的OT設備不要太多,網絡暴露面也不要太多。而且很多OT設備,還運行著爺爺輩的Windows XP系統,他們身上的漏洞,早就被管理員忘了,沒人記得給他們補丁。
況且,我還新掌握了“大殺器”。
AI“武裝”的網絡攻擊
人工智能就像火藥。
人工智能就像火藥一樣,又一次改變了網絡攻防的格局。這就如,800年前的重甲鐵騎。他們并非是揮舞著馬刀,征服了大半個歐亞。重甲鐵蹄是那個時代最尊重科學的一群人。宋、金的工匠們被他們裹挾著西征,他們也因此用大炮,轟塌了貴族城堡的石墻,用子彈射穿了騎士的盔甲。
現在的攻擊者,也如重甲鐵騎一樣,爐火純青地應用了人工智能。這幫用人工智能武裝起來的“軍隊”,沒有任何道德可言,他們不僅在攻擊IT系統,還很喜歡對工廠下手。只因為,在這里更容易下手。
攻擊者最早研究出來的武器,就是“生成對抗網絡”。它拿手的技能是“左右互搏”,左手“生成器神經網絡”,負責生成惡意軟件;右手“判別器神經網絡”,負責識別生成器生成的惡意軟件。就是在幾輪的“左右互搏”,幾輪的對抗性訓練中,惡意軟件的逃逸能力越來越強,幾乎可以逃逸所有防病毒引擎和IPS引擎的檢測。
但這也只是一招而已。
攻擊者還已使用“生成對抗網絡+遷移學習”,破解網絡驗證碼。他們先用“生成對抗網絡”對驗證碼識別大模型進行訓練,再以“遷移學習”算法,對模型進行調優。這種模型強到什么程度?它可以攻破全球排名TOP50網站的驗證碼系統。
這還不算完。
哪里有AI,哪里就有逃逸。攻擊者還在使用“智能網絡逃逸技術”,生成“最低程度被檢測出”的惡意軟件。它的攻擊模式就像一部“諜戰片”,可分為四步:
第一步是“知彼”,以大數據和深度學習技術,對目標系統的策略進行學習;第二步是“知己”,以深度學習技術,對惡意軟件進行分解,以加強軟件的逃逸能力;第三步是“潛伏”,當惡意軟件到達客戶的沙箱環境時,采用靜默技術,躲避沙箱檢測;第四步是“滲透”,當進入目標系統后,避免異常行為或隨機回調連接,實現長久的滲透。
以平臺對抗鐵騎
這就是現在被AI“武裝”起來的重甲鐵騎,但他們也有弱點。重甲鐵騎可以在平原橫沖直撞,但陷入山地丘陵、水網密布地勢,就完全喪失優勢。所以,對抗攻擊者的升維,最好的辦法就是“平臺”,就是建立平臺型的安全體系。
Fortinet的策略就是如此。
如Fortinet中國區總經理李宏凱所說:“基于Security Fabric安全架構,以及操作系統FortiOS,Fortinet的OT安全平臺,深度契合OT網絡架構、協議及應用需求,形成了‘安全組網’、‘安全運營’和‘統一SASE’三大核心基石。”
很顯然,“三大基石”體系都形成了超級的防御縱深,且相互之間通過FortiOS操作系統,還能組成“平臺”。其中,“安全組網”就是網絡與安全的深度融合,Fortinet通過工業交換機,以及工業無線AP,可以將安全能力推送到安全平臺的每個二層接口,且不需要改變現有網絡架構。
同時,Fortinet通過“安全運營”可在最短時間內,發現網絡攻擊,并通過網關設備,完成有效隔離。此外,Fortinet還通過“統一SASE”實現云與端的安全一體化。
更進一步,基于“安全組網”、“安全運營”和“統一SASE”三大基石,Fortinet還形成了龐大的產品和方案矩陣,其最新推出的產品包括:專為嚴苛OT環境設計的FortiGate Rugged系列、FortiSwitch Rugged系列、FortiAP系列,以及創新之作FortiExtender Vehicle,專為車聯網打造,提供穩定可靠的移動安全連接方案,全方位應對行業專屬挑戰。
用魔法打敗魔法
但這也只是升級,還不是升維。人工智能“武裝”起來的網絡攻擊,已經對傳統防御體系形成了降維打擊。對此Fortinet南區技術負責人玉文鋒說:“應對智能化的攻擊,Fortinet的方案是用AI應對AI,用魔法打敗魔法。”
Fortinet在人工智能方向上的投入,已經超過10年。機器學習技術已進化到了第六代,相關AI專利有59個,開發了近百個AI相關的應用,以AI驅動的解決方案達到42個。而且從威脅情報中心,到各產品線均已經實現了AI化,覆蓋了四大應用場景。
首先是AI賦能的威脅情報
從2012年開始,Fortinet就在使用機器學習技術,每天處理數以萬計的安全事件。這使FortiGuard積累了品類最齊全的攻擊樣本。正是以海量的攻擊樣本,結合第六代機器學習技術,Fortinet在云端訓練出針對各類應用的安全大模型。再將安全大模型進行裁剪微調,推送到FortiGate防火墻等客戶端設備中。
效果如何?在此之前的項目POC測試過程中,用戶自己精心設計了一款惡意軟件。這個惡意文件成功地躲避了傳統防病毒引擎和沙箱的查殺,但將惡意文件上傳至FortiGuard檢測時,馬上就被識別,而且FortiGuard在一小時內,將特征庫推送到Fortinet的所有客戶端設備。
其次是AI賦能的惡意軟件檢測
從FortiOS 7.0開始,FortiGuard就可以將微調后安全大模型,打包推送到FortiGate上。如此一來,AI增強的防病毒引擎將取代FortiGate以前老舊的啟發式引擎,FortiGate防火墻也因此具備了0-Day防御能力。
只不過,Fortinet并不認為防火墻是萬能的。防火墻也只適合查殺一些較小的、高危的惡意軟件,而對于那些較大的、耗時的,基于行為的惡意軟件,Fortinet就把它交給FortiEDR進行檢測。FortiEDR完全拋棄了特征庫的模式,采用了云端AI模型,并結合本地機器學習的方式進行惡意軟件的檢測。
除此之外,Fortinet還推出了FortiNDR。OT與IT融合之后,安全態勢也發生了根本性的變化。這就需要對OT網絡里的流量,進行惡意文件或惡意流量的檢測。FortiNDR就在此時有了更大的價值——其既可對惡意文件進行檢測,也能對惡意流量的檢測。
第三是AI賦能的流量檢測
不僅如此。
Fortinet還有一整套方法抵御惡意流量。DDoS被認為是一個古老的,沒有什么技術含量的攻擊手段。但AI重新武裝后的DDoS,可以動態調整攻擊策略,繞開防御措施;還可以對攻擊的全程進行監控,當發現目標系統已經識別或緩解了此前的攻擊手段,AI將快速切換到另外一種攻擊模式;此外,AI還擅長流量混淆,生成與合法流量相識的攻擊流量。
與此應對,FortiDDoS設備中集成的AI能力,也想到了方法,防御AI武裝起來的DDoS攻擊。FortiDDoS基于對流量的學習,建立了流量模型。同時,其還可對每個數據包進行深度檢測。監控從L3層到L 7層的23萬個網絡參數。這樣,FortiDDoS就能對AI型的DDoS攻擊有著精準的檢測和響應能力。
還有剛才提到的FortiNDR,其利用機器學習,可對異常流量進行分析。FortiNDR可以告訴用戶,網絡設備是否正在被高頻掃描,網絡中是否存在不常見的,可能是攻擊者派來“偵查”的流量。
此外,AI還喚醒了WAF設備的第二青春。在AI之前,WAF設備的策略配置,屬于一管即死,一放就松。FortiWeb創新性則在于,使用了兩層機器學習的模型,來解決這個難題。第一層本地模型解決效率問題,快速地分離出異常的流量,第二層云端模型解決精確率問題,準確區別“異常流量”是威脅攻擊,還是真的異常流量。
最后是AI驅動的SecOps
安全運營對于企業來說,一直都是巨大的挑戰,管理員經常被大量的安全告警信息,搞的焦頭爛額。目前,Fortinet已經將生成式AI組件FortiAI,引入SecOps解決方案,
FortiAI已無縫地集成到FortiManager、FortiAnalyzer、FortiSIEM、FortiSOAR等核心產品。首先,FortiAI可以實現威脅識別和移出的自動化;其次,FortiAI對復雜攻擊有著全面的理解,可以預測未來的攻擊;第三,FortiAI可以提供智能化的修復,提供自動化的補丁;最后,FortiAI還可以對安全工作流進行優化。
這也正如Fortinet中國區南區技術負責人玉文鋒最后所說:
“Fortinet OT安全平臺的創新之源首推人工智能。平臺能力覆蓋了從智能網絡攻擊防御,到惡意軟件檢測,再到自動化威脅狩獵與響應。同時,Fortinet的產品組合更深度融合了AI能力,能夠自動識別、預測并應對復雜的網絡威脅,確保業務連續性和數據安全。”
恒景動態
