在当前的云环境中,机器人与自动化工具正迅速成为不可忽视的安全隐患。网络犯罪分子正积极利用自动化手段,在窃取凭证、资金转移及其他恶意活动中占据上风。这一趋势引起了业界的广泛关注。
Sysdig的首席信息安全官Sergej Epp指出,尽管目前完全自动化的威胁尚不多见,且主要集中在攻击配置错误上,但这些攻击手段正逐步升级,向着更复杂的攻击形式发展,例如安装加密挖矿软件或在系统间进行横向移动。
自动化攻击的出现,极大地缩短了攻击者的驻留时间。传统攻击往往需要数天才能被发现,而自动化攻击则能在短短五分钟内泄露数据。Epp强调,随着技术的演进,未来的攻击将更加自动化,现有的“攻击机器人”也将通过引入更先进的大语言模型得到增强。
面对这一挑战,网络安全专家虽深知保护组织的必要性,但在实际操作中却面临速度上的瓶颈。Epp预测,针对资源匮乏的“网络底层公司”的攻击将会激增,这些公司往往难以采取有效的防御措施。
为了应对这一威胁,Epp建议采取一系列与端点安全措施并行的步骤。首要任务是创建云资产的清单,并识别出所有可能的配置错误。随后,应对这些错误进行优先排序并及时修复。然而,由于每日扫描无法应对实时威胁,这一过程必须持续进行。
组织还应引入云检测和响应系统,以识别和应对异常活动。在自动化攻击日益猖獗的背景下,这一举措显得尤为重要。
在AI技术的快速推广过程中,业务压力使得安全问题更加复杂。Epp指出,大多数人对AI安全的理解存在误区,过于关注模型本身,而忽视了基础设施的重要性。他提到,Hugging Face库中拥有超过180万个模型,但这些模型并不可信,因为传统扫描对不透明模型无效。
针对AI的提示注入攻击目前尚无有效的技术解决方案,防火墙也无法起到保护作用。这些攻击不仅限于直接访问聊天机器人的情况,还可能隐藏在共享文档或上传处理的PDF发票中。因此,将AI工作负载视为其他云工作负载,并应用运行时安全最佳实践显得尤为重要。
在应对这些挑战时,零信任、纵深防御等基本原则仍然适用。然而,为了在每个容器中增加运行时安全智能体,以检测不当设置或活动,组织需要付出更多努力。这些智能体能够识别具有过度权限的应用程序接口(API)或试图移出容器的行为。
尽管安全运营中心(SOC)拥有必要的数据,但如何将这些数据转化为有效的行动却是一个挑战。人才短缺和开发所需软件的时间成为主要障碍。云的短暂性质使得自动化变得至关重要。由于大多数容器的运行时间少于一分钟,从这些容器中收集安全数据变得尤为困难。
在收集安全数据时,如何选择合适的20%成为关键问题。Sysdig采用自上而下的视角来解决这一问题。公司广泛的Kubernetes背景使其能够实施这一策略,其创始人兼首席技术官Loris Degioanni创建的开源容器安全工具Falco为Sysdig平台提供了坚实的基础。
虽然大多数安全运营仍然依赖人工分析数据并采取行动,但Sysdig通过其Sage AI分析师将数据转化为实时建议,从而提高了效率。Epp表示,Sysdig正致力于成为自主云安全领域的领导者,尽管他承认完全自主的系统需要高度信任。
对于网络犯罪分子而言,AI触发错误的成本相对较低,可能仅意味着暴露身份或重新尝试。然而,对于防御者来说,错误却可能导致严重的财务和声誉损失。例如,意外导致主要在线银行或零售商宕机将引发广泛关注并造成业务损失。
“我们需要加快采用安全控制的步伐,”Epp强调,“要在业务中快速发展,我们在安全方面也必须迎头赶上。”
