關鍵基礎設施防御的未來:自主人工智能
去年年底北約(NATO)網絡安全聯盟進行了一次大規模網絡演練,重點測試和評估了自主人工智能技術對電網等關鍵基礎設施和資產的防護能力,參與演練的各路安全專家的初步結論是:自主智能是關鍵基礎設施安全的未來!
所謂自主智能,即無需人工干預即可采取行動的人工智能(AI),可以幫助識別關鍵基礎設施網絡攻擊模式和網絡活動,并檢測惡意軟件,從而增強(自動化)防御響應決策。
在北約的模擬演練對比測試中,來自北約盟國的六組網絡防御者的任務是在假想的軍事基地建立虛擬的計算機系統和電網,并在網絡攻擊期間保障其運行。如果黑客干擾系統操作或斷電超過10分鐘,關鍵系統將被判定宕機。參與演練的三個防御團隊使用美國能源部(DOE)阿貢國家實驗室開發的新型自主情報網絡防御代理(AICA)模型,其他三個參照團隊則沒有使用該模型。
該實驗的目的是測試和評估人工智能在收集數據和協助團隊應對針對關鍵系統和服務的網絡攻擊方面的效率,同時強調通過工具改善人與機器之間的協作,以降低網絡風險。該實驗結果于2022年12月下旬發布,此前美國政府審計局(GAO)的一份新報告警告說,自2010年以來,許多關鍵政府實體在關鍵基礎設施安全方面盲目行事,未能實施與保護關鍵基礎設施相關的大多數安全建議。
人工智能“顯影”關鍵基礎設施安全態勢
根據阿貢國家實驗室公布的部分實驗內容(布萊克利和北約的ACT將在未來幾個月內公布實驗的全部結果),防御團隊擬定了一個服務列表,監控為系統供電的模擬微電網,響應注入請求,并采用網絡攻擊策略破壞其他團隊做同樣的事。在實驗之前,沒有一個團隊知道實驗的具體場景或網絡。
結果顯示,使用阿貢國家實驗室AICA模型的防御團隊沒有漏掉關鍵的網絡活動,事件記錄、入侵檢測警報并檢測到相關惡意軟件,這些惡意軟件可以增強攻擊者查詢并針對防御響應自動決策。“所有團隊都能夠保持電網的正常運行,但這不是唯一有價值的結果,”阿貢網絡安全研究分析師本杰明布萊克利與北約盟軍司令部轉型(ACT)的網絡空間專家一起領導了這項實驗,他指出:“我們能夠看到AICA模型可以幫助防御團隊看到網絡態勢,包括攻擊模式、網絡流量和目標系統之間的關系。安全人員使用這些信息來構建網絡的知識圖譜,進行高級查詢和自動化防御決策,這有助于他們更好地保護網絡(下圖):
關鍵基礎設施高級副總裁、網絡安全和基礎設施安全局(CISA)前助理主任Bob Kolasky表示,實驗結果表明新興技術有望在管理復雜,相互依賴的系統風險方面改變游戲規則,阿貢等國家實驗室提供了復雜的建模、合成數據和高計算能力,以測試如何將人工智能應用于關鍵基礎設施保護,這令人感到興奮。
關鍵基礎設施面臨日益復雜的網絡威脅
關鍵基礎設施、系統和服務繼續面臨日益復雜的網絡威脅,包括與中美對抗和俄烏沖突相關的高風險。去年12月,微軟發布了第三版網絡威脅情報報告,警告由于物聯網(IoT)和運營技術(OT)設備的普遍性、脆弱性和云連接性,關鍵基礎設施的風險正在不斷上升,這意味著快速擴張、通常不受檢查的風險面,影響著更廣泛的行業和組織。報告指出:雖然物聯網和OT漏洞的普遍存在對所有組織都提出了挑戰,但關鍵基礎設施面臨的風險更為嚴峻。攻擊者甚至不一定需要破壞關鍵基礎設施,只要能中斷關鍵基礎設施服務就能造成巨大損失和危害。
網絡安全公司Bridewell的托管安全服務總監Martin Riley指出,圍繞俄烏戰爭的地緣政治緊張局勢對關鍵基礎設施安全防御產生了重大影響,將關鍵基礎設施的威脅等級提升到了新的高度:“我們的研究采訪了負責保護國家關鍵基礎設施的521名網絡安全決策者,發現自俄羅斯入侵烏克蘭以來,70%的受訪者報告說攻擊有所增加。”
Riley還提及了歐洲海底關鍵基礎設施面臨的威脅并敦促網絡運營商提高服務的網絡彈性,因為俄羅斯被指控發起深海破壞活動以破壞重要的能源和數據鏈。Riley指出:2022年我們已經看到真實發生的網絡物理攻擊或“混合戰爭”,所有關鍵基礎設施都存在類似的共同威脅或脆弱性。例如,海底數據電纜仍然沒有一致的監管或標準。我們的經濟和社會的數字紐帶非常脆弱,嚴重依賴全球580條已投入使用或計劃中的海底電纜。
2022年4月,五眼國家(美國、澳大利亞、加拿大、新西蘭和英國)曾發布警報,全面概述了(俄羅斯)國家黑客和網絡犯罪對關鍵基礎設施的威脅,而支持俄羅斯的勒索軟件組織如Conti則揚言要攻擊西方國家的關鍵基礎設施以支持俄羅斯政府。
關鍵基礎設施安全:自主人工智能很關鍵
自主/人工智能技術有望在保護關鍵基礎設施以及應對類似場景的復雜網絡威脅方面發揮重要作用。
“人工智能在關鍵基礎設施威脅檢測方面的應用已經勢在必行,可在具體的事件響應行動自動遏制,消除或防止更廣泛的威脅,”Riley指出:“人工智能威脅檢測技術之的應用之所以如此重要,是因為攻擊者的工具技術、行為模式、攻擊策略以及使用的基礎設施都在快速不斷變化或微調”。
Riley透露,Bridewell公司的情報和研究團隊已經開始使用AI跟蹤對手的基礎設施和行為。傳統安全分析和威脅情報的成本很高,因此轉向人工智能生成模型可以大幅降低成本,同時提高成熟度,降低風險。
網絡安全和基礎設施安全局(CISA)前助理主任Bob Kolasky總結道:現實是,關鍵基礎設施功能通常基于復雜的依賴關系和網絡,這些網絡主要通過數字手段進行管理。僅靠人類不可能完全理解全部的復雜性和攻擊點。人工智能將大大提高風險監控的有效性和效率,并最終降低風險,提高系統彈性。
