虹科分享?|?如何防御生成式AI的攻擊?|?自動移動目標防御
隨著ChatGPT、Copilot、Bard等人工智能(AI)工具的復雜性持續增長,它們給安全防御者帶來了更大的風險,并給采用AI驅動的攻擊技術的攻擊者帶來了更大的回報。
作為一名安全專業人員,您必須維護一個由多個操作系統(OS)組成的多樣化的生態系統,以便在采用新的、現代的B2B和B2C超大規模、超高速、數據豐富的接口。您尋找并依賴最新和最好的安全產品來幫助您抵御攻擊者。
然而,當與復雜的人工智能驅動的技術對抗時,現有的安全產品和實踐缺少一個關鍵的防御元素:一種能夠擊敗下一代機器驅動的、啟用人工智能的對手的技術,這些對手擅長機器學習,以驚人的速度和規模創造新的自適應漏洞。
隨著人們對生成AI系統及其違反檢測和預防技術的能力的關注,一個明確的模式開始出現。
信息安全專業人員關心的是——生成式人工智能可以被利用來:
u 增加攻擊面:創建傳統安全工具不易檢測到的新攻擊載體。
u 逃避檢測:生成專門用于逃避安全工具檢測的惡意代碼。
u 增加復雜性:創建更難防御的日益復雜的攻擊或技術變體。
u 更快的速度和更大的規模:以安全團隊難以跟上的規模和速度發動攻擊。
防御者的視角
人工智能(AI)及其機器學習(ML)和深度學習(DL)子集是現代端點保護平臺(EPP)和端點檢測與響應(EDR)產品不可或缺的一部分。
這些技術通過學習大量已知的惡意和良性行為或代碼模式的數據來工作。這種學習使他們能夠創建可以預測和識別以前未見過的威脅的模型。
具體地說,人工智能可用于:
u 檢測異常:識別終端行為中的異常,如不尋常的文件訪問模式或系統設置的更改。這些異常可能表明有惡意活動,即使安全產品不知道具體的行為。
u 行為分類:將終端行為分為惡意行為和良性行為。這使得安全產品可以將注意力集中在最有可能的威脅上。
u 判斷:判斷特定行為或代碼模式是惡意的還是良性的。這使安全產品可以采取措施減輕威脅,例如阻止訪問文件或終止進程。
人工智能的使用現在正在成為事實上的標準,通過識別事件的背景和理解終端的行為來幫助減少誤報,以消除警報,并使用以前發送的大量遙測數據追溯糾正錯誤分類的信息。
攻擊者的視角
隨著人工智能的發展和變得越來越復雜,攻擊者將找到新的方法來利用這些技術為自己帶來好處,并加速開發能夠繞過基于人工智能的終端保護解決方案的威脅。
攻擊者可以利用人工智能攻擊目標的方法包括:
u 自動化漏洞掃描:攻擊者可以使用人工智能自動掃描大量代碼和系統中的漏洞。使用機器學習算法,攻擊者可以識別模式代碼本身、相關配置甚至是獨立的服務,以發現潛在的漏洞,并據此確定攻擊的優先級。它們訓練以尋找繞過檢測的方法。
u 對抗性機器學習:對抗性機器學習是一種使用人工智能在其他人工智能系統中尋找弱點的技術。通過利用基于人工智能的安全系統中使用的算法中的漏洞,攻擊者可以繞過這些防御措施并獲得敏感數據的訪問權。
u 漏洞生成:攻擊者可以利用人工智能生成繞過傳統安全措施的新漏洞。通過分析目標系統和識別漏洞,AI算法可以生成新的代碼,這些代碼可以利用這些弱點并獲得對系統的訪問權限。
u 社會工程:攻擊者可以使用人工智能生成有說服力的釣魚電子郵件或社交媒體消息,誘騙受害者泄露敏感信息或下載惡意軟件。利用自然語言處理和其他人工智能技術,攻擊者可以使這些消息高度個性化,更具說服力。
u 密碼破解:攻擊者可以使用人工智能使用暴力破解密碼。使用機器學習算法從之前的嘗試中學習,攻擊者可以在更短的時間內增加他們破解密碼的機會。
我們預計攻擊者將積極使用人工智能來自動化漏洞掃描,生成引人注目的釣魚消息,在基于人工智能的安全系統中找到弱點,生成新的漏洞并破解密碼。隨著人工智能和機器學習的發展,組織必須保持警惕,并跟上基于人工智能的攻擊的最新發展,以保護自己免受這些威脅。
使用基于人工智能系統的組織必須質疑其基礎數據集、訓練集和實現此學習過程的機器的魯棒性和安全性,并保護系統免受未經授權和可能武器化的惡意代碼。發現的弱點,或注入到基于人工智能的安全解決方案的模型中,可能導致它們的保護被全局繞過。
Morphisec之前曾觀察到由高技能和資源豐富的威脅行為者發起的復雜攻擊,如國家行為者、有組織的犯罪集團或先進的黑客集團。基于人工智能的技術的進步,通過自動化多態和規避惡意軟件的創造,可以降低創建復雜威脅的進入門檻。
這不僅僅是對未來的擔憂
利用人工智能并不需要繞過今天的終端安全解決方案。逃避EDR和EPP檢測的策略和技術有很好的記錄,特別是在內存操作和無文件惡意軟件中。根據Picus Security的數據,在惡意軟件中使用的頂級技術中,逃避和內存技術占了30%以上。
另一個重要的問題是EPP和EDR的反應性,因為它們的檢測通常是在違反之后進行的,并且補救不是完全自動化的。根據2023年IBM數據泄露報告,檢測和控制入侵的平均時間增加到322天。安全人工智能和自動化的廣泛使用將這一時間縮短到214天,這在攻擊者建立持久性并能夠潛在地竊取有價值的信息之后仍然很長時間。
是時候考慮一種不同的范式
在無休止的軍備競賽中,攻擊者將利用人工智能來產生能夠繞過基于人工智能的保護解決方案的威脅。然而,要使所有攻擊成功,它們必須破壞目標系統上的資源。
如果目標資源不存在,或者不斷被改變(移動),那么目標系統的機會就會降低一個數量級。
舉個例子,假設一名訓練有素且極其聰明的狙擊手試圖攻破目標。如果目標隱藏起來,或者不斷移動,狙擊手的成功機會就會降低,甚至會因為在錯誤的位置反復射擊而危及狙擊手。
利用AMTD阻止生成性AI攻擊
進入自動移動目標防御(AMTD)系統,旨在通過變形——隨機化系統資源——移動目標來防止復雜的攻擊。
Morphisec的預防優先安全(由AMTD提供支持)使用獲得專利的零信任執行技術來主動阻止規避攻擊。當應用程序加載內存空間時,該技術會變形并隱藏進程結構和其他系統資源,部署輕量級骨架陷阱來欺騙攻擊者。無法訪問原始資源,惡意代碼失敗,從而停止并記錄具有完整取證詳細信息的攻擊。
這種預防優先的方法可以冷酷地阻止攻擊,即使它們繞過了現有的基于人工智能的端點保護工具。因此,AMTD系統提供了針對復雜攻擊的額外一層防御層。由于防止了攻擊,信息安全團隊獲得了關鍵的時間來調查威脅,同時知道他們的系統是安全的。AMTD的確定性還意味著該解決方案會生成高保真警報,這有助于確定安全團隊工作的優先順序,從而減少警報疲勞。
Morphisec的AMTD技術可保護5,000個組織中的900多萬個終端,每天可防止繞過現有終端安全解決方案的數以萬計的規避攻擊和內存攻擊,包括零日攻擊、勒索軟件、供應鏈攻擊等。Morphisec阻止的攻擊通常是未知的,該公司的威脅實驗室團隊首先在野外觀察到了這些攻擊。
Morphisec最近阻止的規避威脅的例子:
-GuLoader ——一種針對美國法律和投資公司的先進變體。
-InvalidPrinter ——一個高度隱蔽的加載器,在Morphisec披露的時候對病毒總數沒有檢測。
-SYS01 Stealer——瞄準政府和關鍵基礎設施。
-ProxyShellMiner——針對MS-Exchange中的ProxyShell漏洞的一個新變體。
-Babuk勒索軟件——被Morphisec阻止的泄漏的Babuk勒索軟件的一個新的未知變體,但觀察到需要兩周以上的主要EPPs和EDRs來調整他們的檢測邏輯。
-遺留系統——為windows和Linux遺留操作系統提供強大的保護。Morphisec阻止了數百個針對windows 7、8、2008r2、2012和遺留Linux發行版的惡意軟件家族。
AMTD的威力已經證明,它與多波終端保護解決方案一起證明了其有效性,攻擊者已開發出繞過它們的策略。從基于簽名的AV、ML-Powered NextGen AVs(NGAV)到目前的EDR和XDR。
AMTD是終端保護的自然演變,提供真正的安全保護,免受人工智能攻擊。
聯系我們
掃碼加入虹科網絡安全交流群或微信公眾號,及時獲取更多技術干貨/應用案例。
