51 秒突破:CISO 如何应对 AI 驱动、快如闪电的深度伪造、电话钓鱼和社会工程攻击
快速阅读: 据《VentureBeat 公司》最新报道,研究显示,攻击者利用被盗凭据和AI技术,平均只需51秒即可侵入并横向移动网络。 CrowdStrike专家建议加强身份验证和访问管理,采用零信任模型,实时撤销会话令牌,以对抗快速攻击。企业需从凭据滥用预防转向AI驱动的威胁检测,确保安全策略紧跟AI威胁的步伐。
订阅我们的每日和每周通讯,获取行业领先的人工智能报道的最新动态和独家内容。了解更多五十一秒。这就是攻击者使用被盗凭据逃避检测并潜入你的网络后,未被发现的情况下横向移动所需的所有时间。CrowdStrike 的高级副总裁亚当·迈尔斯(亚当·迈尔斯)向《创业邦》解释了入侵者一旦渗透系统后,如何如此迅速地提升权限并横向移动。“下一阶段通常涉及某种形式的横向移动,这就是我们喜欢计算的突破时间。换句话说,从初始访问开始,到他们进入另一个系统需要多长时间?我们观察到的最快突破时间是51秒。所以这些对手变得更快了,这让防御者的任务变得更加困难,”迈尔斯说道。
武器化人工智能对速度的需求日益增加
人工智能是当今攻击者首选的武器。它廉价、快速且多功能,使攻击者能够在极短的时间内创建语音钓鱼(vishing)和深度伪造骗局,并发起社会工程攻击。武器化人工智能对速度的需求日益增加
由于攻击者利用人工智能精进其技术,语音钓鱼已经失控。CrowdStrike 的2025年全球威胁报告发现,2024年语音钓鱼增加了442%。这是攻击者用来操纵受害者泄露敏感信息、重置凭据并授予电话远程访问的主要初始访问方法。
“我们在2024年看到了442%的基于语音的网络钓鱼增长。这是社会工程学,这表明对手正在找到新的方式来获取访问权限,因为……我们现在处在一个新世界中,对手必须更加努力或以不同的方式来规避现代端点安全工具,”迈尔斯指出。
由于攻击者利用人工智能精进其技术,语音钓鱼已经失控。CrowdStrike 的2025年全球威胁报告发现,2024年语音钓鱼增加了442%。这是攻击者用来操纵受害者泄露敏感信息、重置凭据并授予电话远程访问的主要初始访问方法。
网络钓鱼仍然是一个威胁。迈尔斯表示:“我们看到,当电子邮件内容由人工智能生成时,点击率更高,达到了54%,而由人类生成时仅为12%。”
中国的绿色蝉网络利用人工智能驱动的内容生成器在社交媒体上创建并运行超过5000个虚假账户,以传播选举虚假信息。朝鲜的著名千里马(FAMOUS CHOLLIMA)对手组织正在使用生成式人工智能为IT求职候选人创建虚假的领英个人资料,目标是作为远程员工渗透全球航空航天、国防、软件和技术公司。
首席信息官(CIO)和首席信息安全官(CISO)正在寻找新的反击方式
攻击者的人工智能技术成熟的一个明确标志是他们在基于身份的攻击中取得的成功。基于身份的攻击正取代恶意软件成为主要的入侵方法。2024年的79%的初始访问攻击没有使用恶意软件,而是依赖于被盗凭据、人工智能驱动的网络钓鱼和深度伪造骗局。去年,三分之一,即35%的云入侵利用了有效的凭据。
“对手已经意识到,获得环境访问权限最快的方法之一就是窃取合法凭据或使用社会工程学。将恶意软件带入现代企业,该企业拥有现代安全工具,就像试图将一瓶水带入机场——TSA很可能会抓住你,”迈尔斯解释道。“我们在撤销资源侧合法身份会话令牌的能力上存在差距,”国家石油设备公司(National Oilwell Varco,简称NOV)的首席信息官(CIO)亚历克斯·菲利普斯(亚历克斯·菲利普斯)在最近的一次采访中告诉《创业邦》。
“我们现在有一家初创公司正在帮助我们为最常用的资源创建解决方案,以便我们需要快速撤销访问权限。仅仅重置密码或禁用账户是不够的,你必须撤销会话令牌。”NOV正在运用多种技术抵御攻击。菲利普斯分享了以下内容,这对于关闭越来越依赖语音钓鱼、被盗凭据和身份进行欺骗的AI驱动攻击至关重要:“零信任不仅是有帮助的;它是必需的。它给我们提供了一个强制执行的安全策略网关,使被盗的会话令牌变得无用,”菲利普斯建议道。“身份会话令牌盗窃是一些更高级攻击中使用的手段。”
随着这类攻击的增加,NOV正在收紧身份政策,实施条件访问,并在令牌被盗时找到快速撤销有效令牌的方法。菲利普斯对同行们关闭超快身份攻击的建议是专注于消除单点故障。“确保职责分离;确保没有人或服务账户可以重置密码、启用多因素访问或绕过条件访问。已经测试过的流程来撤销有效的身份会话令牌,”菲利普斯推荐道。
“它给我们提供了一个强制执行的安全策略网关,使被盗的会话令牌变得无用,”菲利普斯建议道。“身份会话令牌盗窃是一些更高级攻击中使用的手段。”随着这类攻击的增加,NOV正在收紧身份政策,实施条件访问,并在令牌被盗时找到快速撤销有效令牌的方法。
不要浪费时间重置密码;立即撤销会话令牌以防横向移动
“仅仅重置密码已经不够了——你必须立即撤销会话令牌以防横向移动,”菲利普斯告诉《创业邦》。不要浪费时间重置密码;立即撤销会话令牌以防横向移动。
应对闪电般快速入侵的三大核心策略
51秒的突破是组织中身份和访问管理(IAM)弱点更大且更严重的症状。IAM安全崩溃的核心在于假设信任足以保护你的业务(事实并非如此)。验证每个身份、会话和资源请求是关键。假设你的公司已经被攻破是第一步。以下是菲利普斯分享的三个关于关闭闪电般快速入侵的教训,并得到了 CrowdStrike 研究的支持,这些研究显示这些攻击已经成为武器化人工智能的新常态:
首先,在入侵扩散之前,从认证层面切断攻击。尽快使被盗的凭据和会话令牌失效。这需要从缩短令牌生命周期和实施实时撤销开始,以阻止攻击者在移动过程中得逞。如果没有现有的计划,开始定义一个坚实的企业零信任框架——一个量身定制于你的业务的框架。阅读更多关于NIST标准中的零信任框架,这是网络安全规划团队广泛引用的文件。
强化IAM验证技术,采用更严格的认证控制以验证呼叫方的真实身份。菲利普斯依赖多种认证方式来验证那些请求凭证、密码重置或远程访问的人的身份。“我们极大地减少了谁能执行密码或多重因素重置。没有人应该能够绕过这些控制,”他说。
使用人工智能驱动的威胁检测实时识别攻击。人工智能和机器学习(ML)擅长在大规模数据集上检测异常,它们也在不断训练这些数据集。识别潜在的入侵或尝试并实时遏制是目标。随着训练攻击数据集的改进,人工智能和ML技术也在不断进步。企业正在从AI驱动的安全信息与事件管理(SIEM)和身份分析中看到显著成果,这些工具能立即识别可疑登录尝试,并对给定端点或入口点实施分割。
NOV正在利用人工智能实时检测身份滥用和基于凭据的威胁。菲利普斯告诉《创业邦》,我们现在有AI检查所有我们的SIEM日志并识别事件或高概率事件。“不是完全实时的,但延迟很短。”
整合身份、云和端点遥测数据,并利用综合数据识别和揭示入侵、漏洞及新兴威胁。对手正在利用漏洞获得初始访问权限。52%的观察到的漏洞与初始访问相关联,这进一步强调了在攻击者建立立足点之前保护暴露系统的必要性。这一发现突显了锁定SaaS和云控制平面以防止未经授权访问和横向移动的必要性。
从恶意软件检测转向凭据滥用预防。这需要从审计所有云访问账户开始,删除不再需要的账户。利用人工智能阻止高速攻击
为了赢得人工智能之战,攻击者正在利用人工智能发动闪电般的快速攻击,同时创建语音钓鱼、深度伪造和社会工程活动以窃取身份。菲利普斯的方法包括采用AI驱动的检测和即时撤销令牌以在它们扩散之前杀死被盗会话,证明是有效的。
利用人工智能阻止高速攻击
菲利普斯和其他许多网络安全和IT领导者的战略核心是零信任。《创业邦》屡次看到成功对抗机器速度攻击的安全领导者都是那些倡导最小权限访问、网络和端点分割、监控每笔交易和资源请求,并持续验证身份的人。
VB每日商业案例洞察
如果你希望给老板留下深刻印象,VB每日可以帮你达成。我们会告诉你公司在生成式人工智能方面的做法,从监管变化到实际部署,这样你就可以分享见解以实现最大投资回报。立即订阅阅读我们的隐私政策感谢订阅。
查看更多VB新闻简报。
发生错误。
(以上内容均由Ai生成)
