网络安全快照：SANS 推荐六种控制措施来保护 AI 系统，而 NCSC 警告过时的 API 安全方法

快速阅读: 据《安保大道》称，SANS提出保护AI系统的六大关键控制措施，NCSC呼吁加强API安全，多国警告“快速切换”技术威胁，国家州长协会称弥合数字鸿沟可提升网络安全。

关注SANS研究所提出的保护AI系统所需的关键安全控制措施。此外，英国国家网络安全中心（NCSC）呼吁组织采用更先进的API安全实践。另外，CISA和其他网络机构警告称，攻击者正在运用“快速切换”技术隐藏其行踪，因此关键基础设施组织、互联网服务提供商和政府必须优先应对这一重大威胁。以下是截至4月4日这一周值得关注的五件大事。

1. **SANS：保护AI系统的六大关键控制措施**
如何保障组织部署越来越多用于提升业务效率的人工智能（AI）系统的安全性？这是每天困扰网络安全团队的一个重要问题。为了帮助解决这个问题，SANS研究所在本周发布了AI系统安全的草案指南。《SANS Draft Critical AI Security Guidelines v1.1》文档概述了这六个关键的安全控制类别，用于减轻AI系统的网络风险。

– **访问控制方法**：
包括最小权限原则，确保用户、API及系统仅拥有访问AI系统所需的最低权限；零信任模式，用于验证所有与AI模型的交互；API监控，用于标记潜在的恶意API使用。

– **保护AI操作和训练数据**：
包括AI模型的数据完整性防范对AI提示的篡改。

– **安全的部署决策**：
包括根据性能需求和监管要求等因素，选择本地部署还是云端部署；将大型语言模型（LLM）集成到开发环境中，且不暴露秘密，例如API密钥和算法推理安全。

– **防止恶意输入攻击**：
包括采用响应策略处理AI输出，过滤并验证提示以防范提示注入攻击。

– **持续监控AI模型**：
包括拒绝不当请求，检测未经授权的模型更改，记录提示和输出。

– **治理、风险和合规性**：
以遵守数据保护和隐私法规，包括采用AI风险管理框架，维护AI物料清单以追踪AI供应链的依赖关系，使用模型注册表跟踪AI模型生命周期。

“通过重视安全性和合规性，组织能够确保其AI驱动的创新在此复杂且快速变化的环境中持续有效且安全，”文件中写道。

除了这六个关键的安全控制措施外，SANS还提供了关于部署AI模型的建议，建议组织逐步增量地进行，从非关键系统开始；建立中央AI治理委员会；并起草AI事件响应计划。

有关保护AI系统免受网络攻击的更多信息，请查看这些Tenable资源：

2. **NCSC：过时的API安全性是网络攻击者的礼物**
组织必须更新其保护应用程序编程接口（API）的方法，包括使用更强的身份验证。英国国家网络安全中心（NCSC）本周在其新发布的指导文件《保护基于HTTP的API》中这样表示，该文件是在几起高调的API泄露事件之后发布的。

“强化API安全性”不应仅仅被视为一种保护措施；它还可以使组织增强敏捷性、简化性和生产力，“英国国家网络安全中心的一篇配套博客文章《关于保护基于HTTP的API的新指南》中写道。

不幸的是，许多组织仍然依赖过时的API安全实践，包括：
使用基本身份验证；缺乏速率限制和用户节流能力；未保护的端点代码中存储凭据；使用URL传输敏感数据；宽松的输入验证；通过HTTPS进行未加密的API流量；薄弱的日志记录和监控。

NCSC在开发实践、认证与授权、传输中的数据保护、输入验证、拒绝服务攻击防护、日志记录与监控、暴露限制等多个方面提出了具体建议。例如，NCSC建议采用强身份验证框架，如OAuth 2.0或基于令牌的身份验证。它还建议对API设计进行威胁建模分析。另一个建议是在安全的开发和交付环境中开发API的应用程序；并使用安全的标准，例如JSON用于数据交换，TLS加密用于传输中的数据。

有关API安全性的更多信息：
– “OWASP API安全项目”（OWASP）
– “保护企业免受API安全威胁的13个最佳实践”（TechTarget）
– “组织需要解决的四种主要API安全风险”（Dark Reading）
– “评估API安全态势的API安全成熟度模型”（TechTarget）
– “99%的组织报告存在API相关的安全问题”（Infosecurity Magazine）

3. **警报：攻击者利用“快速切换”技术隐藏其行踪**
网络攻击者正在利用一种名为“快速切换”的技术来逃避检测并掩盖他们的行动，因此关键基础设施组织、互联网服务提供商和政府必须优先应对这一重大威胁。

这一警告来自澳大利亚、加拿大、新西兰和美国政府本周联合发布的网络安全咨询文件，标题为《快速切换：国家安全威胁》。“快速切换代表了一个持续存在的网络安全隐患，利用快速变化的基础设施来混淆恶意活动，”文件中写道。“通过实施强大的检测和缓解策略，组织可以显著降低被‘快速切换’启用的威胁所侵害的风险。”

作为一种动态解析技术，“快速切换”允许网络犯罪分子、民族国家行为者和其他网络攻击者：通过快速更改域名系统（DNS）记录（例如IP地址）来伪装服务器位置；建立强大而隐蔽的命令和控制（C2）操作；设置难以阻止和下架的恶意网站用于钓鱼活动。

政府、关键基础设施组织、互联网服务提供商（ISP）、网络安全服务提供商以及防护型DNS服务提供商应采取“多层检测和缓解方法”，以减少被“快速切换”启用的威胁侵害的风险。美国网络安全和基础设施安全局（CISA）发布的一份警报中写道：“快速切换”缓解建议包括：阻止访问与恶意“快速切换”网络相关的IP地址和域名，并将这些域名重定向至受控服务器以分析其流量；增加对DNS和网络流量的监控和日志记录；并设置“快速切换”告警机制。

例如，可以通过美国的“自动指标共享”和澳大利亚的“网络威胁情报共享平台”等方式，与合作伙伴及威胁情报社区共享“快速切换”检测指标，如域和IP地址。同时，培训员工识别和应对网络钓鱼攻击，并制定相关政策和流程以应对由“快速切换”网络引发的网络钓鱼事件。

共同撰写此咨询文件的机构包括CISA、美国联邦调查局（FBI）、澳大利亚网络安全中心、加拿大网络安全中心和新西兰国家网络安全中心。

有关“快速切换”技术的更多信息：
– “动态解析：快速切换DNS”（MITRE）
– “基于网络流量的快速切换僵尸网络检测”（IEEE）
– “快速切换DNS”（DevX）
– “什么是DNS快速切换？”（Knowledge Academy）
– “基于DNS的快速切换僵尸网络检测方法”（ICTERI）

4. **弥合数字鸿沟将提升网络安全能力**
国家州长协会（NASCIO）称，弥合数字鸿沟将提升网络安全能力。

5. **联合公告：快速切换的技术威胁**
弥合数字鸿沟将提升网络安全能力，国家州长协会（NASCIO）称将文中提到的所有英文单词翻译成中文，最终的内容只输出中文，装备名称、人名地名、公司名称都翻译成中文，最后将语句再润色一下，使得前后文更加的通顺，让语句更加的生动，将最后的输出文本的格式看起来更美观，除此之外，不要提供任何解释文字。

(以上内容均由Ai生成)