Defensive AI：用于防御新一代威脅的Cloudflare框架

生成式AI能夠創(chuàng)作詩(shī)歌、劇本或圖像，捕獲了全世界的想象力。這些工具可以用來(lái)提高人類(lèi)為善事業(yè)的生產(chǎn)力，但也可能被惡意行為者用來(lái)執(zhí)行復(fù)雜的攻擊。

我們正在目睹網(wǎng)絡(luò)釣魚(yú)攻擊和社會(huì)工程日益復(fù)雜化，攻擊者利用強(qiáng)大的新工具來(lái)生成可信的內(nèi)容，或者仿似真人一樣與人類(lèi)互動(dòng)。攻擊者可以利用AI構(gòu)建專(zhuān)為攻擊特定網(wǎng)站而設(shè)計(jì)的精品工具，旨在獲取專(zhuān)有數(shù)據(jù)和接管用戶(hù)賬戶(hù)。

為了抵御這些新挑戰(zhàn)，我們需要全新的、更復(fù)雜的安全工具：這就是Defensive AI（防御性人工智能）誕生的由來(lái)。Defensive AI是Cloudflare在考慮智能系統(tǒng)如何能提高我們安全解決方案有效性時(shí)使用的框架。Defensive AI的關(guān)鍵是Cloudflare的龐大網(wǎng)絡(luò)生成的數(shù)據(jù)，無(wú)論是來(lái)自整個(gè)網(wǎng)絡(luò)還是特定于個(gè)別客戶(hù)的流量。

Cloudflare使用AI來(lái)提高所有安全領(lǐng)域的防御水平，包括應(yīng)用程序安全、電子郵件安全及Cloudflare Zero Trust平臺(tái)。這包括為每個(gè)客戶(hù)創(chuàng)建定制適用于API或電子郵件安全的保護(hù)措施，或者利用我們的海量攻擊數(shù)據(jù)來(lái)訓(xùn)練模型，以便檢測(cè)尚未發(fā)現(xiàn)的應(yīng)用程序攻擊。

下文我們將提供一些示例，展示我們?nèi)绾卧O(shè)計(jì)最新一代的安全產(chǎn)品，以利用AI來(lái)防御由AI驅(qū)動(dòng)的攻擊。

通過(guò)異常檢測(cè)保護(hù)API

API驅(qū)動(dòng)著現(xiàn)代Web網(wǎng)絡(luò)，占Cloudflare網(wǎng)絡(luò)動(dòng)態(tài)流量的57%，比2021年的52%有所上升。雖然API并非新技術(shù)，但保護(hù)它們不同于保護(hù)傳統(tǒng)的Web應(yīng)用程序。因?yàn)锳PI從設(shè)計(jì)上就是為了便于程序化訪問(wèn)，并且越來(lái)越受歡迎，因此詐騙分子和威脅行為者已經(jīng)將目標(biāo)轉(zhuǎn)向API。安全團(tuán)隊(duì)現(xiàn)在必須應(yīng)對(duì)這一日益增長(zhǎng)的威脅。重要的是，每個(gè)API的目的和用途通常都是獨(dú)一無(wú)二的，因此保護(hù)API可能需要大量的時(shí)間。

Cloudflare正在開(kāi)發(fā)API Gateway的API Anomaly Detection，旨在保護(hù)API免受用于破壞應(yīng)用程序、接管賬戶(hù)或竊取數(shù)據(jù)的攻擊。API Gateway在您托管的API和與它們交互的每個(gè)設(shè)備之間提供了一層保護(hù)，為您提供管理API所需的可見(jiàn)性、控制和安全工具。

API Anomaly Detection是我們API Gateway產(chǎn)品套件中即將推出的機(jī)器學(xué)習(xí)驅(qū)動(dòng)功能，也是Sequence Analytics的后續(xù)迭代產(chǎn)品。為了大規(guī)模保護(hù)API，API Anomaly Detection通過(guò)分析客戶(hù)端API請(qǐng)求序列來(lái)學(xué)習(xí)應(yīng)用程序的業(yè)務(wù)邏輯。然后，它會(huì)構(gòu)建一個(gè)模型，展示該應(yīng)用程序預(yù)期請(qǐng)求序列的樣子。所生成的流量模型用于識(shí)別偏離預(yù)期客戶(hù)端行為的攻擊。因此，API Gateway可以使用其Sequence Mitigation功能來(lái)強(qiáng)制執(zhí)行學(xué)習(xí)到的應(yīng)用程序預(yù)期業(yè)務(wù)邏輯模型，從而阻止攻擊。

雖然我們?nèi)栽陂_(kāi)發(fā)API Anomaly Detection，但API Gateway用戶(hù)可在這里注冊(cè)以參加API Anomaly Detection的beta測(cè)試。用戶(hù)可以通過(guò)查看文檔開(kāi)始使用Sequence Analytics和Sequence Mitigation。尚未購(gòu)買(mǎi)API Gateway的Enterprise計(jì)劃用戶(hù)可在Cloudflare儀表板中自行開(kāi)始試用，或聯(lián)系您的賬戶(hù)經(jīng)理了解更多信息。

識(shí)別未知的應(yīng)用程序漏洞

AI能夠提高安全性的另一個(gè)領(lǐng)域是我們的Web應(yīng)用程序防火墻（WAF）。Cloudflare平均每秒處理5500萬(wàn)個(gè)HTTP請(qǐng)求，對(duì)全球范圍內(nèi)針對(duì)各種應(yīng)用程序的攻擊和漏洞利用擁有無(wú)與倫比的可見(jiàn)性。

圖片WAF面臨的一大挑戰(zhàn)是增加針對(duì)新漏洞和誤報(bào)的保護(hù)。WAF是一系列規(guī)則，旨在識(shí)別針對(duì)Web應(yīng)用程序的攻擊。每天都有新的漏洞被發(fā)現(xiàn)，Cloudflare擁有一個(gè)安全分析師團(tuán)隊(duì)，負(fù)責(zé)在漏洞被發(fā)現(xiàn)時(shí)創(chuàng)建新的規(guī)則。然而，手動(dòng)創(chuàng)建規(guī)則需要時(shí)間—通常是幾個(gè)小時(shí)—這使得應(yīng)用程序在保護(hù)措施到位之前有可能受到攻擊。另一個(gè)問(wèn)題是，攻擊者不斷地發(fā)展和變異現(xiàn)有的攻擊有效負(fù)載，有可能繞過(guò)現(xiàn)有的規(guī)則。

這就是為什么Cloudflare多年來(lái)一直利用機(jī)器學(xué)習(xí)模型不斷從最新的攻擊中學(xué)習(xí)并部署對(duì)應(yīng)緩解措施而無(wú)需手動(dòng)創(chuàng)建規(guī)則。例如，在我們WAF Attack Score解決方案中就可以看到這一點(diǎn)。WAF Attack Score基于一個(gè)以Cloudflare網(wǎng)絡(luò)上識(shí)別到的攻擊流量訓(xùn)練的機(jī)器學(xué)習(xí)模型。所生成的分類(lèi)器使我們能夠識(shí)別現(xiàn)有攻擊的變體和繞過(guò)方式，同時(shí)將保護(hù)擴(kuò)展到新的、未發(fā)現(xiàn)的攻擊。最近，我們已經(jīng)將Attack Score向所有Enterprise和Business計(jì)劃用戶(hù)開(kāi)放。

Attack Score使用AI根據(jù)每個(gè)HTTP請(qǐng)求是惡意的可能性進(jìn)行分類(lèi)。

雖然安全分析師的貢獻(xiàn)不可或缺，但在AI和攻擊有效負(fù)載迅速演變的時(shí)代，一個(gè)強(qiáng)大的安全態(tài)勢(shì)要求解決方案不依賴(lài)于人工操作者為每一個(gè)新型威脅編寫(xiě)規(guī)則。將Attack Score與基于特征的傳統(tǒng)規(guī)則相結(jié)合，是智能系統(tǒng)支持人類(lèi)執(zhí)行任務(wù)的一個(gè)范例。Attack Score識(shí)別出新的惡意負(fù)載，供分析師使用以?xún)?yōu)化規(guī)則，反過(guò)來(lái)，這為我們的AI模型提供更好的訓(xùn)練數(shù)據(jù)。這形成了一個(gè)強(qiáng)化的正反饋循環(huán)，改善我們WAF的整體保護(hù)和響應(yīng)時(shí)間。

作為長(zhǎng)期計(jì)劃，我們將調(diào)整AI模型以考慮客戶(hù)特定流量的特征，從而更好地識(shí)別與正常和無(wú)害流量的偏差。

使用AI對(duì)抗網(wǎng)絡(luò)釣魚(yú)

電子郵件是不法分子利用的最有效手段之一，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）90%的網(wǎng)絡(luò)攻擊是從網(wǎng)絡(luò)釣魚(yú)開(kāi)始的，Cloudflare Email Security標(biāo)記惡意的電子郵件占2023總數(shù)的2.6%。AI增強(qiáng)攻擊的興起使傳統(tǒng)的電子郵件安全提供商的方案變得過(guò)時(shí)，因?yàn)橥{行為者現(xiàn)在可以制作出比以往更可信的網(wǎng)絡(luò)釣魚(yú)電子郵件，其中幾乎沒(méi)有或僅有極少的語(yǔ)言錯(cuò)誤。

Cloudflare Email Security是一項(xiàng)云原生服務(wù)，能夠阻止利用所有威脅手段的網(wǎng)絡(luò)釣魚(yú)攻擊。即使像生成式AI這樣的趨勢(shì)持續(xù)發(fā)展，Cloudflare電子郵件安全產(chǎn)品也將會(huì)持續(xù)通過(guò)其AI模型保護(hù)客戶(hù)。Cloudflare的模型分析網(wǎng)絡(luò)釣魚(yú)攻擊的所有部分，以確定對(duì)最終用戶(hù)構(gòu)成的風(fēng)險(xiǎn)。我們的一些AI模型是為每位客戶(hù)個(gè)性化定制的，而其他則是整體訓(xùn)練的。Cloudflare高度重視隱私，因此我們的工具僅使用非個(gè)人可識(shí)別信息進(jìn)行訓(xùn)練。在2023年，Cloudflare處理了大約130億封電子郵件，阻止了34億封，為電子郵件安全產(chǎn)品提供了一個(gè)豐富的數(shù)據(jù)集，可用于訓(xùn)練AI模型。

我們產(chǎn)品組合中的兩個(gè)檢測(cè)工具是Honeycomb和Labyrinth。

-Honeycomb是一個(gè)獲得專(zhuān)利的電子郵件發(fā)件人域名聲譽(yù)模型。該服務(wù)構(gòu)建了一個(gè)關(guān)于誰(shuí)在發(fā)送消息的圖表，并建立了一個(gè)模型來(lái)確定風(fēng)險(xiǎn)。模型根據(jù)特定客戶(hù)的流量模式進(jìn)行訓(xùn)練，因此每個(gè)客戶(hù)都有針對(duì)其良好流量模式訓(xùn)練的AI模型。

-Labyrinth采用機(jī)器學(xué)習(xí)技術(shù)為每個(gè)客戶(hù)提供保護(hù)。惡意行為者試圖偽造來(lái)自我們客戶(hù)的合法合作公司的電子郵件。我們可以為每個(gè)客戶(hù)收集列表，包含已知且良好的電子郵件發(fā)送者。當(dāng)電子郵件由來(lái)自未經(jīng)驗(yàn)證域的某人發(fā)送，但電子郵件本身提到的域是一個(gè)參考/已驗(yàn)證的域時(shí)，我們就可以檢測(cè)到偽造企圖。

AI仍然是我們電子郵件安全產(chǎn)品的核心，我們不斷改進(jìn)我們?cè)诋a(chǎn)品中利用它的方式。如果您想進(jìn)一步了解我們?nèi)绾问褂肁I模型來(lái)阻止AI增強(qiáng)網(wǎng)絡(luò)釣魚(yú)攻擊，請(qǐng)?jiān)谶@里查看我們的博客文章。

由AI保護(hù)和驅(qū)動(dòng)的Zero Trust安全

Cloudflare Zero Trust為管理員提供一系列工具，通過(guò)強(qiáng)制執(zhí)行嚴(yán)格的身份驗(yàn)證，保護(hù)對(duì)其IT基礎(chǔ)設(shè)施的訪問(wèn)，無(wú)論用戶(hù)和設(shè)備是在網(wǎng)絡(luò)邊界內(nèi)還是外。

其中一個(gè)重大挑戰(zhàn)是，在執(zhí)行嚴(yán)格訪問(wèn)控制的同時(shí)減少頻繁驗(yàn)證引入的摩擦?，F(xiàn)有解決方案還會(huì)給IT團(tuán)隊(duì)帶來(lái)壓力，他們需要分析日志數(shù)據(jù)以跟蹤風(fēng)險(xiǎn)在基礎(chǔ)設(shè)施內(nèi)部如何演變。篩查海量數(shù)據(jù)以發(fā)現(xiàn)罕見(jiàn)的攻擊需要大型團(tuán)隊(duì)和巨額預(yù)算投入。

Cloudflare通過(guò)引入基于行為的用戶(hù)風(fēng)險(xiǎn)評(píng)分來(lái)簡(jiǎn)化這一過(guò)程。我們利用AI分析實(shí)時(shí)數(shù)據(jù)，以識(shí)別用戶(hù)行為中的異常和可能對(duì)組織造成傷害的信號(hào)。這為管理員提供了關(guān)于如何根據(jù)用戶(hù)行為定制安全態(tài)勢(shì)的可靠且有效的建議。

Zero Trust用戶(hù)風(fēng)險(xiǎn)評(píng)分檢測(cè)可能給您的組織、系統(tǒng)和數(shù)據(jù)引入風(fēng)險(xiǎn)的用戶(hù)活動(dòng)和行為，并為涉及的用戶(hù)分配低、中、高三種評(píng)分。這種方法有時(shí)被稱(chēng)為用戶(hù)和實(shí)體行為分析（UEBA），使團(tuán)隊(duì)能夠檢測(cè)和糾正可能的賬戶(hù)入侵、公司政策違反行為和其他有風(fēng)險(xiǎn)的活動(dòng)。

我們正在推出的第一個(gè)上下文行為是“不可能的旅行”，它有助于確定用戶(hù)的憑據(jù)是否在同一時(shí)間段內(nèi)在該用戶(hù)不可能到達(dá)的兩個(gè)地點(diǎn)被使用。這些風(fēng)險(xiǎn)評(píng)分未來(lái)可以進(jìn)一步擴(kuò)展，以突出基于上下文信息（如一天中的使用模式和訪問(wèn)模式）的個(gè)性化行為風(fēng)險(xiǎn)，以標(biāo)記任何異常行為。由于所有流量都將通過(guò)您的SWG進(jìn)行代理，這也可以擴(kuò)展到正在訪問(wèn)的資源，比如公司內(nèi)部報(bào)告。

Security Week期間我們推出了一項(xiàng)令人興奮的功能。

總結(jié)

從應(yīng)用程序安全、電子郵件安全到網(wǎng)絡(luò)安全和Zero Trust，我們發(fā)現(xiàn)攻擊者正在利用新技術(shù)更有效地實(shí)現(xiàn)他們的目標(biāo)。在過(guò)去幾年中，多個(gè)Cloudflare產(chǎn)品和工程團(tuán)隊(duì)都采用了智能系統(tǒng)，以更好地識(shí)別濫用行為并增強(qiáng)保護(hù)。

除了生成式AI狂熱發(fā)展趨勢(shì)，AI已經(jīng)成為我們保護(hù)數(shù)字資產(chǎn)免受攻擊以及阻止惡意行為者這一努力的重要組成部分。