安全问题迫在眉睫 Buff AI 对话Akamai 是利好防守方还是攻击方 (安全问题迫在眉睫)
数字化时代,安全是一个需要长期研究的课题。
今年一月份美国医疗设备巨头因网络攻击,100万人的敏感信息被泄露;印度火车票务平台遭遇大规模数据泄露,涉及人数超3100万;紧接着是制药巨头Sun Pharma、皇家邮政(Royal Mail)被勒索软件攻击...
而国内近两年也成了安全事故频发的重灾区,在此影响下,国内企业对安全的重视程度有了明显的提升。据一项调查数据显示,包括中国、日本、印尼、新加坡、澳新地区以及韩国等地在内的2341 位受访者。其中75% 的亚太地区用户表示,在发生数据泄露事件时,即使该企业能够提供优质的服务和产品,也会停止对该公司的支持。
这也从侧面说明了,数据安全的重要性正在日益凸显,同时也为许多没有把数据安全放在第一位的企业敲响了警钟。
但与之而来的数字化再次给企业笼罩了一层安全的阴霾。这一时期,企业积极拥抱数字化,数字技术逐渐应用到各业务场景中,但同时也加剧了网络勒索、钓鱼攻击、数据窃取等重大安全事件频发。
更重要的是,处在数字化转型深水区的企业有一个很明显的特征,大部分公司开始把越来越多的业务从线下搬到线上,这时就需要通过API进行数据交换和实现业务逻辑的转变,同时企业APP、Web和应用程序核心功能、云体系与微服务架构等均离不开API,API的数量和流量与日俱增,这也就加剧了API安全问题的频发。
相关市场研究报告数据说明,与整体 API 流量相比,API 攻击流量增长了三倍。通过利用API的安全漏洞,攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限,从而进行扫号撞库、数据窃取、营销作弊等破坏活动,严重损害企业的业务发展。
也就是说,当下 API安全的建设已经刻不容缓,但现实情况是,很多企业在API安全建设方面相对薄弱,企业存在一些误区,这就给了黑产可乘之机。
Akamai 自成立以来就一直在做安全方面的相关研究,其中Web防火墙就是主要产品之一。执行总裁Robert Blumofe表示,越来越多的Web应用都是通过API来实现的,包括后端和前端的通信,不同的微服务之间的通信等。
他坦言,现在大部分企有一个很普遍的现象,一家企业的整体业务中可能有几百个甚至上千个API。但这些API如果没有得到妥善防护,就很容易被网络罪犯入侵、攻击,以获得访问一些敏感信息或者入侵到企业的具体业务中去。
从企业层面来说,很多企业虽然有成千上万个API,但其实他们本身是不自知的,同时这些企业更是缺乏监测API情况的手段,比如这些API是否是合法使用的,甚至没有能力了解API什么时候受到了攻击。
此外,很多企业使用的是第三方的开源插件,Robert Blumofe谈到,这种情况也已经非常普遍,和API一样,一般情况下大部分企业不知道自己用了哪些第三方的软件,有时即使知道用了也不知道这些软件是谁写的,这就让企业在进行安全防护时显得很被动。
基于此,Akamai提出了“可视性”的概念,同时,为了加强自身安全方面的服务能力,Akamai收购了Neosec公司,并面向市场推出这样新的API的防护、可视的能力——Neosec API安全解决方案,通过该方案,客户可以实时看到他们公司所拥有的API的使用情况,同时在API被滥用的时候能够对他们提出警报。
对此,Akamai副总裁暨大中华区总经理李昇回忆道,2021年12月,一个“核弹级”漏洞(Log4Shell )的爆出,让全球陷入了惶恐,短时间内就让全球近半数的企业网络遭遇了攻击,并在互联网上迅猛扩散。主要原因在于Log4j漏洞利用成本极低,可以直接任意代码执行,并接管目标服务器。
而Akamai 威胁研究实验室利用自身对于全球海量数据中心的监测能力,从全球 200 多个不同行业、不同规模的数据中心收集了相关数据,评估了 Log4j 漏洞给企业带来的实际风险并给出防御建议。
其中就运用到了“可视性”防护的策略,而其背后是“微分段”提供了技术支撑。李昇形象的比喻道,就像一个大楼,如果没有微分段的话,一旦有风险的软件被使用,它在大楼中就可以去任何一个房间中的任何一个文件柜。但“微分段”就是虽然进了这个楼,每个房间里面都配置了一把锁,甚至每一个文件柜都有一把锁。这样的话,就算进到这个房间,也不能在没有授权的情况下访问文件柜中的文件。
“之前的‘微分段’,你的访问的是一个大楼,一旦你进到这个大楼就可以畅通无阻了。现在的“微分段”实际上就是给每个房间都上了一把锁,只有你确实需要进入某个特定房间的时候、你才能够进入某个房间。”
转眼到了大模型时代,安全问题似乎比数字化时代更为严峻,诸如GPT刚进入大众视野时,被人们称为“全知全能的神”,但是伴随着使用过程中出现的数据泄露等问题,也引来了各种争议。包括三星、摩根大通、苹果、花旗集团等在内的多家头部企业纷纷限制员工使用chatgpt。
了解到,早在前几年Akamai就通过深度学习实现了流量分类的作用,比如是恶意流量还是非恶意流量,正常流量还是异常流量,真实人类产生的流量,还是机器人程序Bot产生的流量。
当然大模型的出现也给Akamai在安全方面的研究提供了新的视野和新的技术支撑,据Robert Blumofe介绍,基于公司目前的运行规模,通过所有数据和收集的互联网的流量,Akamai训练了一个深度学习的模型,这样能实现更加有效的流量分类。
但一项新鲜事物的诞生,往往是机遇和挑战并存。Robert Blumofe分析道,生成式AI的出现让我们能够看到很多新的机会、新的机遇,但是其实也带来新的威胁。如果放在网络罪犯的手里,生成式AI其实是一个非常强有力的犯罪工具。网络犯罪分子可以利用生成式AI大量的去生成这种“钓鱼的诱饵”,也可以用它产生大量的恶意软件。
还重点强调了要从提示词的输入方面规避安全事故的发生:
首先,第三方大模型会记录下你输入的提示词内容,将来某个阶段在输出答案时,很可能把这些提示词作为答案的一部分反馈给其他用户。如果当中涉及到一些敏感信息或者公司业务信息,就会泄露从而给个人或者公司带来不小的损失。
其次,在用于一些严肃场景,关键用途时候,一定要看大模型输出的结果是什么样的。
纵观网络攻击事件的发展,随着科学技术的进步,网络攻击手段也在不断的升级,五年前更多的是类似“黑客” 的“网络罪犯”,他们更多的是为了凸显自己的能力或者传播自己的观点。
但近五年出现了一种新型的网络犯罪模式,他们更多的是出于金钱目的,且他们的能力和工具比之前要强的多,攻击更有效、规模更大。
在Robert Blumofe看来,未来五年会有更多的由AI驱动的网络犯罪、网络攻击工具。从短期来看,随着生成式AI的出现,会出现一种能力不对等的情况,且更多的能力会赋予到网络攻击方而非防守方。所以作为防守方,就更需要了解对方有哪些工具,了解他们怎么样用AI技术来进行网络攻击。
所谓道高一尺魔高一丈,大模型时代,安全必然会成为现在乃至未来很长一段时间业界关注的焦点话题。如何提高防护手段,抵御新型攻击?仍需要时间来验证。
原创文章,未经授权禁止转载。详情见 转载须知 。