AI浪潮下的護網行動之變

2016年，《中華人民共和國網絡安全法》正式發(fā)布，其中規(guī)定了關鍵信息基礎設施的運營者應“制定網絡安全事件應急預案，并定期進行演練”。護網行動至此成為了固定活動，每年一次，每一次持續(xù)2～4周。護網行動是針對全國范圍內真實的網絡目標實戰(zhàn)攻防活動，目的在于發(fā)現(xiàn)、暴露并解決企業(yè)存在的網絡安全問題，通過網絡攻擊的手段檢驗我國各大企事業(yè)單位、部屬機關的網絡安全防護水平和應急處置能力。

經過多年的實戰(zhàn)操練，護網行動進入常態(tài)化、穩(wěn)定期，攻防之間也形成一種平衡，然而AI打破了這一局面。F5中國區(qū)金融和企業(yè)事業(yè)部技術總監(jiān)兼安全事業(yè)部總經理陳亮在接受采訪時表示，AI等新技術的廣泛應用讓網絡攻防手段都發(fā)生了革命性的變化，護網運動也相應進入轉型期。

轉型期的護網行動相比之前會有如下幾個變化：首先，防守方（藍方）之前“人海戰(zhàn)術+手動封禁”的高強度集中值守模式以及“阻斷+打補丁”式防護理念已經不可持續(xù)，應該強調安全運營，通過實時的監(jiān)測、持續(xù)的響應，不斷地優(yōu)化自己的安全策略。其次，由于云原生、微服務、容器等新技術理念被廣泛采用，防守方的IT架構發(fā)生了很大的變化，圍繞API的攻防將成為焦點。最后，防守方會引入AI技術以提高防護的自動化和智能化水平，但需要注意的是，AI本身是一把雙刃劍。

傳統(tǒng)的安全維護手段，如漏洞修補、防火墻部署和入侵檢測，已難以應對日益復雜的網絡攻擊環(huán)境。安全運營的目的是實現(xiàn)網絡安全從被動防御轉向主動治理，強調構建能夠有效管理威脅預警、發(fā)現(xiàn)、響應、處置等各個環(huán)節(jié)的安全管理體系。陳亮說：“一味地防守總會失誤，所以發(fā)現(xiàn)漏洞、及時響應、不斷優(yōu)化更加重要。安全運營有助于護網行動從單純的對抗發(fā)展為持久作戰(zhàn)。”

移動互聯(lián)網的崛起和數(shù)字化轉型的推進讓API在現(xiàn)代軟件開發(fā)中占據(jù)著越來越重要的地位。作為應用和數(shù)據(jù)的網關，API已成為構建數(shù)字業(yè)務的基礎。根據(jù)F5發(fā)布的《2024年應用策略現(xiàn)狀》報告，88%的企業(yè)表示他們在多個地點部署應用和API。然而，樹大招風，根據(jù)Salt Labs報告，API攻擊活動數(shù)量呈數(shù)倍增長，已是網絡攻擊的首選目標。因此，API發(fā)現(xiàn)與加固已成為轉型期的護網行動的必備能力之一，重要性日益凸顯。陳亮稱，F(xiàn)5能夠提供業(yè)界最全面的API安全解決方案。

AI的興起除了可以讓攻擊方（紅方）生成更多的攻擊工具外，也可以讓攻擊方進行一些更深度的欺騙，比如釣魚郵件，來實現(xiàn)滲透。門檻低、手段多、防護難、損失大，這是陳亮總結的AI攻擊四大特點。此外，防守方也會利用AI技術，比如大模型，來提高防護的自動化能力，但是大模型本身對于防護方來說就像一個黑盒子，其不透明讓危險變得無處不在，而傳統(tǒng)手段對于大模型的防護已經失靈。

陳亮認為，為了適應變化，轉型期的護網行動必須具備4大能力——自動化、持續(xù)監(jiān)控和處置、縱深防御、API發(fā)現(xiàn)與加固。