AI技術的快速發展正在拉大威脅行為者與網路防禦者之間的能力鴻溝,後者在很大程度上仍依賴人工監督。
這是微隔離服務商Illumio行業戰略副總裁Raghu Nandakumara的觀點。他指出,攻擊者正在利用AI工具發現漏洞、武器化漏洞利用方式並大規模執行攻擊,而網路防禦者對於讓自動化系統執行修復操作依然持謹慎態度。
"攻擊方始終在嘗試儘可能地實現自動化,因為他們沒有理由在攻擊流程中保留人工環節。"Nandakumara在接受Computer Weekly採訪時表示。相比之下,儘管目前已有AI驅動的安全工具可供使用,IT團隊仍不願讓軟體在未經人工核實的情況下自主隔離系統或將基礎設施下線。
"他們不相信AI具備足夠的上下文判斷能力來做出正確決策,因為AI並不了解相關操作對業務的潛在影響。"他補充道,"可以看到,這種不對稱性只會持續擴大,因為人類總會踩下剎車。"
建立"假設已遭入侵"的安全思維
長期以來,企業將大量資金投入終端檢測與響應(EDR)以及邊界防火牆,但這些投入已無法有效應對AI驅動的對手所帶來的機器級攻擊速度。
Nandakumara表示,企業必須轉而採納"假設已遭入侵"的安全思維。"不僅要承認網路攻擊必然會發生,還要承認網路攻擊——即對目標環境的初始入侵——必然會取得成功。"
這要求安全團隊構建網路韌性,通過限制攻擊的爆炸半徑、遏制攻擊擴散來抵禦攻擊。例如,在網路層應用精細化微隔離策略,將已繞過邊界控制的攻擊者困於有限範圍之內。
"歸根結底,攻擊者是在尋找某種漏洞或錯誤配置加以利用,從而獲取網路訪問權限。如果你能更好地保護網路,就能直接阻止或限制攻擊者的橫向移動。"Nandakumara說道。
不過,他也提醒安全團隊,必須清晰區分微隔離作為技術能力本身,與希望通過它實現的策略目標之間的差異。隔離粒度的選擇——無論是分隔單個埠和進程,還是簡單地將生產環境與非生產環境隔離——本質上是由業務風險驅動的策略問題。
與SASE及現代安全體系的協同配合
儘管安全訪問服務邊緣(SASE)和零信任網路訪問(ZTNA)等技術的採用率持續增長,Nandakumara澄清,微隔離解決的是一個本質上不同的問題。
他將Zscaler、Cloudflare等雲安全廠商提供的SASE服務比作大樓的安保人員:"他們本質上都聚焦於正門——如何讓可能身處任何地點的用戶安全地連接到企業環境?"
而Illumio的工作完全在邊界內部展開。"我們要解決的是:如何讓你對內部所有連接擁有完整的可見性並加以保護?"Nandakumara表示,兩種方案相輔相成,對於構建完整的零信任架構缺一不可。
他還指出,儘管部分雲安全廠商已涉足微隔離領域,但許多廠商因底層架構的局限而舉步維艱。"試圖沿用原有架構思路並將其延伸至微隔離,往往行不通,或者需要為客戶環境引入更高的複雜度。"他說。
OT融合帶來新的隔離需求
過去,承載工業控制系統和關鍵基礎設施的運營技術(OT)網路通常與網際網路隔絕,導致可見性和管控能力受限。然而,隨著OT與IT環境的深度融合,企業的OT系統正面臨前所未有的暴露風險。
Nandakumara表示,過去18個月裡市場發生了巨大變化。OT隔離是否可行這一曾被視為理論探討的問題,如今已成為關鍵優先事項。
"在監管因素與OT環境現代化的雙重驅動下,我們正開始看到對OT環境隔離的真實需求。"Nandakumara說。
無論面對的是OT威脅還是AI智能體,Nandakumara認為安全的核心原則始終如一,變化的只是規模與速度。
"我認為雲計算並未帶來全新的安全挑戰,它只是讓那些本質性的安全問題變得更加重要——因為任何系統都可能因一個配置失誤而暴露。"Nandakumara說,"AI也是如此,只不過其規模與複雜程度是我們前所未見的。"
Q&A
Q1:什麼是"假設已遭入侵"的安全思維?
A:這是一種主動防禦理念,核心是承認網路攻擊和初始入侵必然會發生,而非寄希望於完全阻止攻擊。基於這一思維,安全團隊的目標是構建網路韌性,通過限制攻擊的爆炸半徑、運用微隔離等手段遏制攻擊擴散,將損失控制在最小範圍內,而非僅依賴傳統的邊界防禦。
Q2:微隔離技術和SASE有什麼區別?
A:兩者解決的是不同層面的安全問題。SASE聚焦於"邊界入口",幫助遠程用戶安全接入企業網路,類似大樓的門衛。微隔離則專注於"邊界內部",對網路內部的橫向連接進行精細化管控和可見性保障。兩者相輔相成,共同構成完整的零信任安全架構
,缺一不可。
Q3:AI的發展為什麼會加劇網路攻防之間的不對稱性?
A:攻擊者可以充分利用AI實現全程自動化,無需人工介入,從而以極高速度發現漏洞、發起攻擊。而防禦者出於對AI判斷能力的不信任以及對業務影響的顧慮,仍傾向於保留人工審核環節,導致響應速度遠落後於攻擊速度。這種"攻擊全自動、防禦靠人工"的結構性差異,使得攻防不對稱持續加劇。
