凌晨2:13分,一个周日的夜晚,SOC(安全运营中心)团队的最坏梦魇成真了。攻击者从地球的另一端发起了对公司基础设施的全面攻击。由于多个自2022年以来未更新的未打补丁端点,攻击者仅在不到一分钟内就突破了公司的防线。这些具备国家背景攻击技能的攻击者,目标直指Active Directory,意图锁定整个网络,并创建新的管理员级别权限,以阻止任何关闭他们的尝试。与此同时,攻击团队的其他成员则释放出大量机器人,通过上次主要产品发布后从未禁用的API,窃取客户、员工和财务数据的海量信息。
SOC团队的紧急应对
在SOC,警报像最新款的《侠盗猎车手》游戏在Nintendo Switch上一样,不断在控制台上闪烁。SOC分析师们的手机不断响起,他们试图在又一个六天工作周、许多人接近70小时的工作时间后补眠。CISO在凌晨2:35分左右接到了公司MDR(托管检测与响应)提供商的电话,告知正在发生大规模数据泄露。“不是我们公司不满的会计团队干的吧?那个试图模仿《上班一条虫》的家伙没又在搞鬼吧?”CISO半睡半醒地问道。MDR团队负责人回答说,不是,这次攻击来自亚洲,规模很大。
生成式AI带来的网络安全风暴
生成式AI正在创造一个数字技术的多样化世界,包括技术、战术和贸易技巧,从流氓攻击者到国家支持的网络军队,都在采用这些技术。同时,内部威胁也在增长,这由工作不安全和通货膨胀加剧所推动。所有这些挑战都落在了CISO的肩上,难怪越来越多的CISO正在经历职业倦怠。
生成式AI在网络安全中的应用与挑战
根据Gartner的最新数据安全视图,56%的组织已经部署了生成式AI解决方案,但40%的安全领导者承认,他们在有效管理AI风险方面存在重大差距。生成式AI在基础设施安全中的应用最为广泛,18%的企业已全面运营,27%的企业正在积极实施基于生成式AI的系统。其次是安全运营,17%的企业已全面使用基于生成式AI的系统。数据安全是第三大热门用例,15%的企业使用基于生成式AI的系统来保护云、混合和本地数据存储系统以及数据湖。
应对内部威胁的生成式AI策略
生成式AI已经完全改变了每个企业内部的威胁环境,使内部威胁更加自主、隐蔽和难以识别。影子AI是五年前CISO们未曾设想的威胁载体,现在却成为最薄弱的威胁面之一。“我每周都能看到这种情况,”WinWire的CTO Vineet Arora最近告诉VentureBeat。“部门会跳上未经批准的AI解决方案,因为立即的好处太诱人了,让人无法忽视。”Arora强调,员工并非故意恶意行事。“对于组织来说,制定具有强大安全性的策略,同时让员工能够有效地使用AI技术至关重要。”Arora解释说,“全面禁止往往会将AI使用推向地下,这只会放大风险。”
SOC团队的未来挑战
SOC团队正在与时间赛跑,尤其是当他们的系统没有相互集成,且每天产生的超过10,000条警报没有同步时。来自地球另一端的凌晨2:13分的攻击,对于遗留系统来说将是一个难以遏制的挑战。随着对手利用生成式AI不断微调其战术,更多企业需要采取更智能的策略,以充分利用现有系统的价值。推动网络安全供应商发挥已安装系统的最大价值,确保集成正确,避免在SOC地板上旋转椅子来检查不同系统之间的警报完整性。要知道,入侵不是误报。攻击者正展现出在飞行中重新发明自己的能力。现在是时候让更多的SOC和依赖它们的企业也这样做的时候了。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/dang-soc-tuan-dui-zai-ling-chen-2-13-fen-yu-xi-sheng-cheng
