AI 技術如何對抗網路威脅?

如何使用防禦性 AI 架構來提高安全解決方案的有效性,並利用Cloudflare 龐大網路產生的資料,內容也涵蓋了其他安全領域的 AI 應用,包括 Web Application Firewall (WAF) 和 Zero Trust 平台。
2024-04-02
by 樂雲

生成式 AI 由於能夠創作詩歌、劇本或影像,引起了全世界的關注。這些工具可用於幫助人類提高生產力,這是好的一面,但惡意行為者也可以利用它們來實施複雜的攻擊。

我們看到網路釣魚攻擊和社交工程變得越來越複雜,這是因為攻擊者利用功能強大的新工具產生了可信賴的內容,或者就像真人一樣與人類互動。攻擊者可以使用 AI 構建精品工具來攻擊特定網站,其目的是收集專有資料並接管使用者帳戶。

為了應對這些新挑戰,我們需要更複雜的新型安全工具:防禦性 AI 由此應運而生。防禦性 AI 是 Cloudflare 在考慮智慧型系統如何提高安全解決方案有效性時所使用的架構。防禦性 AI 的關鍵在於 Cloudflare 的龐大網路所產生的資料,無論是位於整個網路中的一般資料還是個人客戶流量的特定資料。

在 Cloudflare,我們使用 AI 來提高所有安全領域的保護層級,從應用程式安全到電子郵件安全以及我們的 Zero Trust 平台。這包括為每個客戶建立針對 API 或電子郵件安全的自訂保護,或使用我們的大量攻擊資料來訓練模型以偵測尚未發現的應用程式攻擊。

在以下章節中,我們將透過範例來說明我們如何設計最新一代的安全產品,以利用 AI 來防禦採用 AI 技術的攻擊。

透過異常偵測保護 API

API 為現代 Web 提供支援,佔 Cloudflare 網路動態流量的 57%,高於 2021 年的 52%。雖然 API 不是一項新技術,但保護它們與保護傳統 Web 應用程式並不相同。由於 API 在設計上提供了輕鬆的程式設計存取,並且熱門程度不斷提高,因此詐騙者和威脅行為者將目標轉向了 API。安全團隊現在必須應對這一日益嚴重的威脅。重要的是,每個 API 的用途和用法通常都是獨一無二的,因此,保護 API 會花費大量的時間。

Cloudflare 宣佈針對 API Gateway 開發 API 異常偵測,以保護 API 免受旨在破壞應用程式、接管帳戶或外洩資料的攻擊。API Gateway 在託管的 API 和與其交互的每個裝置之間提供一層保護,從而為您提供管理 API 所需的可見度、控制和安全工具。

API 異常偵測是我們 API Gateway 產品套件中即將推出的採用 ML 技術的功能,也自然成為序列分析的後續產品。為了大規模保護 API,API 異常偵測透過分析用戶端 API 請求序列來學習應用程式的商務邏輯。然後,它會為該應用程式的預期請求序列建立一個模型。產生的流量模型用於識別偏離預期用戶端行為的攻擊。因此,API Gateway 可以使用序列緩解功能來強制執行應用程式預期商務邏輯的學習模型,從而阻止攻擊。

雖然 API 異常偵測仍在開發中,但 API Gateway 客戶可以在這裡註冊,加入 API 異常偵測的測試版。今天,客戶可以透過查看文件,開始使用序列分析和序列緩解。尚未購買 API Gateway 的 Enterprise 方案客戶可以在 Cloudflare 儀表板中自行啟動試用版,也可以聯絡客戶經理來瞭解更多資訊。

識別未知的應用程式漏洞

AI 提高安全性的另一個領域是我們的 Web Application Firewall (WAF)。Cloudflare 平均每秒處理 5,500 萬個 HTTP 請求,並且對全球範圍內針對各種應用程式的攻擊和漏洞利用具有無與倫比的可見性。

WAF 面臨的一大挑戰是如何針對新的漏洞和誤報增加防護。WAF 是旨在識別針對 Web 應用程式之攻擊的一系列規則。每天都會發現新的漏洞,而 Cloudflare 有一個安全分析師團隊,他們會在發現漏洞時建立新規則。然而,手動建立規則需要時間(通常是幾個小時),在保護措施部署完成之前,應用程式可能很容易受到攻擊。還有一個問題是,攻擊者不斷發展和變異現有的攻擊負載,有可能會繞過現有規則。

這就是為什麼 Cloudflare 多年來一直利用機器學習模型,不斷地從最新攻擊中學習,從而無需手動建立規則即可部署緩解措施。例如,這種情況可以在我們的 WAF Attack Score 解決方案中看到。WAF Attack Score 所基於的 ML 模型針對在 Cloudflare 網路上識別的攻擊流量訓練而得。由此產生的分類器使我們能夠識別現有攻擊的變體和繞過方法,還可以將保護措施擴展到新的和未發現的攻擊。最近,我們向所有 Enterprise 方案和 Business 方案提供了 Attack Score。

Attack Score 使用 AI 根據每個 HTTP 請求的惡意可能性對其進行分類。


雖然安全性分析師的貢獻是不可或缺的,但在 AI 以及攻擊負載快速演變的時代,可靠的安全狀態亟需不依賴人類操作員為每個新威脅撰寫規則的解決方案。有關智慧型系統如何支援人類所執行任務,將 Attack Score 與基於簽名的傳統規則相結合就是一個範例。Attack Score 會識別新的惡意負載,而分析師可以使用這些負載來最佳化規則,從而為我們的 AI 模型提供更好的訓練資料。這會建立一個強化的正向意見反應迴圈,從而改進 WAF 的整體保護和反應時間。

從長遠來看,我們將調整 AI 模型以將客戶特定的流量特性納入考量,從而更好地識別與正常和良性流量的偏差。

使用 AI 對抗網路釣魚

電子郵件是不良行為者最有效的利用手段之一,美國網路安全和基礎架構安全局 (CISA) 報告稱,90% 的網路攻擊都是從網路釣魚開始的,Cloudflare Email Security 將 2023 年 2.6% 的電子郵件標記為惡意https://radar.cloudflare.com/year-in-review/2023 - malicious-emails。AI 增強型攻擊的興起正在淘汰傳統的電子郵件安全提供者,因為現在的威脅行為者可以製作幾乎沒有語言錯誤的網路釣魚電子郵件,比以往更可信。

Cloudflare Email Security 是一項雲端原生服務,可阻止採用所有威脅手段的網路釣魚攻擊。即使生成式 AI 等趨勢不斷發展,Cloudflare 的電子郵件安全產品繼續透過 AI 模型保護客戶。Cloudflare 的模型會分析網路釣魚攻擊的所有部分,從而確定對終端使用者造成的風險。我們的一些 AI 模型針對每個客戶進行個人化訓練,而其他一些則進行整體訓練。在 Cloudflare,隱私至關重要,因此,我們的工具僅使用非個人識別資訊進行訓練。2023 年,Cloudflare 處理了約 130 億封電子郵件,並封鎖了 34 億封電子郵件,從而為電子郵件安全產品提供了豐富的資料集,可用於訓練 AI 模型。

我們的產品組合中有兩種偵測,即 Honeycomb 和 Labyrinth。

  • Honeycomb 是一種獲得專利的電子郵件寄件者網域聲譽模型。該服務會建立一個誰正在傳送郵件的示意圖,並建立一個模型來確定風險。模型根據特定的客戶流量模式進行訓練,因此,每個客戶都會根據他們的良好流量模式訓練 AI 模型。
  • Labyrinth 使用 ML 針對每位客戶提供保護。攻擊者試圖偽造我們用戶端有效合作夥伴公司的電子郵件。我們可以收集一個列表,其中包含每個用戶端已知且良好的電子郵件寄件者的統計資料。然後,當電子郵件由未經驗證的網域的某人傳送,但電子郵件本身中提到的網域是參考/已驗證的網域時,我們就可以偵測到詐騙企圖。

AI 仍然是我們電子郵件安全產品的核心,我們正在不斷改進在產品中利用它的方式。如果您想進一步瞭解我們如何使用 AI 模型來阻止 AI 增強型網路釣魚攻擊,請按一下這裡,查看我們的部落格貼文。

由 AI 保護和支援的 Zero Trust 安全性

Cloudflare Zero Trust 為管理員提供工具,對位於網路週邊內外的每個人和裝置執行嚴格的身份驗證,從而保護對其 IT 基礎架構的存取。

最大的挑戰之一是在實施嚴格存取控制的同時,減少頻繁驗證所帶來的摩擦。現有的解決方案也為 IT 團隊帶來了壓力,他們需要分析記錄資料來追蹤風險在其基礎架構內如何演變。篩選大量資料以發現罕見的攻擊既需要大型團隊,也需要大量的預算。

Cloudflare 透過引入基於行為的使用者風險評分,簡化了這個過程。利用 AI,我們可以透過分析即時資料,來識別使用者行為和訊號中可能對組織造成損害的異常情況。這為管理員提供了有關如何根據使用者行為定制安全狀態的建議。

Zero Trust 使用者風險評分會偵測可能為您的組織、系統和資料帶來風險的使用者活動和行為,並為所涉及的使用者打分:低、中或高。這種方法有時稱為使用者和實體行為分析 (UEBA),使團隊能夠偵測並補救可能的帳戶入侵、違反公司政策和其他有風險的活動。

我們推出的第一個關聯式行為是「不可能的旅行」,它有助於確定使用者的憑證是否在使用者那段時間無法前往的兩個位置使用。這些風險分數將來可以進一步擴展,以根據關聯式資訊(例如一天中的時間使用模式和存取模式)突出顯示個人化行為風險,從而標記任何異常行為。由於所有流量都將透過您的 SWG 進行代理,因此,這也可以擴展到正在存取的資源,例如內部公司存放庫。

我們在 Security Week 期間推出了令人激動的產品。查看此部落格,以瞭解更多資訊

結論

從應用程式和電子郵件安全到網路安全和 Zero Trust,我們看到攻擊者利用新技術更有效地實現了目標。在過去幾年中,多個 Cloudflare 產品和工程團隊採用了智慧型系統,以更好地識別濫用行為並增強保護。

除了生成式 AI 熱潮之外,AI 還在保護數位資產免受攻擊以及阻止不良行為者方面發揮了至關重要的作用。如果您對於Cloudflare 相關應用與資安解決方案想要了解更多,歡迎與樂雲線上聯繫洽詢!