51秒。这就是攻击者使用被盗凭证躲避检测,在网络中无声潜入并横向移动所需的全部时间。
CrowdStrike反对手行动高级副总裁Adam Meyers向VentureBeat解释了入侵者一旦渗透系统后,如何能够快速提升权限并横向移动。"下一阶段通常涉及某种形式的横向移动,这就是我们所说的突破时间。换句话说,从初始访问到进入另一个系统需要多长时间?我们观察到的最快突破时间是51秒。这些对手正在变得越来越快,这使得防御者的工作变得更加困难。"
AI武器化催生更快速的防御需求
如今,AI已经成为攻击者的首选武器。它成本低廉、速度快捷且用途广泛,使攻击者能够以前所未有的速度创建语音钓鱼 (vishing)、深度伪造诈骗并发起社会工程攻击。
由于攻击者利用AI不断完善其作案手法,语音钓鱼已经失控。CrowdStrike的2025年全球威胁报告显示,2024年语音钓鱼攻击增长了442%。这已成为攻击者通过电话操纵受害者泄露敏感信息、重置凭证和授予远程访问权限的首要入侵方式。
网络钓鱼同样持续构成威胁。Meyers表示:"我们发现,AI生成的钓鱼邮件点击率达到54%,而人工制作的仅为12%。"
中国绿蝉网络利用AI驱动的内容生成器创建并运营了5000多个社交媒体假账号来传播选举虚假信息。朝鲜的FAMOUS CHOLLIMA对手组织正在使用生成式AI创建假冒的IT求职者LinkedIn档案,目的是以远程员工身份渗透全球航空航天、国防、软件和科技公司。
CIO和CISO正在寻找新的应对方式
攻击者的AI作案手法日益成熟的一个明显迹象是他们在基于身份的攻击方面取得的成功。身份攻击正在超越恶意软件成为主要的入侵方式。2024年79%的初始访问攻击都是无恶意软件的,而是依赖被盗凭证、AI驱动的钓鱼和深度伪造诈骗。去年有35%的云入侵利用了有效凭证。
NOV正在使用多种技术反击这些攻击。以下是Philips分享的关于如何遏制日益增多的依赖语音钓鱼、被盗凭证和身份欺骗的AI驱动攻击的要点:
- 零信任不仅有用,而且是强制性的 - 它为我们提供了强制安全策略执行网关,使被盗的会话令牌失效 - 身份会话令牌盗窃在一些高级攻击中被使用
Philips建议同行在应对超快速基于身份的攻击时,要专注于消除单点故障。"确保职责分离;确保没有任何个人或服务账户可以重置密码、多因素访问并绕过条件访问。要有已经测试过的流程来撤销有效的身份会话令牌。"
不要浪费时间重置密码;立即撤销会话令牌。
三个停止闪电般快速入侵的核心策略
51秒突破是组织中更大且更严重的身份和访问管理 (IAM) 弱点的症状。IAM安全崩溃的核心在于认为信任足以保护您的业务(事实并非如此)。验证每个身份、会话和资源请求才是关键。假设您的公司已经被入侵是一个好的起点。
以下是关于如何遏制闪电般快速入侵的三个经验教训:
1. 首先在身份验证层切断攻击,然后再防止入侵扩散 2. 如果还没有,就开始定义一个适合您业务的零信任框架和计划 3. 加强IAM验证技术,采用更严格的身份验证控制
使用AI阻止高速攻击
为了赢得AI战争,攻击者正在武器化AI发起闪电般快速的攻击,同时创建语音钓鱼、深度伪造和社会工程活动来窃取身份。Phillips的应对方法,包括使用AI驱动的检测和即时撤销令牌以在会话扩散前终止被盗会话,正在证明其有效性。
在Philips和许多其他网络安全和IT领导者的战略核心是对零信任的需求。VentureBeat一再看到,那些在对抗机器速度攻击方面取得成功的安全领导者都在倡导最小特权访问、网络和端点分段、监控每笔交易和资源请求,并持续验证身份。
