0
數字化時代,安全是一個需要長期研究的課題。
今年一月份美國醫療設備巨頭因網絡攻擊,100萬人的敏感信息被泄露;印度火車票務平臺遭遇大規模數據泄露,涉及人數超3100萬;緊接著是制藥巨頭Sun Pharma、皇家郵政(Royal Mail)被勒索軟件攻擊...
而國內近兩年也成了安全事故頻發的重災區,在此影響下,國內企業對安全的重視程度有了明顯的提升。據一項調查數據顯示,包括中國、日本、印尼、新加坡、澳新地區以及韓國等地在內的2341 位受訪者。其中75% 的亞太地區用戶表示,在發生數據泄露事件時,即使該企業能夠提供優質的服務和產品,也會停止對該公司的支持。
這也從側面說明了,數據安全的重要性正在日益凸顯,同時也為許多沒有把數據安全放在第一位的企業敲響了警鐘。
但與之而來的數字化再次給企業籠罩了一層安全的陰霾。這一時期,企業積極擁抱數字化,數字技術逐漸應用到各業務場景中,但同時也加劇了網絡勒索、釣魚攻擊、數據竊取等重大安全事件頻發。
更重要的是,處在數字化轉型深水區的企業有一個很明顯的特征,大部分公司開始把越來越多的業務從線下搬到線上,這時就需要通過API進行數據交換和實現業務邏輯的轉變,同時企業APP、Web和應用程序核心功能、云體系與微服務架構等均離不開API,API的數量和流量與日俱增,這也就加劇了API安全問題的頻發。
相關市場研究報告數據說明,與整體 API 流量相比,API 攻擊流量增長了三倍。通過利用API的安全漏洞,攻擊者可以輕松獲取企業Web應用系統及服務器設備的控制權限,從而進行掃號撞庫、數據竊取、營銷作弊等破壞活動,嚴重損害企業的業務發展。
也就是說,當下 API安全的建設已經刻不容緩,但現實情況是,很多企業在API安全建設方面相對薄弱,企業存在一些誤區,這就給了黑產可乘之機。
執行副總裁兼CTO Robert Blumofe
Akamai自成立以來就一直在做安全方面的相關研究,其中Web防火墻就是主要產品之一。執行總裁Robert Blumofe表示,越來越多的Web應用都是通過API來實現的,包括后端和前端的通信,不同的微服務之間的通信等。
他坦言,現在大部分企有一個很普遍的現象,一家企業的整體業務中可能有幾百個甚至上千個API。但這些API如果沒有得到妥善防護,就很容易被網絡罪犯入侵、攻擊,以獲得訪問一些敏感信息或者入侵到企業的具體業務中去。
從企業層面來說,很多企業雖然有成千上萬個API,但其實他們本身是不自知的,同時這些企業更是缺乏監測API情況的手段,比如這些API是否是合法使用的,甚至沒有能力了解API什么時候受到了攻擊。
此外,很多企業使用的是第三方的開源插件,Robert Blumofe談到,這種情況也已經非常普遍,和API一樣,一般情況下大部分企業不知道自己用了哪些第三方的軟件,有時即使知道用了也不知道這些軟件是誰寫的,這就讓企業在進行安全防護時顯得很被動。
基于此,Akamai提出了“可視性”的概念,同時,為了加強自身安全方面的服務能力,Akamai收購了Neosec公司,并面向市場推出這樣新的API的防護、可視的能力——Neosec API安全解決方案,通過該方案,客戶可以實時看到他們公司所擁有的API的使用情況,同時在API被濫用的時候能夠對他們提出警報。
對此,Akamai副總裁暨大中華區總經理李昇回憶道,2021年12月,一個“核彈級”漏洞(Log4Shell )的爆出,讓全球陷入了惶恐,短時間內就讓全球近半數的企業網絡遭遇了攻擊,并在互聯網上迅猛擴散。主要原因在于Log4j漏洞利用成本極低,可以直接任意代碼執行,并接管目標服務器。
而Akamai 威脅研究實驗室利用自身對于全球海量數據中心的監測能力,從全球 200 多個不同行業、不同規模的數據中心收集了相關數據,評估了 Log4j 漏洞給企業帶來的實際風險并給出防御建議。
其中就運用到了“可視性”防護的策略,而其背后是“微分段”提供了技術支撐。李昇形象的比喻道,就像一個大樓,如果沒有微分段的話,一旦有風險的軟件被使用,它在大樓中就可以去任何一個房間中的任何一個文件柜。但“微分段”就是雖然進了這個樓,每個房間里面都配置了一把鎖,甚至每一個文件柜都有一把鎖。這樣的話,就算進到這個房間,也不能在沒有授權的情況下訪問文件柜中的文件。
“之前的‘微分段’,你的訪問的是一個大樓,一旦你進到這個大樓就可以暢通無阻了。現在的“微分段”實際上就是給每個房間都上了一把鎖,只有你確實需要進入某個特定房間的時候、你才能夠進入某個房間。”
轉眼到了大模型時代,安全問題似乎比數字化時代更為嚴峻,諸如GPT剛進入大眾視野時,被人們稱為“全知全能的神”,但是伴隨著使用過程中出現的數據泄露等問題,也引來了各種爭議。包括三星、摩根大通、蘋果、花旗集團等在內的多家頭部企業紛紛限制員工使用ChatGPT。
雷峰網了解到,早在前幾年Akamai就通過深度學習實現了流量分類的作用,比如是惡意流量還是非惡意流量,正常流量還是異常流量,真實人類產生的流量,還是機器人程序Bot產生的流量。
當然大模型的出現也給Akamai在安全方面的研究提供了新的視野和新的技術支撐,據Robert Blumofe介紹,基于公司目前的運行規模,通過所有數據和收集的互聯網的流量,Akamai訓練了一個深度學習的模型,這樣能實現更加有效的流量分類。
但一項新鮮事物的誕生,往往是機遇和挑戰并存。Robert Blumofe分析道,生成式AI的出現讓我們能夠看到很多新的機會、新的機遇,但是其實也帶來新的威脅。如果放在網絡罪犯的手里,生成式AI其實是一個非常強有力的犯罪工具。網絡犯罪分子可以利用生成式AI大量的去生成這種“釣魚的誘餌”,也可以用它產生大量的惡意軟件。
還重點強調了要從提示詞的輸入方面規避安全事故的發生:
首先,第三方大模型會記錄下你輸入的提示詞內容,將來某個階段在輸出答案時,很可能把這些提示詞作為答案的一部分反饋給其他用戶。如果當中涉及到一些敏感信息或者公司業務信息,就會泄露從而給個人或者公司帶來不小的損失。
其次,在用于一些嚴肅場景,關鍵用途時候,一定要看大模型輸出的結果是什么樣的。
縱觀網絡攻擊事件的發展,隨著科學技術的進步,網絡攻擊手段也在不斷的升級,五年前更多的是類似“黑客” 的“網絡罪犯”,他們更多的是為了凸顯自己的能力或者傳播自己的觀點。
但近五年出現了一種新型的網絡犯罪模式,他們更多的是出于金錢目的,且他們的能力和工具比之前要強的多,攻擊更有效、規模更大。
在Robert Blumofe看來,未來五年會有更多的由AI驅動的網絡犯罪、網絡攻擊工具。從短期來看,隨著生成式AI的出現,會出現一種能力不對等的情況,且更多的能力會賦予到網絡攻擊方而非防守方。所以作為防守方,就更需要了解對方有哪些工具,了解他們怎么樣用AI技術來進行網絡攻擊。
“從現有的評估不同的公司防護機制、防護手段的角度來看,Akamai鼓勵所有人在評估網絡防護手段時一定要重點分析現有的防護手段是否能有效的抵御AI驅動的網絡攻擊,”Robert Blumofe如是說。
所謂道高一尺魔高一丈,大模型時代,安全必然會成為現在乃至未來很長一段時間業界關注的焦點話題。如何提高防護手段,抵御新型攻擊?仍需要時間來驗證。
(雷峰網雷峰網雷峰網(公眾號:雷峰網))
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
