到目前为止,对于所有人来说,显而易见的是,数十年来,广泛的远程工作正在加速社会中的数字化趋势。
大多数人需要更长的时间才能确定出派生趋势。这样的趋势之一是,越来越依赖在线应用程序意味着网络犯罪变得更加有利可图。多年来,在线盗窃已大大超过了银行的实体抢劫。威利·萨顿(Willie Sutton)表示,“因为这就是钱,所以抢劫了银行。”如果他甚至在10年前就运用了这一准则,他肯定会成为网络犯罪分子,主要针对银行,联邦机构,航空公司和零售商的网站。根据2020年Verizon数据泄露调查报告,所有数据泄露中有86%是出于经济动机。如今,由于社会上有如此多的活动都在线进行,网络犯罪是最常见的犯罪类型。
不幸的是,社会发展的速度不及网络罪犯快。大多数人认为,只有在他们身上有一些特别之处时,他们才有被攻击的风险。这与事实相距遥远:今天,网络犯罪分子针对所有人。人们缺少什么?简而言之:网络犯罪的规模很难理解。Herjavec Group赞助的一份报告估计,到2021年,网络犯罪每年将花费全世界6万亿美元,高于2015年的3万亿美元,但庞大的数字可能有点抽象。
更好地理解这一问题的方法是:在将来,我们使用的几乎所有技术都会受到不断的攻击-对于我们所依赖的每个主要网站和移动应用程序来说,情况都是如此。
要理解这一点,就需要我们的思维发生矩阵式的根本转变。它要求我们接受虚拟世界的物理原理,这打破了物理世界的规律。例如,在物理世界中,根本不可能尝试在同一天抢劫城市中的所有房屋。在虚拟世界中,不仅有可能,而且还在整个国家的每个“房屋”中都在尝试这种方法。我指的不是网络罪犯的广泛威胁,它们总是在策划下一个大型黑客。我描述的是我们在每个主要网站上看到的持续不断的活动-大型银行和零售商每天都在其用户帐户上遭受数百万次攻击。就像Google可以在几天内抓取大部分网络一样,网络犯罪分子在那段时间几乎攻击着地球上的每个网站。
今天,最常见的Web攻击类型称为凭据填充。这是网络罪犯从数据泄露中窃取密码并使用工具自动登录到其他网站上的每个匹配帐户来接管那些帐户并窃取其中的资金或数据的时候。之所以可能发生这些帐户接管(“ ATO”)事件,是因为人们经常在各个网站之间重复使用其密码。过去十年来发生的大量数据泄露事件一直是网络犯罪分子的福音,这将网络犯罪成功率降低到了一个可靠的概率:粗略地说,如果您可以在尝试使用它们的任何给定网站上窃取100个用户的密码,将解锁某人的帐户。数据泄露给网络犯罪分子带来了数十亿用户的密码。
这里发生的事情是网络犯罪是一项业务,而发展业务完全与规模和效率有关。凭据填充仅是一种可行的攻击,因为该技术可以实现大规模的自动化。
这就是人工智能的来历。
从根本上讲,人工智能使用数据进行预测,然后自动执行动作。这种自动化可以用于善恶。网络罪犯将AI设计用于合法目的,并将其用于非法计划。考虑针对凭证填充尝试的最常见防御措施之一-CAPTCHA。几十年前发明的CAPTCHA试图通过提出人类应该容易发现且机器人应该发现困难的挑战(例如,阅读变形的文本)来防止有害的机器人。不幸的是,网络犯罪对AI的使用已经扭转了这一局面。谷歌几年前进行了一项研究,发现基于机器学习的光学字符识别(OCR)技术可以解决99.8%的CAPTCHA挑战。网络犯罪分子利用此OCR以及其他CAPTCHA解决技术,将其包含在凭据填充工具中。
网络罪犯也可以通过其他方式使用AI。已经创建了AI技术以更快地破解密码,并且机器学习可用于确定良好的攻击目标,以及优化网络犯罪供应链和基础设施。我们看到网络犯罪分子的响应时间非常快,网络犯罪分子可以在几分钟之内关闭并重新启动具有数百万笔交易的攻击。他们使用完全合法的攻击环境中完全相同的DevOps技术,通过完全自动化的攻击基础结构来做到这一点。这不足为奇,因为运行这样的犯罪系统类似于运行大型商业网站,并且网络犯罪即服务现已成为一种常见的“商业模式”。随着时间的推移,将在这些应用程序中进一步注入AI,以帮助它们实现更大的规模并使其更难防御。
那么,我们如何防范这种自动攻击呢?唯一可行的答案是另一边的自动防御。
目前,组织的长尾巴处于1级,但复杂的组织通常处于3级和4级之间。将来,大多数组织将需要处于5级。老思想。那些拥有聘请庞大安全团队的“人才争夺战”心态的公司已经开始着眼于也聘请数据科学家来构建自己的AI防御。这可能是暂时的现象:虽然公司反欺诈团队使用机器学习已有十多年了,但传统的信息安全行业在过去五年中才从对AI的冷嘲热讽转变为兴奋,因此他们可能已经结束-校正。
但是,雇用大型AI团队不太可能是正确的选择,就像您不会雇用密码学家团队一样。这样的方法永远无法达到抵御不断发展的网络犯罪攻击所需的功效,规模和可靠性。相反,最好的答案是坚持要使您使用的安全产品与组织数据集成在一起,从而能够利用AI做更多的事情。然后,您可以让供应商对误报和误报以及从AI获取价值的其他挑战负责。毕竟,人工智能不是灵丹妙药,仅仅使用人工智能进行防御还不够。它必须有效。
使供应商对效能负责的最好方法是根据投资回报率对其进行判断。网络安全越来越成为分析和自动化问题的有益副作用之一是,可以更精细地衡量各方的绩效。当防御性AI系统产生误报时,客户投诉就会增加。如果存在假阴性,则ATO会增加。随着网络犯罪分子使用自己的基于AI的策略进行迭代,公司还可以跟踪许多其他中间指标。
如果您对后局势互联网听起来像是一场好AI与邪恶AI的终结者式战斗感到惊讶,那么我有好消息也有坏消息。坏消息是,我们已经在很大程度上存在。例如,在当今的主要零售站点中,大约90%的登录尝试通常来自网络犯罪工具。
但这也许也是个好消息,因为世界显然还没有崩溃。这是因为该行业正朝着正确的方向发展,快速学习,并且许多组织已经采用了有效的基于AI的防御措施。但是在技术开发,行业教育和实践方面还需要做更多的工作。而且我们不应该忘记就地庇护所也使网络犯罪分子有更多时间在他们的计算机前。
