Defensive AI：用于防御新一代威脅的Cloudflare框架

生成式AI能夠創(chuàng)作詩歌、劇本或圖像，捕獲了全世界的想象力。這些工具可以用來提高人類為善事業(yè)的生產(chǎn)力，但也可能被惡意行為者用來執(zhí)行復雜的攻擊。

我們正在目睹網(wǎng)絡(luò)釣魚攻擊和社會工程日益復雜化，攻擊者利用強大的新工具來生成可信的內(nèi)容，或者仿似真人一樣與人類互動。攻擊者可以利用AI構(gòu)建專為攻擊特定網(wǎng)站而設(shè)計的精品工具，旨在獲取專有數(shù)據(jù)和接管用戶賬戶。

為了抵御這些新挑戰(zhàn)，我們需要全新的、更復雜的安全工具：這就是Defensive AI（防御性人工智能）誕生的由來。Defensive AI是Cloudflare在考慮智能系統(tǒng)如何能提高我們安全解決方案有效性時使用的框架。Defensive AI的關(guān)鍵是Cloudflare的龐大網(wǎng)絡(luò)生成的數(shù)據(jù)，無論是來自整個網(wǎng)絡(luò)還是特定于個別客戶的流量。

Cloudflare使用AI來提高所有安全領(lǐng)域的防御水平，包括應(yīng)用程序安全、電子郵件安全及Cloudflare Zero Trust平臺。這包括為每個客戶創(chuàng)建定制適用于API或電子郵件安全的保護措施，或者利用我們的海量攻擊數(shù)據(jù)來訓練模型，以便檢測尚未發(fā)現(xiàn)的應(yīng)用程序攻擊。

下文我們將提供一些示例，展示我們?nèi)绾卧O(shè)計最新一代的安全產(chǎn)品，以利用AI來防御由AI驅(qū)動的攻擊。

通過異常檢測保護API

API驅(qū)動著現(xiàn)代Web網(wǎng)絡(luò)，占Cloudflare網(wǎng)絡(luò)動態(tài)流量的57%，比2021年的52%有所上升。雖然API并非新技術(shù)，但保護它們不同于保護傳統(tǒng)的Web應(yīng)用程序。因為API從設(shè)計上就是為了便于程序化訪問，并且越來越受歡迎，因此詐騙分子和威脅行為者已經(jīng)將目標轉(zhuǎn)向API。安全團隊現(xiàn)在必須應(yīng)對這一日益增長的威脅。重要的是，每個API的目的和用途通常都是獨一無二的，因此保護API可能需要大量的時間。

Cloudflare正在開發(fā)API Gateway的API Anomaly Detection，旨在保護API免受用于破壞應(yīng)用程序、接管賬戶或竊取數(shù)據(jù)的攻擊。API Gateway在您托管的API和與它們交互的每個設(shè)備之間提供了一層保護，為您提供管理API所需的可見性、控制和安全工具。

API Anomaly Detection是我們API Gateway產(chǎn)品套件中即將推出的機器學習驅(qū)動功能，也是Sequence Analytics的后續(xù)迭代產(chǎn)品。為了大規(guī)模保護API，API Anomaly Detection通過分析客戶端API請求序列來學習應(yīng)用程序的業(yè)務(wù)邏輯。然后，它會構(gòu)建一個模型，展示該應(yīng)用程序預期請求序列的樣子。所生成的流量模型用于識別偏離預期客戶端行為的攻擊。因此，API Gateway可以使用其Sequence Mitigation功能來強制執(zhí)行學習到的應(yīng)用程序預期業(yè)務(wù)邏輯模型，從而阻止攻擊。

雖然我們?nèi)栽陂_發(fā)API Anomaly Detection，但API Gateway用戶可在這里注冊以參加API Anomaly Detection的beta測試。用戶可以通過查看文檔開始使用Sequence Analytics和Sequence Mitigation。尚未購買API Gateway的Enterprise計劃用戶可在Cloudflare儀表板中自行開始試用，或聯(lián)系您的賬戶經(jīng)理了解更多信息。

識別未知的應(yīng)用程序漏洞

AI能夠提高安全性的另一個領(lǐng)域是我們的Web應(yīng)用程序防火墻（WAF）。Cloudflare平均每秒處理5500萬個HTTP請求，對全球范圍內(nèi)針對各種應(yīng)用程序的攻擊和漏洞利用擁有無與倫比的可見性。

圖片WAF面臨的一大挑戰(zhàn)是增加針對新漏洞和誤報的保護。WAF是一系列規(guī)則，旨在識別針對Web應(yīng)用程序的攻擊。每天都有新的漏洞被發(fā)現(xiàn)，Cloudflare擁有一個安全分析師團隊，負責在漏洞被發(fā)現(xiàn)時創(chuàng)建新的規(guī)則。然而，手動創(chuàng)建規(guī)則需要時間—通常是幾個小時—這使得應(yīng)用程序在保護措施到位之前有可能受到攻擊。另一個問題是，攻擊者不斷地發(fā)展和變異現(xiàn)有的攻擊有效負載，有可能繞過現(xiàn)有的規(guī)則。

這就是為什么Cloudflare多年來一直利用機器學習模型不斷從最新的攻擊中學習并部署對應(yīng)緩解措施而無需手動創(chuàng)建規(guī)則。例如，在我們WAF Attack Score解決方案中就可以看到這一點。WAF Attack Score基于一個以Cloudflare網(wǎng)絡(luò)上識別到的攻擊流量訓練的機器學習模型。所生成的分類器使我們能夠識別現(xiàn)有攻擊的變體和繞過方式，同時將保護擴展到新的、未發(fā)現(xiàn)的攻擊。最近，我們已經(jīng)將Attack Score向所有Enterprise和Business計劃用戶開放。

Attack Score使用AI根據(jù)每個HTTP請求是惡意的可能性進行分類。

雖然安全分析師的貢獻不可或缺，但在AI和攻擊有效負載迅速演變的時代，一個強大的安全態(tài)勢要求解決方案不依賴于人工操作者為每一個新型威脅編寫規(guī)則。將Attack Score與基于特征的傳統(tǒng)規(guī)則相結(jié)合，是智能系統(tǒng)支持人類執(zhí)行任務(wù)的一個范例。Attack Score識別出新的惡意負載，供分析師使用以優(yōu)化規(guī)則，反過來，這為我們的AI模型提供更好的訓練數(shù)據(jù)。這形成了一個強化的正反饋循環(huán)，改善我們WAF的整體保護和響應(yīng)時間。

作為長期計劃，我們將調(diào)整AI模型以考慮客戶特定流量的特征，從而更好地識別與正常和無害流量的偏差。

使用AI對抗網(wǎng)絡(luò)釣魚

電子郵件是不法分子利用的最有效手段之一，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）90%的網(wǎng)絡(luò)攻擊是從網(wǎng)絡(luò)釣魚開始的，Cloudflare Email Security標記惡意的電子郵件占2023總數(shù)的2.6%。AI增強攻擊的興起使傳統(tǒng)的電子郵件安全提供商的方案變得過時，因為威脅行為者現(xiàn)在可以制作出比以往更可信的網(wǎng)絡(luò)釣魚電子郵件，其中幾乎沒有或僅有極少的語言錯誤。

Cloudflare Email Security是一項云原生服務(wù)，能夠阻止利用所有威脅手段的網(wǎng)絡(luò)釣魚攻擊。即使像生成式AI這樣的趨勢持續(xù)發(fā)展，Cloudflare電子郵件安全產(chǎn)品也將會持續(xù)通過其AI模型保護客戶。Cloudflare的模型分析網(wǎng)絡(luò)釣魚攻擊的所有部分，以確定對最終用戶構(gòu)成的風險。我們的一些AI模型是為每位客戶個性化定制的，而其他則是整體訓練的。Cloudflare高度重視隱私，因此我們的工具僅使用非個人可識別信息進行訓練。在2023年，Cloudflare處理了大約130億封電子郵件，阻止了34億封，為電子郵件安全產(chǎn)品提供了一個豐富的數(shù)據(jù)集，可用于訓練AI模型。

我們產(chǎn)品組合中的兩個檢測工具是Honeycomb和Labyrinth。

-Honeycomb是一個獲得專利的電子郵件發(fā)件人域名聲譽模型。該服務(wù)構(gòu)建了一個關(guān)于誰在發(fā)送消息的圖表，并建立了一個模型來確定風險。模型根據(jù)特定客戶的流量模式進行訓練，因此每個客戶都有針對其良好流量模式訓練的AI模型。

-Labyrinth采用機器學習技術(shù)為每個客戶提供保護。惡意行為者試圖偽造來自我們客戶的合法合作公司的電子郵件。我們可以為每個客戶收集列表，包含已知且良好的電子郵件發(fā)送者。當電子郵件由來自未經(jīng)驗證域的某人發(fā)送，但電子郵件本身提到的域是一個參考/已驗證的域時，我們就可以檢測到偽造企圖。

AI仍然是我們電子郵件安全產(chǎn)品的核心，我們不斷改進我們在產(chǎn)品中利用它的方式。如果您想進一步了解我們?nèi)绾问褂肁I模型來阻止AI增強網(wǎng)絡(luò)釣魚攻擊，請在這里查看我們的博客文章。

由AI保護和驅(qū)動的Zero Trust安全

Cloudflare Zero Trust為管理員提供一系列工具，通過強制執(zhí)行嚴格的身份驗證，保護對其IT基礎(chǔ)設(shè)施的訪問，無論用戶和設(shè)備是在網(wǎng)絡(luò)邊界內(nèi)還是外。

其中一個重大挑戰(zhàn)是，在執(zhí)行嚴格訪問控制的同時減少頻繁驗證引入的摩擦。現(xiàn)有解決方案還會給IT團隊帶來壓力，他們需要分析日志數(shù)據(jù)以跟蹤風險在基礎(chǔ)設(shè)施內(nèi)部如何演變。篩查海量數(shù)據(jù)以發(fā)現(xiàn)罕見的攻擊需要大型團隊和巨額預算投入。

Cloudflare通過引入基于行為的用戶風險評分來簡化這一過程。我們利用AI分析實時數(shù)據(jù)，以識別用戶行為中的異常和可能對組織造成傷害的信號。這為管理員提供了關(guān)于如何根據(jù)用戶行為定制安全態(tài)勢的可靠且有效的建議。

Zero Trust用戶風險評分檢測可能給您的組織、系統(tǒng)和數(shù)據(jù)引入風險的用戶活動和行為，并為涉及的用戶分配低、中、高三種評分。這種方法有時被稱為用戶和實體行為分析（UEBA），使團隊能夠檢測和糾正可能的賬戶入侵、公司政策違反行為和其他有風險的活動。

我們正在推出的第一個上下文行為是“不可能的旅行”，它有助于確定用戶的憑據(jù)是否在同一時間段內(nèi)在該用戶不可能到達的兩個地點被使用。這些風險評分未來可以進一步擴展，以突出基于上下文信息（如一天中的使用模式和訪問模式）的個性化行為風險，以標記任何異常行為。由于所有流量都將通過您的SWG進行代理，這也可以擴展到正在訪問的資源，比如公司內(nèi)部報告。

Security Week期間我們推出了一項令人興奮的功能。

總結(jié)

從應(yīng)用程序安全、電子郵件安全到網(wǎng)絡(luò)安全和Zero Trust，我們發(fā)現(xiàn)攻擊者正在利用新技術(shù)更有效地實現(xiàn)他們的目標。在過去幾年中，多個Cloudflare產(chǎn)品和工程團隊都采用了智能系統(tǒng)，以更好地識別濫用行為并增強保護。

除了生成式AI狂熱發(fā)展趨勢，AI已經(jīng)成為我們保護數(shù)字資產(chǎn)免受攻擊以及阻止惡意行為者這一努力的重要組成部分。