从布林肯到BOT：赛博之战

翻译

云云众生s 2024-05-31 16:57:59

文章标签 应用程序解决方案数据 文章分类 网络安全

评估网络安全态势有助于您了解可用于应用程序的保护措施，以及您是否需要其中一项或多项保护措施。

译自From Blinken to Bots: The Battle for Cyberspace，作者 Eric Newcomer。

多篇新闻报道已发布关于今年的RSA 大会 (RSAC)。我不会尝试讨论相同的内容。相反，我将分享一些总体印象，并重点介绍与部分供应商的谈话。

这是我第一次参加此活动——每天都会有人提醒我这一点。显然，这是一个传统——他们甚至给了我一个“第一年”胸针（我没有佩戴）。但无论如何，它一直是与天气一样常见的谈话话题。

RSAC 是世界上最大、最重要的网络安全活动，如果你以前参加过，显然会有些收获。

总体而言，似乎有太多网络安全供应商争夺不多的位置——业内正在进行一场音乐椅游戏。随着新的防御机制登上中心舞台，收购、合作和失败仍在继续。

安东尼·布林肯和休·汤普森的主题演讲

国务卿安东尼·布林肯在他的主题演讲中谈到了拜登政府的“技术外交”计划，以及他们如何与许多其他国家合作以确保技术用于积极目的。网络安全当然是在国际舞台上的一个重大问题。

RSA 大会主席休·汤普森在他的主题演讲中将网络安全角色比作“灯塔看守人”，始终保持警惕以保护组织免受潜在网络事件的侵害。他说，我们可以利用 RSAC 大会促进合作，以保护我们的隐喻海岸线。

然而，在展厅里，气氛却很激烈。600 多家参展商和数十家早期公司展开了激烈的竞争，以吸引 41,000 名与会者的注意力。

当然，不可能与他们所有人交谈。但我确实与许多供应商进行了交谈，他们致力于解决关键网络风险和漏洞，涉及网络保护、数据保护、事件监控和补救等领域。

评估网络安全态势有助于你了解可用于应用程序的保护措施，以及你是否可能需要其中一种或多种保护措施。

反诈骗 GenAI Bot

生成式 AI 当然在当今每个人的心目中都占据着首位，而将其用于网络安全的做法也多种多样。一些人质疑GenAI与他们正在做的事情的相关性，而另一些人则几乎完全接受了它。

涉及 GenAI 最有趣的方法之一是来自Netcraft的新型会话式诈骗情报平台，这是一个网络威胁检测和保护平台。（几乎所有东西都是某种“平台”，尽管该术语的含义差异很大。）

会话式诈骗情报平台使用 GenAI Bot与网络钓鱼者、社交工程攻击者和诈骗者进行交互并揭露他们，这些网络钓鱼者、社交工程攻击者和诈骗者使用电子邮件和短信等一对一渠道来招揽受害者。

此类攻击渠道通常超出了保护大量互联网流量的威胁检测工具的范围，但也是入侵和勒索软件攻击的最大来源之一——当然，也是消费者欺诈的重要来源。

Netcraft 设置了诱捕配置文件、电子邮件地址和电话号码来吸引网络钓鱼者和诈骗者。Netcraft 的 GenAI Bot与攻击者和诈骗者交谈，以发现他们最终要求什么，以便他们可以向相关当局或涉及的金融机构报告这些活动。

“在诈骗开始时，你不知道最后会发生什么——你是否需要采取任何措施。去年通过电子邮件和短信诈骗造成的损失超过 50 亿美元。这是检测它的唯一方法，”罗伯特·邓肯说，他是 Netcraft 的产品战略副总裁。

GenAI 建议

另一个有趣的 GenAI 采用示例，与许多供应商的做法一致，是为建议和建议提供 GenAI 聊天界面。

例如，Tines是一款工作流平台，可自动执行网络安全运营流程。据 Tines 联合创始人兼首席执行官Eoin Hinchy所述，该公司在开发新产品功能时，首先会观察人们如何与之互动，而不是将其视为一个纯粹的工程问题。

最近，Tines 通过一种称为 AI 动作的第八种动作类型添加了 GenAI 功能（也称为第八个构建块——Tines 构建块构建工作流）。Hinchy 表示：“我们的 AI 动作可直接访问LLM，使用户能够在执行其他任务的同时，总结说明、确认决策并推荐后续步骤。”

验证 ID 和检测深度造假

除了提供基本身份验证和授权功能的供应商之外，Incode是一家网络安全供应商，提供额外的身份验证服务，例如开立银行账户、验证 ID 或检测欺诈时可能需要的服务。

北美信任副总裁兼总经理Domingo Guerra表示：“我们的平台用于广泛的面部识别用例。例如，墨西哥的足球场使用我们的系统来验证购票者的入场资格。”

Incode 可以检测 AI 生成的面部或视频与真实事物之间的差异。政府、银行和其他组织使用他们的系统将当前自拍照与 ID 照片进行比较，以确认开户、申请贷款或要求福利金的人员的身份。

Guerra 补充道：“我们还可以通过将我们拍摄的视频与假视频进行比较来检测视频深度造假。”

预期后量子密码

量子计算有可能解决“经典”计算机无法解决的问题，众所周知（至少在网络世界中），例如破解当前的加密算法并允许恶意行为者窃取你的数据。

这是网络安全领域需要关注的关键技术领域之一。RSAC 议程包含多个关于量子计算潜在影响的会议。

据称，恶意行为者现在已经开始收集加密数据，以便在量子技术破解当前加密编码后，稍后窃取数据。

当然，量子计算还可以创建新的、更强大的加密编码。这些被称为后量子密码，预计也将在量子计算机破解当前代码的同一时间左右可用。

然而，没有人确切知道这可能何时发生，但据Sectigo首席执行官Kevin Weiss和InfoSec Global的密码研究与开发副总裁Vladimir Soukharev表示，一旦发生这种情况，你应该做好准备。

Weiss 和 Soukharev 都建议采用证书生命周期管理解决方案，例如他们公司提供的解决方案，以便在当前编码被破解后准备好安装新的编码。

移动设备安全

随着移动设备在银行和电子商务中的使用不断增加，移动设备将日益成为网络攻击的目标。

两家公司Appdome和Zimperium提供了不同的方法来抵御此类攻击。

美洲区预售副总裁Kern Smith表示，Zimperium 在设备上部署了一个代理，并通过该代理提供针对已知威胁和欺诈企图的动态运行时防御。“不仅通过使用威胁库，还通过机器学习分析可能构成威胁的多个因素。”

Appdome 的首席产品官Chris Roeckl表示：“移动安全是首要考虑的话题——保护消费者应用免受欺诈和Bot的侵害，使用EDR（端点检测和响应）检测对企业应用的威胁，并保护为移动应用经济提供支持的开发者 SDK。”

“我们知道现代移动网络专业人士想要什么和不想要什么。他们不想要代理、手动编码或点产品。他们想要一个提供广泛防御组合、CI/CD集成、自动化应用测试、生产监控等的平台。”

微分段之战

网络微分段作为“第二道防线”能力正在日益流行。恶意行为者渗透您的边界防御只是时间和精力问题。

新近进入者Zero Networks专注于微分段，而其他参与者倾向于将微分段作为更大平台的一部分。

Zero Networks 联合创始人兼首席执行官Benny Lakunishok表示，现有解决方案“非常依赖人工”，并且典型的基于代理的方法“具有侵入性和漏洞”。

他们创立 Zero Networks 是为了创造一个更好的解决方案，不用代理，而是依靠基于主机的防火墙。他补充说，他们的微分段系统使用 API 进行管理，并且完全自动化，“没有任何 AI 东西”。

Lakunishok 说，他从CISO那里听说，他们“得知他的产品中没有 AI”而“感到如释重负”，这主要是出于隐私方面的考虑。

Lakunishok 解释说，Zero Networks 使用确定性算法来决定保持开放的内容，并且他们观察流量。私有部分始终处于关闭状态，需要多因素身份验证 (MFA)才能访问。他们的解决方案与任何身份管理系统 (IDM) 集成，并自动限制所有管理端口，需要第二次身份验证才能使用它们。

Lakunishok 补充说：“这有效地消除了所有勒索软件攻击，因为它们无法访问和使用特权端口。”

其他供应商提供微分段作为产品集成集的一部分。

例如，Akamai的零信任平台围绕其 Guardicore 微分段产品构建，据企业安全高级副总裁Pavel Gurvich称，该产品“在同一占地面积内具有多种功能，易于部署，并且具有通用控制平面”。其他平台功能包括威胁搜索和防火墙。

他补充说，Akamai“在这个领域已经有了产品，并且投资于集成它们以进行部署和使用”。零信任平台使用单个代理并提供单个用户界面。

Gurvich 说，零信任平台的优势在于它不仅仅是分段。

数据保护

当攻击者入侵时，另一个重要的“下一道防线”是数据保护。对传输中的数据和静态数据进行加密是一个好的开始，但还有其他保护措施可用。

例如，Cigent在端点提供多层数据保护。“我们从逐步身份验证开始，以控制对文件夹和文件类型的访问”，首席增长官 Brett Hansen 说。

“然后，我们使用强大的加密技术来确保攻击者无法访问数据，甚至无法读取数据。我们还提供使用我们自己固件的受保护驱动器选项，该固件最初是为美国政府构建的，其中包括存储嵌入式 AI，可防止即使是高级持续性攻击者也无法破坏敏感数据”，他补充说。

备份和恢复专家Zerto于 2021 年被惠普收购，为任何数据库或文件系统提供基于管理程序的数据复制，用于块级备份和恢复。

惠普企业公司 Zerto 的技术营销经理Andrew Silva说：“我们的解决方案在隔离的存储系统上创建了气隙不可变副本，保护数据免受勒索软件攻击，并支持业务连续性的网络恢复场景”。

对浏览器安全的需求不断增长

当今的现代企业应用程序主要在浏览器上，包括基于 SaaS 的应用程序、办公应用程序、内部应用程序等等。

鉴于现代浏览器和基于 Web 的编码（如JavaScript和TypeScript）的强大功能和多功能性，现在没有人再使用“胖客户端”应用程序，或者至少几乎没有人使用。

因此，恶意行为者当然越来越多地针对基于浏览器的应用程序，并且对基于浏览器的计算环境的安全性的需求正在增长。

像Menlo Security这样的浏览器安全公司建议您提高基于浏览器的应用程序的安全性，因为破坏它们正变得越来越严重的威胁。

Menlo Security 部署基于云的安全浏览器，并从那里连接回您的本地浏览器会话，确保您拥有安全连接。浏览器会话通过互联网进入 Menlo Cloud，重新组装，然后连接回来。这种“一次性”浏览器是一个经过强化的数字孪生，可处理动态内容和用户输入。安全云浏览器可防止针对本地浏览器的网络攻击。该公司产品管理副总裁Nick Edwards说。

“用户不必切换浏览器即可获得安全功能，”Menlo Security 安全战略副总裁Andrew Harding补充说。“我们也不会将浏览器保留在默认设置模式。我们关闭了蓝牙和 USB 访问等有风险的功能，并遵守互联网安全中心 (CIS) 批准的浏览器策略。”