美国一家联邦实验室正致力于让威胁仿真流程变得更高效,以便安全团队能够更快地测试其系统是否能抵御最新的攻击。
据太平洋西北国家实验室(PNNL)的研究团队称,一个名为 ALOHA(Agentic LLMs for Offensive Heuristic Automation) 的人工智能系统可以快速重建攻击并生成变体来测试防御。PNNL 数据科学家、ALOHA 研究负责人 Loc Truong 表示,通过让系统能够根据威胁报告和描述自动生成攻击,PNNL 将保护系统的时间从数周缩短到了数小时。
他说,其目标是让测试防御是否能应对最新攻击的过程变得尽可能高效。
“我们希望能够拿到一个新发现的攻击,然后迅速复制它,并在内部系统防御上进行测试,看看它们是否能检测到这种新攻击。”Truong 说,“每个团队,每个大型组织,都必须经历这个过程:首先重建攻击,而这通常需要一支熟练的工程专家团队、几周时间,以及大量资金。”
ALOHA 并不是第一个利用 AI 来提高攻击生成效率的攻击性安全项目。AI 系统的使用已经迅速演变成攻击者与防御者之间的军备竞赛。安全研究人员警告说,所有主要的基础 AI 模型 —— 从 Anthropic 的 Claude、OpenAI 的 ChatGPT、Google 的 Gemini,到 xAI 的 Grok—— 不是已经被攻击者使用,就是存在可能被攻击者利用的弱点。
PNNL 还指出,在一年一度的 DEF CON 夺旗赛(CTF)中,每支参赛队伍都将 AI 作为其工具包的一部分;而 Google 也发现证据表明,恶意软件作者正在开发能在运行时调用大语言模型(LLM)的程序,以更好地隐藏其恶意本质。
防御性 AI 系统可能会改变攻防力量的平衡。
在发现新攻击后,网络安全研究人员通常会发布一份威胁报告,其中包含漏洞利用的描述、受影响软件的细节,甚至可能包括攻击者使用的技术、工具和流程(TTPs)。组织的安全团队会分析这份报告,但要创建一条足够接近真实威胁、可用于测试防御的攻击链,往往需要几天到几周的时间。
ALOHA 项目的网络安全研究员 Kris Willis 表示,将 ALOHA 引入流程可以帮助组织的 紫队(Purple Team) 工作更有效。
相关报道:委内瑞拉军事行动中可能包含网络攻击
“你不仅能进行攻击模拟,还能同时开展防御工作,” 他说,并补充道,虽然有不少工具可以帮助安全团队分析攻击,但将 TTP 与攻击者进行匹配的工具并不常见。“最难的部分是开发 TTP,然后与防御团队合作编写缓解措施。”
ALOHA 不仅能分析威胁报告并生成攻击者最可能使用的 TTP 攻击手册,还能在测试网络、仿真环境或网络靶场中测试这些攻击。此外,该 AI 系统还能帮助为系统弱点编写缓解措施,并协助配置防御系统,以便在攻击正在进行时更好地提醒组织。
ALOHA 使用 Anthropic 的 Claude 大语言模型,并与 MITRE 的开源工具 Caldera 协同工作,Caldera 常用于自动化对手仿真、测试和开发防御检测、原型设计、攻击研究以及红队训练。研究人员表示,借助该系统,安全团队可以快速构建包含 20 多种战术、需要数十个步骤的攻击仿真。
“你用简单的英文描述你想要的攻击,生成式 AI 就会自动运行攻击,”Truong 在 ALOHA 的在线介绍中说。“这项技术加快了防御者的响应速度,使网络安全专家不必亲自执行那么多操作。只需点击即可运行。”
相关报道:不再唱反调:对 AI 的怀疑正在上升
超越 “我是否存在漏洞?”
Aviatrix(一家专注于 AI 的云网络安全公司)的首席产品策略经理 Benson George 表示,MITRE Caldera 的用户会发现使用 ALOHA 的过程相当简单。该公司已经在使用 Caldera 进行对手仿真,并计划尝试这个新框架,尤其是如果它能改善开源框架中一些较繁琐的部分。
“红队很可能会成为重度用户 —— 我们这边肯定会用,” 他说。“它是对 Caldera 的补充。Caldera 是一个很棒的工具,但它非常耗时,而且对细节要求极高。”
Willis 表示,最终,PNNL 研究团队希望让 AI 对更多类型的组织有用,而不仅仅是高级安全团队。
“关键在于优化防御,” 他说,并指出当前的集成使该工具能够完成整个攻击仿真和防御缓解周期。“它先运行攻击能力,然后回头查看防御工具,接着制定防御对策,再重新运行攻击,看看防御工具是否能检测到它。”
发表评论
您还未登录,请先登录。
登录