對話Akamai：安全問題迫在眉睫，AI「Buff」是利好防守方還是攻擊方？

本文作者：何思思

2023-10-18 16:56

導語：安全是任何一個時代都逃不掉的話題。

數(shù)字化時代，安全是一個需要長期研究的課題。

今年一月份美國醫(yī)療設備巨頭因網(wǎng)絡攻擊，100萬人的敏感信息被泄露；印度火車票務平臺遭遇大規(guī)模數(shù)據(jù)泄露，涉及人數(shù)超3100萬；緊接著是制藥巨頭Sun Pharma、皇家郵政（Royal Mail）被勒索軟件攻擊...

而國內(nèi)近兩年也成了安全事故頻發(fā)的重災區(qū)，在此影響下，國內(nèi)企業(yè)對安全的重視程度有了明顯的提升。據(jù)一項調查數(shù)據(jù)顯示，包括中國、日本、印尼、新加坡、澳新地區(qū)以及韓國等地在內(nèi)的2341 位受訪者。其中75% 的亞太地區(qū)用戶表示，在發(fā)生數(shù)據(jù)泄露事件時，即使該企業(yè)能夠提供優(yōu)質的服務和產(chǎn)品，也會停止對該公司的支持。

這也從側面說明了，數(shù)據(jù)安全的重要性正在日益凸顯，同時也為許多沒有把數(shù)據(jù)安全放在第一位的企業(yè)敲響了警鐘。

但與之而來的數(shù)字化再次給企業(yè)籠罩了一層安全的陰霾。這一時期，企業(yè)積極擁抱數(shù)字化，數(shù)字技術逐漸應用到各業(yè)務場景中，但同時也加劇了網(wǎng)絡勒索、釣魚攻擊、數(shù)據(jù)竊取等重大安全事件頻發(fā)。

更重要的是，處在數(shù)字化轉型深水區(qū)的企業(yè)有一個很明顯的特征，大部分公司開始把越來越多的業(yè)務從線下搬到線上，這時就需要通過API進行數(shù)據(jù)交換和實現(xiàn)業(yè)務邏輯的轉變，同時企業(yè)APP、Web和應用程序核心功能、云體系與微服務架構等均離不開API，API的數(shù)量和流量與日俱增，這也就加劇了API安全問題的頻發(fā)。

相關市場研究報告數(shù)據(jù)說明，與整體 API 流量相比，API 攻擊流量增長了三倍。通過利用API的安全漏洞，攻擊者可以輕松獲取企業(yè)Web應用系統(tǒng)及服務器設備的控制權限，從而進行掃號撞庫、數(shù)據(jù)竊取、營銷作弊等破壞活動，嚴重損害企業(yè)的業(yè)務發(fā)展。

也就是說，當下 API安全的建設已經(jīng)刻不容緩，但現(xiàn)實情況是，很多企業(yè)在API安全建設方面相對薄弱，企業(yè)存在一些誤區(qū)，這就給了黑產(chǎn)可乘之機。

對話Akamai：安全問題迫在眉睫，AI「Buff」是利好防守方還是攻擊方？ 執(zhí)行副總裁兼CTO Robert Blumofe

Akamai自成立以來就一直在做安全方面的相關研究，其中Web防火墻就是主要產(chǎn)品之一。執(zhí)行總裁Robert Blumofe表示，越來越多的Web應用都是通過API來實現(xiàn)的，包括后端和前端的通信，不同的微服務之間的通信等。

他坦言，現(xiàn)在大部分企有一個很普遍的現(xiàn)象，一家企業(yè)的整體業(yè)務中可能有幾百個甚至上千個API。但這些API如果沒有得到妥善防護，就很容易被網(wǎng)絡罪犯入侵、攻擊，以獲得訪問一些敏感信息或者入侵到企業(yè)的具體業(yè)務中去。

從企業(yè)層面來說，很多企業(yè)雖然有成千上萬個API，但其實他們本身是不自知的，同時這些企業(yè)更是缺乏監(jiān)測API情況的手段，比如這些API是否是合法使用的，甚至沒有能力了解API什么時候受到了攻擊。

此外，很多企業(yè)使用的是第三方的開源插件，Robert Blumofe談到，這種情況也已經(jīng)非常普遍，和API一樣，一般情況下大部分企業(yè)不知道自己用了哪些第三方的軟件，有時即使知道用了也不知道這些軟件是誰寫的，這就讓企業(yè)在進行安全防護時顯得很被動。

基于此，Akamai提出了“可視性”的概念，同時，為了加強自身安全方面的服務能力，Akamai收購了Neosec公司，并面向市場推出這樣新的API的防護、可視的能力——Neosec API安全解決方案，通過該方案，客戶可以實時看到他們公司所擁有的API的使用情況，同時在API被濫用的時候能夠對他們提出警報。

對此，Akamai副總裁暨大中華區(qū)總經(jīng)理李昇回憶道，2021年12月，一個“核彈級”漏洞（Log4Shell ）的爆出，讓全球陷入了惶恐，短時間內(nèi)就讓全球近半數(shù)的企業(yè)網(wǎng)絡遭遇了攻擊，并在互聯(lián)網(wǎng)上迅猛擴散。主要原因在于Log4j漏洞利用成本極低，可以直接任意代碼執(zhí)行，并接管目標服務器。

而Akamai 威脅研究實驗室利用自身對于全球海量數(shù)據(jù)中心的監(jiān)測能力，從全球 200 多個不同行業(yè)、不同規(guī)模的數(shù)據(jù)中心收集了相關數(shù)據(jù)，評估了 Log4j 漏洞給企業(yè)帶來的實際風險并給出防御建議。

其中就運用到了“可視性”防護的策略，而其背后是“微分段”提供了技術支撐。李昇形象的比喻道，就像一個大樓，如果沒有微分段的話，一旦有風險的軟件被使用，它在大樓中就可以去任何一個房間中的任何一個文件柜。但“微分段”就是雖然進了這個樓，每個房間里面都配置了一把鎖，甚至每一個文件柜都有一把鎖。這樣的話，就算進到這個房間，也不能在沒有授權的情況下訪問文件柜中的文件。

“之前的‘微分段’，你的訪問的是一個大樓，一旦你進到這個大樓就可以暢通無阻了?，F(xiàn)在的“微分段”實際上就是給每個房間都上了一把鎖，只有你確實需要進入某個特定房間的時候、你才能夠進入某個房間?！?/span>

轉眼到了大模型時代，安全問題似乎比數(shù)字化時代更為嚴峻，諸如GPT剛進入大眾視野時，被人們稱為“全知全能的神”，但是伴隨著使用過程中出現(xiàn)的數(shù)據(jù)泄露等問題，也引來了各種爭議。包括三星、摩根大通、蘋果、花旗集團等在內(nèi)的多家頭部企業(yè)紛紛限制員工使用ChatGPT。

雷峰網(wǎng)了解到，早在前幾年Akamai就通過深度學習實現(xiàn)了流量分類的作用，比如是惡意流量還是非惡意流量，正常流量還是異常流量，真實人類產(chǎn)生的流量，還是機器人程序Bot產(chǎn)生的流量。

當然大模型的出現(xiàn)也給Akamai在安全方面的研究提供了新的視野和新的技術支撐，據(jù)Robert Blumofe介紹，基于公司目前的運行規(guī)模，通過所有數(shù)據(jù)和收集的互聯(lián)網(wǎng)的流量，Akamai訓練了一個深度學習的模型，這樣能實現(xiàn)更加有效的流量分類。

但一項新鮮事物的誕生，往往是機遇和挑戰(zhàn)并存。Robert Blumofe分析道，生成式AI的出現(xiàn)讓我們能夠看到很多新的機會、新的機遇，但是其實也帶來新的威脅。如果放在網(wǎng)絡罪犯的手里，生成式AI其實是一個非常強有力的犯罪工具。網(wǎng)絡犯罪分子可以利用生成式AI大量的去生成這種“釣魚的誘餌”，也可以用它產(chǎn)生大量的惡意軟件。

還重點強調了要從提示詞的輸入方面規(guī)避安全事故的發(fā)生：

首先，第三方大模型會記錄下你輸入的提示詞內(nèi)容，將來某個階段在輸出答案時，很可能把這些提示詞作為答案的一部分反饋給其他用戶。如果當中涉及到一些敏感信息或者公司業(yè)務信息，就會泄露從而給個人或者公司帶來不小的損失。

其次，在用于一些嚴肅場景，關鍵用途時候，一定要看大模型輸出的結果是什么樣的。

縱觀網(wǎng)絡攻擊事件的發(fā)展，隨著科學技術的進步，網(wǎng)絡攻擊手段也在不斷的升級，五年前更多的是類似“黑客” 的“網(wǎng)絡罪犯”，他們更多的是為了凸顯自己的能力或者傳播自己的觀點。

但近五年出現(xiàn)了一種新型的網(wǎng)絡犯罪模式，他們更多的是出于金錢目的，且他們的能力和工具比之前要強的多，攻擊更有效、規(guī)模更大。

在Robert Blumofe看來，未來五年會有更多的由AI驅動的網(wǎng)絡犯罪、網(wǎng)絡攻擊工具。從短期來看，隨著生成式AI的出現(xiàn)，會出現(xiàn)一種能力不對等的情況，且更多的能力會賦予到網(wǎng)絡攻擊方而非防守方。所以作為防守方，就更需要了解對方有哪些工具，了解他們怎么樣用AI技術來進行網(wǎng)絡攻擊。