关键基础设施防御的未来:自主人工智能
去年年底北约(NATO)网络安全联盟进行了一次大规模网络演练,重点测试和评估了自主人工智能技术对电网等关键基础设施和资产的防护能力,参与演练的各路安全专家的初步结论是:自主智能是关键基础设施安全的未来!
所谓自主智能,即无需人工干预即可采取行动的人工智能(AI),可以帮助识别关键基础设施网络攻击模式和网络活动,并检测恶意软件,从而增强(自动化)防御响应决策。
在北约的模拟演练对比测试中,来自北约盟国的六组网络防御者的任务是在假想的军事基地建立虚拟的计算机系统和电网,并在网络攻击期间保障其运行。如果黑客干扰系统操作或断电超过10分钟,关键系统将被判定宕机。参与演练的三个防御团队使用美国能源部(DOE)阿贡国家实验室开发的新型自主情报网络防御代理(AICA)模型,其他三个参照团队则没有使用该模型。
该实验的目的是测试和评估人工智能在收集数据和协助团队应对针对关键系统和服务的网络攻击方面的效率,同时强调通过工具改善人与机器之间的协作,以降低网络风险。该实验结果于2022年12月下旬发布,此前美国政府审计局(GAO)的一份新报告警告说,自2010年以来,许多关键政府实体在关键基础设施安全方面盲目行事,未能实施与保护关键基础设施相关的大多数安全建议。
人工智能“显影”关键基础设施安全态势
根据阿贡国家实验室公布的部分实验内容(布莱克利和北约的ACT将在未来几个月内公布实验的全部结果),防御团队拟定了一个服务列表,监控为系统供电的模拟微电网,响应注入请求,并采用网络攻击策略破坏其他团队做同样的事。在实验之前,没有一个团队知道实验的具体场景或网络。
结果显示,使用阿贡国家实验室AICA模型的防御团队没有漏掉关键的网络活动,事件记录、入侵检测警报并检测到相关恶意软件,这些恶意软件可以增强攻击者查询并针对防御响应自动决策。“所有团队都能够保持电网的正常运行,但这不是唯一有价值的结果,”阿贡网络安全研究分析师本杰明布莱克利与北约盟军司令部转型(ACT)的网络空间专家一起领导了这项实验,他指出:“我们能够看到AICA模型可以帮助防御团队看到网络态势,包括攻击模式、网络流量和目标系统之间的关系。安全人员使用这些信息来构建网络的知识图谱,进行高级查询和自动化防御决策,这有助于他们更好地保护网络(下图):
关键基础设施高级副总裁、网络安全和基础设施安全局(CISA)前助理主任Bob Kolasky表示,实验结果表明新兴技术有望在管理复杂,相互依赖的系统风险方面改变游戏规则,阿贡等国家实验室提供了复杂的建模、合成数据和高计算能力,以测试如何将人工智能应用于关键基础设施保护,这令人感到兴奋。
关键基础设施面临日益复杂的网络威胁
关键基础设施、系统和服务继续面临日益复杂的网络威胁,包括与中美对抗和俄乌冲突相关的高风险。去年12月,微软发布了第三版网络威胁情报报告,警告由于物联网(IoT)和运营技术(OT)设备的普遍性、脆弱性和云连接性,关键基础设施的风险正在不断上升,这意味着快速扩张、通常不受检查的风险面,影响着更广泛的行业和组织。报告指出:虽然物联网和OT漏洞的普遍存在对所有组织都提出了挑战,但关键基础设施面临的风险更为严峻。攻击者甚至不一定需要破坏关键基础设施,只要能中断关键基础设施服务就能造成巨大损失和危害。
网络安全公司Bridewell的托管安全服务总监Martin Riley指出,围绕俄乌战争的地缘政治紧张局势对关键基础设施安全防御产生了重大影响,将关键基础设施的威胁等级提升到了新的高度:“我们的研究采访了负责保护国家关键基础设施的521名网络安全决策者,发现自俄罗斯入侵乌克兰以来,70%的受访者报告说攻击有所增加。”
Riley还提及了欧洲海底关键基础设施面临的威胁并敦促网络运营商提高服务的网络弹性,因为俄罗斯被指控发起深海破坏活动以破坏重要的能源和数据链。Riley指出:2022年我们已经看到真实发生的网络物理攻击或“混合战争”,所有关键基础设施都存在类似的共同威胁或脆弱性。例如,海底数据电缆仍然没有一致的监管或标准。我们的经济和社会的数字纽带非常脆弱,严重依赖全球580条已投入使用或计划中的海底电缆。
2022年4月,五眼国家(美国、澳大利亚、加拿大、新西兰和英国)曾发布警报,全面概述了(俄罗斯)国家黑客和网络犯罪对关键基础设施的威胁,而支持俄罗斯的勒索软件组织如Conti则扬言要攻击西方国家的关键基础设施以支持俄罗斯政府。
关键基础设施安全:自主人工智能很关键
自主/人工智能技术有望在保护关键基础设施以及应对类似场景的复杂网络威胁方面发挥重要作用。
“人工智能在关键基础设施威胁检测方面的应用已经势在必行,可在具体的事件响应行动自动遏制,消除或防止更广泛的威胁,”Riley指出:“人工智能威胁检测技术之的应用之所以如此重要,是因为攻击者的工具技术、行为模式、攻击策略以及使用的基础设施都在快速不断变化或微调”。
Riley透露,Bridewell公司的情报和研究团队已经开始使用AI跟踪对手的基础设施和行为。传统安全分析和威胁情报的成本很高,因此转向人工智能生成模型可以大幅降低成本,同时提高成熟度,降低风险。
网络安全和基础设施安全局(CISA)前助理主任Bob Kolasky总结道:现实是,关键基础设施功能通常基于复杂的依赖关系和网络,这些网络主要通过数字手段进行管理。仅靠人类不可能完全理解全部的复杂性和攻击点。人工智能将大大提高风险监控的有效性和效率,并最终降低风险,提高系统弹性。
