自主安全,AI 速度
现代环境下的快速威胁响应体系构建
我至今仍记得,在 2016 年底,当分布式拒绝服务(DDoS)攻击首次突破 1 Tbps 阈值时,同事们脸上流露出的震惊神情。Mirai 僵尸网络是这场史上首次 1 Tbps DDoS 攻击的幕后黑手,彼时其掌控的物联网(IoT)设备超过 14.5 万台,凭借这一庞大规模发动了如此毁灭性的攻击。
彼时,无数安全分析师、工程师与专家在全球范围内昼夜不停地协同工作,以应对这些攻击。然而,无论这些攻击多么精密复杂,其背后的发起者与应对者,终究都是人。
如今,我们已跨越一道新的门槛。当今的威胁格局,不仅取决于攻击的复杂程度,更在于其惊人的规模与高�度自主性。我们已步入”超大容量“攻击的时代:人工干预不仅速度太慢,也正变得愈发无关紧要。
欢迎来到 30+ Tbps 时代
韧性衡量指标发生了变化。正如近期一份 DDoS 威胁报告所揭示的,昔日”创纪录“的攻击规模,已成为当下的基准线:
新型”怪兽“:Aisuru 僵尸网络重新定义了攻击规模,将攻击峰值推至 29.7 Tbps。
频率:据近期一份报告显示,2025 年第四季度,网络层 DDoS 攻击同比增长 202%。
速度:这些攻击中有 71% 至 89% 的持续时间短于 10 分钟。如果您的韧性策略仍依赖于通用告警来唤醒工程师,那么在工程师尚未登录系统之前,攻击便已结束�(损害也已造成)。
面对持续涌现的大规模攻击,我们如何才能以机器速度从容应对?
这正是自动化和 AI 发挥作用的地方。AI 智能体无需手动登录安全信息与事件管理(SIEM)或网络检测与响应(NDR)工具,即可掌握当前态势。AI 智能体实时读取数据,即时掌握态势,并可立即部署有效对抗措施(例如:添加防火墙规则、阻断特定流量模式或协议)。借助节省下来的时间,安全运营中心(SOC) 可投入人力研判分析,并利用权限管控能力强化安全防御,核验 AI 智能体执行的自动化变更操作。
影子 AI 盲区
安全防护不只是将恶意流量拒之门外,更是将专有数据守在内部。员工快速引入 AI 工具,造成了严峻的治理缺口。
现实情况:在遭遇过数据泄露的企业中,约 63% 坦承至今仍无正式的 AI 治理政策。
解决方案:您无法保护看不到的东西。为了掌握需要重点关注和监控的环节,安全工作需要获得对整个技术栈的全面可见性,包括 SaaS 工具。此外,应对影子 AI 威胁还需部署专门调校过的数据丢失防护(DLP)工具,用于检测专有代码或个人身份信息(PII)被粘贴至公共大型语言模型(LLM)的行为。
仅在电子邮件和浏览器中使用 DLP 的时代已经过去。随着 AI 浏览器、API Anywhere 和 智能体式 AI 的演进,以往的 DLP 覆盖模式已经不再足够。集中管控应列为首要优先事项。技术领导者需要了解哪些工具正在获取哪些数据,以及每款工具能对这些数据做什么。
深度伪造防御
社会工程学攻击手法已从电子邮件中的拼写错误发展到完美复制身份。员工们被邀请与高管进行视频会议,并要求完成诸如向某个账户进行大笔资金转账的任务。对于几乎所有人而言,在视频会议中看到这些“高管”出现,足以证明这是一项来自高层的正当请求。
转变:如今,每六起泄露事件中就有一起涉及 AI 驱动的手段;35%利用深度伪造的语音或视频假冒。
危害:网络钓鱼(通常利用 AI 增强)造成的数据泄露事件平均损失高达 480 万美元。
行动:韧性培训必须与时俱进。如今,防御已不再是识别一封伪造的电子邮件,而是通过带外通信渠道验证身份真实性。
我们不仅看到社交媒体上充斥着越来越多的低质量 AI 生成内容。更令人关切的是,深度伪造社会工程学攻击的数量也在大幅增加。某法拉利高管接到一通疑似来自其 CEO 的电话。事后证明,这是一次攻击,而其化解此次攻击的唯一方法,是临时提及一本两人曾交流��过读后感的书——攻击者对此自然毫无所知,无从作答。
因此,有必要重新启用传统的暗语机制,以核实通话对象的真实身份,防范由 AI 深度伪造技术所操控的攻击者。借助 AI 驱动的电子邮件安全解决方案,企业还能够通过分析数以百计的邮件属性,以规模化的方式快速拦截网络钓鱼攻击。
勒索软件:从加密锁定到勒索威胁
多年来,成功的勒索软件攻击导致大量高额赎金支付事件,如今这一数字终于呈现出下降趋势。然而,随着勒索软件商业模式的瓦解,攻击者也被迫改变战术。
下降趋势: 2025 年第三季度,仅有 36% 的受害者支付了赎金,创下历史新低。
转变:为了弥补缺口,76% 的攻击如今涉及数据窃取,而不再局限于单纯加密。
经验教训:备份已不再足够。真正意义上��的安全性与韧性,要求成功阻止数据外泄。若数据未被窃取,攻击者便无法实施敲诈。
从“常规”勒索软件攻击升级为双重乃至三重勒索方案,是此类犯罪活动的必然演进。这自然会对我们的防御能力产生影响。
加密数据曾一度被视为足够有效的补偿性控制措施,但我们理应追求更高标准:除非存在明确且合理的业务需要,否则任何数据都不应离开我们的 IT 环境。随着 后量子计算逐渐进入视野,“先收集再解密”威胁愈发令人忧虑。试想一下:大量已被窃取但仍处于加密状态的数据,此刻正静静躺在某人的硬盘上,只待足够强大的算力将其解密,继而在下一攻击阶段利用原始数据。
实施自主安全
时至今日,安全防护必须采取自主运行模式,否则将形同虚设。我们必须部署能够快速思考并迅速响应的系统,因为它们所面对的威胁也是如此。这些系统应能在无需人工干预的前提下,应对大规模攻击、拦截各类威胁——从 DDoS 攻击到深度伪造——同时不增加解决方案的管理复杂性。
Cloudflare 提供全方位的安全能力,帮助您的团队以自主、快速的方式应对各类威胁。例如,Cloudflare DDoS 防护可抵御规模最大、速度最快的 DDoS 攻击。同时,Cloudflare Email Security 提供 AI 驱动的防护,可自动拦截复杂的 AI 增强型网络钓鱼威胁。由于 Cloudflare 全球连通云将所有安全解决方案整合于单一平台,让您可以轻松扩展自主能力,而不会增加管理复杂性。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
深入探讨这个话题
欢迎阅读电子书《构建现代化安全体系以迎接 AI 时代》(Modernizing security for the AI era),了解 AI 如何重塑业务和安全格局,并获取保护人员、数据和应用的实践指南。
作者
Max Imbiel – @maximbiel
现场 CISO,Cloudflare
关键要点
阅读本文后,您将能够了解:
为何传统缓解手段已无法有效�应对超大容量耗尽攻击
自主系统在阻止深度伪造和数据盗窃方面的作用
如何实施 AI 驱动的防御措施并落地影子 AI 治理管控