如何防范AI和ML攻擊

張如旭

阻止勒索軟件已成為許多組織的優先事項。因此，他們正在轉向人工智能（AI）和機器學習（ML）作為防御選擇，然而，威脅者也正在轉向AI 和ML來發動攻擊，這是一種特定類型的攻擊，即數據中毒。

為什么AI和ML有風險

像其他任何技術一樣，AI是一把雙刃劍。You Attest的首席執行官Garret Grajek在一次電子郵件采訪中說，人工智能模型擅長處理大量數據并得出“最佳猜測”。他說：“黑客已經使用AI來攻擊身份驗證，包括語音和可視化攻擊，‘武器化的A致力于獲取訪問密鑰。”

康奈爾大學的研究人員解釋說：“專業數據中毒是對ML的有效攻擊，并且通過將中毒數據引入訓練數據集來威脅模型的完整性。”

是什么使通過AI和ML進行的攻擊不同于典型的“系統中的錯誤”攻擊？Marcus Comiter 在哈佛大學Belfer 科學與國際事務中心的論文中說，這些算法存在固有的局限性和弱點，無法解決。

“ AI攻擊從根本上擴展了可用于執行網絡攻擊的實體集合，”Comiter 補充說：“有史以來第一次，物理對象可以用于網絡攻擊，還可以使用這些攻擊以新的方式將數據武器化，因此需要改變數據的收集、存儲和使用方式。”

人為錯誤

為了更好地了解威脅者如何利用AI 和ML作為數據中毒和其他攻擊的載體，需要更清楚地知道他們在保護數據和網絡方面的作用。

如果問首席信息安全官，對一個組織的數據最大威脅是什么，他們往往會告訴你是人性。

員工并不打算成為網絡風險，但他們是人，人是可以分心的。一個急于截稿并期待得到一份重要文件的員工，可能最終會點擊了一個受感染的附件，誤以為那是他們需要的文件。或者，員工可能根本沒有意識到，因為他們的安全意識培訓太不連貫，沒有留下印象，威脅者知道這一點，并且像任何專業罪犯一樣，他們正在尋找進入網絡和獲取數據的最簡單方法。網絡釣魚攻擊之所以如此普遍，是因為它們非常好用。

使用異常行為作為風險因素

這就是AI和ML惡意軟件檢測發揮作用的地方。這些技術找到模式并分析用戶，在其變成問題之前嗅出奇怪的行為。通過應用生成的算法，ML識別出人類不可能做到的異常行為。例如，它可以檢測到一個員工的正常工作或敲擊鍵盤的節奏，并為不正常的事情設置警報。

當然，這并不完美。有人可能在正常工作時間之外工作，或者有影響他們打字方式的傷病。但這些工具的設計是為了捕捉一些不尋常的東西，例如威脅者使用被盜的證書。

可以通過使用AI 告訴我們計算機和網絡上真實文件與惡意文件之間的區別，阻止對文件的不良訪問來更好地保護網絡免受勒索軟件攻擊。AI可以嗅探影子IT，發現有威脅的授權連接，并深入了解員工使用的端點數量。

為了使AI和ML成功應對網絡威脅，他們依賴于在指定時間段內創建的數據和算法。這樣一來，就可以有效地發現問題（并使安全團隊騰出時間來執行其他任務）。但這也是威脅，AI和ML應用的上升，直接導致數據中毒的潛在威脅。

了解數據中毒

有2種毒害數據的方法。一種是將信息注入系統，以便它返回錯誤的分類。從表面上看，對算法進行毒化看起來并不那么困難，畢竟人們教給AI和ML什么它們就響應什么。

如果威脅者訪問了訓練數據，則可以操縱該信息向AI和ML講授他們想要的任何東西。他們可以將良好的軟件代碼視為惡意代碼，反之亦然。攻擊者可以重建人類行為數據，以發起社會工程學攻擊或確定使用勒索軟件攻擊的目標。

威脅參與者的第2種方式是利用訓練數據來生成后門。

黑客可能會使用AI來幫助選擇最值得利用的漏洞，然后將惡意軟件放置在企業中，在這些企業中，惡意軟件本身可以決定攻擊的時間以及最佳的攻擊媒介。這些攻擊（根據設計，是可變的），使得檢測起來更加困難和時間更長。”Grajek說。

攻擊者如何使用數據中毒

數據中毒需要注意的一點是，威脅參與者需要訪問數據培訓程序，因此，您可能正在面對內部攻擊、商業競爭對手或民族國家的攻擊。

Bruce Draper 博士在DARPA研究項目中寫道：“對抗性AI 的當前研究重點在于那些無法感知的ML 輸入擾動可能欺騙ML分類器，從而改變其響應的方法。盡管對抗性AI領域還比較年輕，但已經有數十種攻擊和防御措施，目前還缺乏對ML漏洞的全面理論理解。”

攻擊者還可以使用數據中毒來使惡意軟件更智能。威脅參與者使用它克隆短語來欺騙算法破壞電子郵件。現在，它甚至結合了生物識別技術，攻擊者可以在其中鎖定合法用戶并潛入

數據中毒和深度偽造

深度欺詐也是一種數據中毒，許多人預計這將是數字犯罪的下一波浪潮。攻擊者編輯視頻、圖片和錄音以制作逼真的圖像。因為它們可能被很多人誤認為是真實的照片或視頻，所以它們是勒索的成熟技術。正如科米特指出的那樣，在公司層面使用這種方法的變體也可能導致人身危險。

他寫道：“人工智能攻擊可以在自動駕駛汽車的眼睛上將停車標志變成綠燈，只需在停車標志上放幾條膠帶即可。”

假新聞也屬于數據中毒。社交媒體中的算法已損壞，以允許不正確的信息上升到新聞提要的頂部，從而取代了真實的新聞來源。

阻止數據中毒攻擊

從當前看，數據中毒仍處于起步階段，因此網絡防御專家仍在學習如何最好地防御這種威脅。滲透測試和進攻性安全測試可能會導致漏洞被發現，使外部人員可以訪問數據培訓模型。一些研究人員還正在考慮設計AI 和ML的第2 層，以捕獲數據訓練中的潛在錯誤。

“AI 只是攻擊者武器庫中的又一種武器，”格雷厄克說。黑客仍希望在整個企業范圍內遷移，提升其執行任務的特權。持續不斷的實時特權升級監控對于幫助判斷與緩解是否由AI 造成的攻擊至關重要。”