AI浪潮下的護網行動之變

2016年，《中華人民共和國網絡安全法》正式發布，其中規定了關鍵信息基礎設施的運營者應“制定網絡安全事件應急預案，并定期進行演練”。護網行動至此成為了固定活動，每年一次，每一次持續2～4周。護網行動是針對全國范圍內真實的網絡目標實戰攻防活動，目的在于發現、暴露并解決企業存在的網絡安全問題，通過網絡攻擊的手段檢驗我國各大企事業單位、部屬機關的網絡安全防護水平和應急處置能力。

經過多年的實戰操練，護網行動進入常態化、穩定期，攻防之間也形成一種平衡，然而AI打破了這一局面。F5中國區金融和企業事業部技術總監兼安全事業部總經理陳亮在接受采訪時表示，AI等新技術的廣泛應用讓網絡攻防手段都發生了革命性的變化，護網運動也相應進入轉型期。

轉型期的護網行動相比之前會有如下幾個變化：首先，防守方（藍方）之前“人海戰術+手動封禁”的高強度集中值守模式以及“阻斷+打補丁”式防護理念已經不可持續，應該強調安全運營，通過實時的監測、持續的響應，不斷地優化自己的安全策略。其次，由于云原生、微服務、容器等新技術理念被廣泛采用，防守方的IT架構發生了很大的變化，圍繞API的攻防將成為焦點。最后，防守方會引入AI技術以提高防護的自動化和智能化水平，但需要注意的是，AI本身是一把雙刃劍。

傳統的安全維護手段，如漏洞修補、防火墻部署和入侵檢測，已難以應對日益復雜的網絡攻擊環境。安全運營的目的是實現網絡安全從被動防御轉向主動治理，強調構建能夠有效管理威脅預警、發現、響應、處置等各個環節的安全管理體系。陳亮說：“一味地防守總會失誤，所以發現漏洞、及時響應、不斷優化更加重要。安全運營有助于護網行動從單純的對抗發展為持久作戰。”

移動互聯網的崛起和數字化轉型的推進讓API在現代軟件開發中占據著越來越重要的地位。作為應用和數據的網關，API已成為構建數字業務的基礎。根據F5發布的《2024年應用策略現狀》報告，88%的企業表示他們在多個地點部署應用和API。然而，樹大招風，根據Salt Labs報告，API攻擊活動數量呈數倍增長，已是網絡攻擊的首選目標。因此，API發現與加固已成為轉型期的護網行動的必備能力之一，重要性日益凸顯。陳亮稱，F5能夠提供業界最全面的API安全解決方案。

AI的興起除了可以讓攻擊方（紅方）生成更多的攻擊工具外，也可以讓攻擊方進行一些更深度的欺騙，比如釣魚郵件，來實現滲透。門檻低、手段多、防護難、損失大，這是陳亮總結的AI攻擊四大特點。此外，防守方也會利用AI技術，比如大模型，來提高防護的自動化能力，但是大模型本身對于防護方來說就像一個黑盒子，其不透明讓危險變得無處不在，而傳統手段對于大模型的防護已經失靈。

陳亮認為，為了適應變化，轉型期的護網行動必須具備4大能力——自動化、持續監控和處置、縱深防御、API發現與加固。