如何防范AI和ML攻擊

張如旭

阻止勒索軟件已成為許多組織的優(yōu)先事項(xiàng)。因此，他們正在轉(zhuǎn)向人工智能（AI）和機(jī)器學(xué)習(xí)（ML）作為防御選擇，然而，威脅者也正在轉(zhuǎn)向AI 和ML來發(fā)動(dòng)攻擊，這是一種特定類型的攻擊，即數(shù)據(jù)中毒。

為什么AI和ML有風(fēng)險(xiǎn)

像其他任何技術(shù)一樣，AI是一把雙刃劍。You Attest的首席執(zhí)行官Garret Grajek在一次電子郵件采訪中說，人工智能模型擅長處理大量數(shù)據(jù)并得出“最佳猜測”。他說：“黑客已經(jīng)使用AI來攻擊身份驗(yàn)證，包括語音和可視化攻擊，‘武器化的A致力于獲取訪問密鑰?！?/p>

康奈爾大學(xué)的研究人員解釋說：“專業(yè)數(shù)據(jù)中毒是對ML的有效攻擊，并且通過將中毒數(shù)據(jù)引入訓(xùn)練數(shù)據(jù)集來威脅模型的完整性?！?/p>

是什么使通過AI和ML進(jìn)行的攻擊不同于典型的“系統(tǒng)中的錯(cuò)誤”攻擊？Marcus Comiter 在哈佛大學(xué)Belfer 科學(xué)與國際事務(wù)中心的論文中說，這些算法存在固有的局限性和弱點(diǎn)，無法解決。

“ AI攻擊從根本上擴(kuò)展了可用于執(zhí)行網(wǎng)絡(luò)攻擊的實(shí)體集合，”Comiter 補(bǔ)充說：“有史以來第一次，物理對象可以用于網(wǎng)絡(luò)攻擊，還可以使用這些攻擊以新的方式將數(shù)據(jù)武器化，因此需要改變數(shù)據(jù)的收集、存儲(chǔ)和使用方式?！?/p>

人為錯(cuò)誤

為了更好地了解威脅者如何利用AI 和ML作為數(shù)據(jù)中毒和其他攻擊的載體，需要更清楚地知道他們在保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)方面的作用。

如果問首席信息安全官，對一個(gè)組織的數(shù)據(jù)最大威脅是什么，他們往往會(huì)告訴你是人性。

員工并不打算成為網(wǎng)絡(luò)風(fēng)險(xiǎn)，但他們是人，人是可以分心的。一個(gè)急于截稿并期待得到一份重要文件的員工，可能最終會(huì)點(diǎn)擊了一個(gè)受感染的附件，誤以為那是他們需要的文件?；蛘?，員工可能根本沒有意識到，因?yàn)樗麄兊陌踩庾R培訓(xùn)太不連貫，沒有留下印象，威脅者知道這一點(diǎn)，并且像任何專業(yè)罪犯一樣，他們正在尋找進(jìn)入網(wǎng)絡(luò)和獲取數(shù)據(jù)的最簡單方法。網(wǎng)絡(luò)釣魚攻擊之所以如此普遍，是因?yàn)樗鼈兎浅：糜谩?/p>

使用異常行為作為風(fēng)險(xiǎn)因素

這就是AI和ML惡意軟件檢測發(fā)揮作用的地方。這些技術(shù)找到模式并分析用戶，在其變成問題之前嗅出奇怪的行為。通過應(yīng)用生成的算法，ML識別出人類不可能做到的異常行為。例如，它可以檢測到一個(gè)員工的正常工作或敲擊鍵盤的節(jié)奏，并為不正常的事情設(shè)置警報(bào)。

當(dāng)然，這并不完美。有人可能在正常工作時(shí)間之外工作，或者有影響他們打字方式的傷病。但這些工具的設(shè)計(jì)是為了捕捉一些不尋常的東西，例如威脅者使用被盜的證書。

可以通過使用AI 告訴我們計(jì)算機(jī)和網(wǎng)絡(luò)上真實(shí)文件與惡意文件之間的區(qū)別，阻止對文件的不良訪問來更好地保護(hù)網(wǎng)絡(luò)免受勒索軟件攻擊。AI可以嗅探影子IT，發(fā)現(xiàn)有威脅的授權(quán)連接，并深入了解員工使用的端點(diǎn)數(shù)量。

為了使AI和ML成功應(yīng)對網(wǎng)絡(luò)威脅，他們依賴于在指定時(shí)間段內(nèi)創(chuàng)建的數(shù)據(jù)和算法。這樣一來，就可以有效地發(fā)現(xiàn)問題（并使安全團(tuán)隊(duì)騰出時(shí)間來執(zhí)行其他任務(wù)）。但這也是威脅，AI和ML應(yīng)用的上升，直接導(dǎo)致數(shù)據(jù)中毒的潛在威脅。

了解數(shù)據(jù)中毒

有2種毒害數(shù)據(jù)的方法。一種是將信息注入系統(tǒng)，以便它返回錯(cuò)誤的分類。從表面上看，對算法進(jìn)行毒化看起來并不那么困難，畢竟人們教給AI和ML什么它們就響應(yīng)什么。

如果威脅者訪問了訓(xùn)練數(shù)據(jù)，則可以操縱該信息向AI和ML講授他們想要的任何東西。他們可以將良好的軟件代碼視為惡意代碼，反之亦然。攻擊者可以重建人類行為數(shù)據(jù)，以發(fā)起社會(huì)工程學(xué)攻擊或確定使用勒索軟件攻擊的目標(biāo)。

威脅參與者的第2種方式是利用訓(xùn)練數(shù)據(jù)來生成后門。

黑客可能會(huì)使用AI來幫助選擇最值得利用的漏洞，然后將惡意軟件放置在企業(yè)中，在這些企業(yè)中，惡意軟件本身可以決定攻擊的時(shí)間以及最佳的攻擊媒介。這些攻擊（根據(jù)設(shè)計(jì)，是可變的），使得檢測起來更加困難和時(shí)間更長。”Grajek說。

攻擊者如何使用數(shù)據(jù)中毒

數(shù)據(jù)中毒需要注意的一點(diǎn)是，威脅參與者需要訪問數(shù)據(jù)培訓(xùn)程序，因此，您可能正在面對內(nèi)部攻擊、商業(yè)競爭對手或民族國家的攻擊。

Bruce Draper 博士在DARPA研究項(xiàng)目中寫道：“對抗性AI 的當(dāng)前研究重點(diǎn)在于那些無法感知的ML 輸入擾動(dòng)可能欺騙ML分類器，從而改變其響應(yīng)的方法。盡管對抗性AI領(lǐng)域還比較年輕，但已經(jīng)有數(shù)十種攻擊和防御措施，目前還缺乏對ML漏洞的全面理論理解?！?/p>

攻擊者還可以使用數(shù)據(jù)中毒來使惡意軟件更智能。威脅參與者使用它克隆短語來欺騙算法破壞電子郵件?，F(xiàn)在，它甚至結(jié)合了生物識別技術(shù)，攻擊者可以在其中鎖定合法用戶并潛入

數(shù)據(jù)中毒和深度偽造

深度欺詐也是一種數(shù)據(jù)中毒，許多人預(yù)計(jì)這將是數(shù)字犯罪的下一波浪潮。攻擊者編輯視頻、圖片和錄音以制作逼真的圖像。因?yàn)樗鼈兛赡鼙缓芏嗳苏`認(rèn)為是真實(shí)的照片或視頻，所以它們是勒索的成熟技術(shù)。正如科米特指出的那樣，在公司層面使用這種方法的變體也可能導(dǎo)致人身危險(xiǎn)。

他寫道：“人工智能攻擊可以在自動(dòng)駕駛汽車的眼睛上將停車標(biāo)志變成綠燈，只需在停車標(biāo)志上放幾條膠帶即可。”

假新聞也屬于數(shù)據(jù)中毒。社交媒體中的算法已損壞，以允許不正確的信息上升到新聞提要的頂部，從而取代了真實(shí)的新聞來源。

阻止數(shù)據(jù)中毒攻擊

從當(dāng)前看，數(shù)據(jù)中毒仍處于起步階段，因此網(wǎng)絡(luò)防御專家仍在學(xué)習(xí)如何最好地防御這種威脅。滲透測試和進(jìn)攻性安全測試可能會(huì)導(dǎo)致漏洞被發(fā)現(xiàn)，使外部人員可以訪問數(shù)據(jù)培訓(xùn)模型。一些研究人員還正在考慮設(shè)計(jì)AI 和ML的第2 層，以捕獲數(shù)據(jù)訓(xùn)練中的潛在錯(cuò)誤。

“AI 只是攻擊者武器庫中的又一種武器，”格雷厄克說。黑客仍希望在整個(gè)企業(yè)范圍內(nèi)遷移，提升其執(zhí)行任務(wù)的特權(quán)。持續(xù)不斷的實(shí)時(shí)特權(quán)升級監(jiān)控對于幫助判斷與緩解是否由AI 造成的攻擊至關(guān)重要?！?/p>