革命性的进攻性安全:Agentic AI 开启新时代

新闻
1月前

如果我们看看人类和自动攻击性安全的局限性,我们会对代理人工智能正在实现的范式转变感到兴奋。

当我回顾过去十年安全领域的发展时,我不禁为将安全提升到现代 DevOps、CI/CD 和云实践水平的所有出色工作感到无比钦佩和谦卑。但当我仔细观察时,我就会发现,长期以来被认为是锁定对业务有影响的真正可利用漏洞的最有效方法之一的进攻性安全(渗透测试、红队、道德黑客)坦率地说已经停留在古代历史中。

官网.png

它几乎完全是手动的,主要作为一种服务而不是产品来提供,虽然我们今天所知道的服务可以提供有价值的见解,但它们受到以下问题的困扰:

  • 时间点

  • 昂贵的

  • 扩大规模面临挑战

大多数攻击性安全服务注重数量而非质量,通常依赖初级测试人员或外包团队。对于试图跟上快速发展的威胁形势的企业来说,当前的方法还不够好。


01

产品化进攻性安全措施的局限性


进攻性安全的内在价值在于能够摆脱对数百万未经验证的漏洞的管理,而只关注那些真正可利用且能对业务产生切实影响的漏洞。这是最终的现实检验。

无需猜测或理论上的风险管理。攻击性安全可准确显示攻击者如果今天针对您的企业进行攻击会造成何种后果。

以基础设施为中心的攻击性安全工具在网络自动化渗透测试方面取得了长足进步,但当涉及到网络应用程序和其他面向客户的资产时,产品化的解决方案始终存在不足。

这又回到了每个系统和领域中众所周知的最后一英里问题,无论是 DevOps、DevSecOps 还是 AppSec。这是因为每个应用程序都是不同的,每个企业都面临着独特的风险,而处理这些细微差别所需的类似人类的推理能力在历史上是无法复制的。工具最终依赖于表面的硬编码用例,并且主要迎合最低的共同点。只是,对于现代系统和应用程序的复杂性,根本没有一刀切的方法。

这反映了 DAST(动态应用程序安全测试)类别的失败,该类别难以提供深度、适应独特场景或提供可操作的后续步骤。

结果如何?

公司仍然依赖攻击性安全服务,这不是因为他们想要,而是因为他们不得不这样做。无论是为了满足 SOC2 等合规要求、面向客户的报告,还是为了深入了解可利用的漏洞,都没有可行的替代方案。


02

为何进攻性安全措施失效


如前所述,一些已知的攻击性安全限制被转移到了渗透测试的自动化变体上,而这些变体根本经不起时间的考验。

这些包括:

  • 时间点评估:渗透测试提供了快照,但任何新版本、功能或更新都会使结果过时。

  • 可扩展性问题:高质量的渗透测试成本高昂,而且经验丰富的专业人员的稀缺使扩展这些服务变得不切实际。

  • 缺乏实际价值:许多服务像工厂一样运作,优先考虑吞吐量而不是定制见解。初级测试人员和外包工作很常见,这削弱了调查结果的深度和质量。

  • 合规性高于安全性:进攻性安全性常常被视为审计的一种例行工作,而不是真正改善组织防御能力的工具。


03

游戏规则改变者:惊喜……Agentic AI


多年来,攻击性安全的艺术一直由人类的创造力来定义,这是一把双刃剑。虽然这促成了攻击性安全的情境感知思维、自适应推理和模拟攻击者心态的能力,这些使得这些服务如此有效,但最终它变得难以扩展。

随后,生成式人工智能 (GenAI) 应运而生,它改变了许多领域。安全领域也不例外。

随着大型语言模型 (LLM)的兴起,我们进入了一个机器能够以模仿甚至超越人类智能的方式思考、推理和适应的时代。这一转变开启了新的可能性。

借助代理人工智能,我们几乎能够大规模复制最优秀的进攻性安全专业人员的深度、创造力和适应性。


04

Agentic AI 介入进攻性安全


如果我们看看人类和自动攻击性安全的局限性,我们就会开始对代理人工智能正在实现的范式转变感到兴奋。

该领域以前不可能实现的功能已经出现。这些功能包括:

  • 持续:不再有过时的时间点快照。持续测试与您的系统和应用程序一起发展。

  • 情境感知:与传统工具不同,Agentic AI 了解每个应用程序的独特结构、逻辑和业务环境,以及每个企业面临的独特风险。

  • 可操作性:它不会让团队陷入难以管理的大量漏洞积压中,而是提供一份简短、按优先顺序排列的、对业务有实际影响的可利用问题列表。

这不仅仅是合规驱动的安全,更是现实世界的保护。


05

别急,还有很多工作要做


让我们明确一点:这项技术还不完美。法学硕士可能会产生幻觉,其输出结果并不总是确定性的,监管问题仍未解决。这就是为什么人为因素仍然至关重要,并且(目前)还不能完全被机器取代。

通过将人工智能与人类监督相结合,我们可以实现两全其美。这种未来的进攻性安全会是什么样子?智能、学习、自适应的法学硕士加上:

  • 值得信赖的专业人员确保测试安全且不中断。

  • 验证调查结果、提供可行的见解并指导补救工作的专家。

  • 附带有人力责任保证的合规报告。

这种混合模型弥合了人工智能驱动的可扩展性与企业所依赖的可信专业知识之间的差距,并且尚未准备好完全废除(并且有充分的理由!)


06

进攻性安全的未来


随着法规、标准和其他繁琐手续的增多,安全性常常变得合规驱动而变得不切实际。

网络安全的未来不是被动防御或合规性驱动的测试。而是真正的主动、智能和可扩展的保护。进攻性安全一直是了解风险的最有效方式,但到目前为止,它的实施过于繁琐,导致其利用率不足,许多企业无法实现。

Agentic AI 致力于在这一领域进行彻底改革。通过结合每个新版本中日趋成熟的新技术以及值得信赖的人类专业知识,我们正在让数字世界对每个人都更加安全。