通过人工智能威胁建模构建抵御能力：评级公司的经验教训

金融服务公司正在抵御日益复杂的基于身份的攻击，这些攻击旨在窃取数十亿美元并扰乱交易，最终摧毁花费数年建立的信任。

网络犯罪分子不断提高他们的间谍手段，瞄准行业在身份安全方面的漏洞。从尝试到武器化法学硕士使用最新的对抗性窃取身份的人工智能技术并承诺合成欺诈、网络犯罪分子、犯罪集团和民族国家行为体都将目标瞄准了金融服务业。

方法如下给公司评级（以前称为Guaranteed Rate）正在反击这些日益复杂的基于身份的攻击，以及其他行业和企业领导者可以从他们的策略中学到什么。

评级公司如何防御人工智能驱动的威胁

金融机构面临超过31亿美元合成身份欺诈的风险在过去一年中增长了 14.2%，而深度伪造跃升 3,000%预计到 2024 年将再增加 50% 至 60%。更不用说短信、MFA 疲劳和 Deepfake 冒充已经变得非常普遍，令人震惊。

作为美国第二大零售抵押贷款机构，Rate 每天有数十亿笔敏感交易流经其系统，这使得该公司成为网络犯罪分子的主要目标。

VentureBeat 最近（虚拟）与金融机构信息安全高级副总裁 Katherine Mowen 进行了座谈，深入了解她如何在 Rate 基础设施中协调人工智能，重点关注保护客户、员工和合作伙伴身份。

“由于我们业务的性质，我们面临着一些最先进、最持久的网络威胁，”Mowen 告诉 VentureBeat。– 我们看到抵押贷款行业的其他人遭到破坏，因此我们需要确保这种情况不会发生在我们身上。我认为我们现在正在做的就是用人工智能对抗人工智能。”

Mowen 解释说，人工智能威胁建模对于保护客户身份以及公司每年数十亿美元的交易至关重要。她还强调，“如果攻击者只是窃取用户凭据，即使是最好的端点保护也无济于事。”

这一认识促使 Rate 增强基于身份的异常检测并集成实时威胁响应机制。该公司采用了零信任框架和思维方式，将每项决策都围绕身份和持续验证进行。

如今，Rate 采用“从不信任，始终验证”的方式来验证身份，这是零信任的核心概念。使用人工智能威胁建模，Rate 可以定义最低特权访问并实时监控每笔交易和工作流程，这是坚实的零信任框架的两个额外基石。

该公司认识到解决日益短的检测和响应窗口问题的重要性 - 电子犯罪的平均爆发时间现在仅为62分钟。为了应对这一挑战，该组织采用了“1-10-60”SOC 模型：1 分钟检测、10 分钟分类、60 分钟遏制威胁。

从 Rate 中汲取的关于构建 AI 威胁建模防御的经验教训

为了扩大规模并解决抵押贷款行业的周期性问题，员工数量可以根据需要从 6,000 人激增至 15,000 人，Rate 需要一个能够轻松扩展许可规模并统一多个安全层的网络安全解决方案。每个人工智能威胁建模供应商都有特殊的定价优惠，可以将模块或应用程序捆绑在一起以实现这一目标。对 Rate 最有意义的解决方案是 CrowdStrike 的适应性许可模型 Falcon Flex，它允许 Rate 在 Falcon 平台上实现标准化。

Mowen 解释说，Rate 还面临着以下挑战：确保每个区域和卫星办事处的访问权限最低，监控身份及其相对权限，设置资源访问时间限制，同时持续监控每笔交易。Rate 依靠人工智能威胁模型来精确定义最低特权访问，实时监控每笔交易和工作流程，这是构建可扩展的零信任框架所需的两个基石。

以下是 Rate 从使用人工智能阻止复杂的身份攻击中吸取的经验教训的细分： 

身份和凭证监控是赌注，也是安全团队需要快速获胜的地方

Rate 的信息安全团队开始跟踪越来越多的针对远程工作的信贷员的复杂、独特的基于身份的攻击。Mowen 和她的团队在选择 CrowdStrike 的 Falcon Identity Protection 之前评估了多个平台，因为它能够识别基于身份的微妙攻击。“Falcon Identity Protection 为我们提供了可视性和控制力，以防御这些威胁，”Mowen 说。

使用 AI 降低 (SOC) 和端点中的噪声信号比必须是高优先级

Mowen 指出，Rate 之前的供应商产生的噪音多于可操作的警报。“现在，如果我们在凌晨 3 点接到传呼，那几乎总是一个合理的威胁，”她说。价格最终确定为 CrowdStrike 的 Falcon Complete 下一代托管检测和响应 (MDR)，以及集成的 Falcon LogScale 和 Falcon 下一代安全信息和事件管理 (SIEM)，以实时集中和分析日志数据。“与我们之前笨重的 SIEM 相比，Falcon LogScale 降低了我们的总拥有成本，而且集成起来也简单得多，”Mowen 说道。

定义清晰、可衡量的策略和路线图，以大规模获得云安全性

由于业务通过收购持续有机增长，Rate 需要能够根据市场条件扩展、收缩和灵活的云安全性。跨云资产的错误配置的实时可见性和自动检测是必须具备的。Rate 还需要跨不同的云环境基础进行集成，包括整个信息安全技术堆栈的实时可见性。“我们管理的员工队伍可以快速增长或缩减，”莫文说。

寻找一切机会整合工具以提高端到端可见性

Mowen 指出，为了让人工智能威胁建模能够成功识别攻击、端点检测和响应 (EDR)、身份保护、云安全和其他模块，所有这些都必须位于一个控制台下。“将我们的网络安全工具整合到一个有凝聚力的系统中，可以使从管理到事件响应的一切变得更加高效，”她说。CISO 及其信息安全团队需要工具通过单一监控系统提供所有资产的清晰、实时视图，该系统能够自动标记错误配置、漏洞和未经授权的访问。

– 我的想法是，您的攻击面不仅是您的基础设施，而且还包括时间。“你需要多长时间做出回应？”Mowen 说道，并强调准确度、精度和速度至关重要。

重新定义弹性：2025 年以身份为中心的零信任和人工智能防御策略

以下是 VentureBeat 对 Mowen 采访的一些重要见解： 

• 身份正在受到围攻，如果您的行业还没有看到这一点，那么他们将在 2025 年看到：身份被认为是许多技术堆栈中的一个弱点，攻击者不断地调整情报技术来利用它们。AI 威胁建模可以通过持续身份验证和异常检测来保护凭据。这对于保护客户、员工和合作伙伴免受日益致命的攻击至关重要。

• 用AI对抗AI：使用人工智能驱动的防御来对抗对抗性人工智能技术，包括网络钓鱼、深度伪造和合成欺诈，是有效的。自动检测和响应可减少识别和击败攻击所需的时间。

• 始终优先考虑实时响应：跟随 Mowen 的领导，采用“1-10-60”SOC 模型。速度至关重要，因为攻击者根据访问企业网络、安装勒索软件、搜索身份管理系统和重定向交易的速度创造了新记录。

• 将零信任作为身份安全的核心，实施最低特权访问、持续身份验证并监控每项活动，例如已经发生的违规行为：每个组织都需要定义自己独特的零信任方法。核心概念不断证明自己，特别是在金融服务和制造业等目标明确的行业中。零信任的核心是假设违规已经发生，这使得监控成为任何零信任框架中的必备条件。

• 如果可能，自动化 SOC 工作流程以减少警报疲劳，并让分析师能够进行二级和三级入侵分析：Rate 的一个关键要点是，与整个 SOC 的流程改进相结合时，AI 威胁监控的有效性如何。考虑如何使用人工智能来整合人工智能和人类专业知识，以持续监控和遏制不断变化的威胁。始终考虑中间人工作流程设计如何提高 AI 准确性，同时也为 SOC 分析师提供在工作中学习的机会。