人工智能如何成为进攻性网络安全从业人员的强大工具

从漏洞评估到渗透测试，人工智能和大型语言模型正在深刻改变安全领域的基础。

人工智能，特别是大型语言模型（LLM）及其驱动的代理，在网络安全的各个领域都产生了变革性的影响，并且这项颠覆性的技术在进攻性网络安全领域无异于一场革命。

人工智能的引入“已经触发了进攻性安全领域的深刻变革，包括漏洞评估、渗透测试根据一项说法，“包括红队演练”，最近的报告由云安全联盟（CSA）提出。“这一转变将AI从一个狭义的应用案例重新定义为一种多功能且强大的通用技术。”

Oasis Security的联合创始人兼首席产品官Amit Zimerman表示，人工智能已经成为在与不断演变的威胁赛跑中保持同步的必要工具，这些威胁包括那些由越来越多地利用该技术本身的攻击者所造成的。

“随着对手变得更加复杂，组织必须采用由人工智能驱动的进攻性网络安全措施以保持领先地位，使人工智能不仅成为一种便利，而且成为维持安全竞争优势的关键资产，”Zimmerman说。

offensive cybersecurity（又称offsec）涉及模拟对手行为以识别系统漏洞。它包括渗透测试、红队演练和道德黑客等活动。

Offsec致力于在问题出现之前解决问题

“进攻性网络安全意味着在问题成为问题之前解决它，通过主动测试发现自己的漏洞，并在对手之前修复它们，”SandboxAQ（一家开发B2B和量子软件的公司）的工程副总裁Stefan Leichenauer说。

正是这种进攻性安全的重要性在于，它解决了开发人员可能存在的盲点。“作为软件的建设者，我们倾向于考虑以预期的方式使用我们所开发的东西，”Cobalt Labs（一家渗透测试公司）的首席战略官Caroline Wong说道。

换句话说，黄说，可能存在过度强调软件可以被用于好的方面的偏见，同时忽视了误用和滥用的情况或是忽略了潜在的有害用途。

“识别组织或软件可能遭受攻击的地点和方式的最佳方法之一是采用恶意人员的视角：即攻击者的思维模式，”黄说。

人工智能可以减少人力短缺的影响

CSA在其报告中指出，AI与网络安全防御（offsec）的结合正在为 Offensive Security 实践者面临的许多挑战提供解决方案。注意这里的"offsec"通常翻译为“防御性安全”，但根据上下文，这里指的是"进攻性安全"或" offensive security"，因此保持了原意表达。

报告指出：“人工智能，特别是大型语言模型（LLMs），为应对这些挑战提供了有希望的途径。”“人工智能可以缓解人力资源的压力，显著增强 Offensive Security 测试者的实力，并总体上提升进攻性安全实践的有效性。”

CSA技术研究总监Sean Heide表示，AI可以帮助团队分析大量数据集，并将它们结合起来找出过去可能被忽略的共同主题。“这与诸如全天候系统监控以及在某些问题出现时提供行动建议的任务相关。”

“我认为后一部分是AI在安全领域长期使用的关键，”希德说。“我们不断被告知并看到统计数据表明，在安全领域有数十万甚至数百万的职位空缺无法填补。利用AI生成的问题解决建议可以帮助实习生或初级岗位上的员工更快地学习，通过加快他们将各种知识联系起来并将这些知识应用到实际工作中的速度。”

那些短缺在以下内容中得到了体现：ISC2最新的网络安全人才研究报告，将全球网络安全人才缺口定为480万，并估计满足全球需求所需的总劳动力为1020万。

对于渗透测试人员而言，这一差距可以通过人工智能来缩小。“人工智能可以通过自动化重复且耗时的任务，帮助减少人类在进攻性网络安全中的需求，”Contrast Security（一家制造自我保护软件解决方案的公司）的信息安全官David Lindner说。

“它可以快速地在多个系统上执行漏洞扫描，比手动操作更快地识别弱点，”林德纳说。“AI还加速了侦察工作，绘制网络拓扑图，识别开放端口，并对系统进行分析。通过处理来自架构图、扫描结果和漏洞报告等来源的信息，AI可以使用预测性分析来预见潜在的漏洞并优先考虑测试任务。这种自动化不仅减少了对人力资源的需求，而且还提高了网络安全操作的效率和效果。”

利用人工智能可以增强离散安全项目的规模

除了解决人力问题，人工智能还可以帮助从业人员扩大运营规模。“AI处理大规模数据集和在没有人工干预的情况下模拟大规模攻击的能力，使得能够更频繁、更大范围地进行测试，”Securonix（一家安全分析和运营管理平台提供商）的网络安全倡导者Augusto Barros表示。

“在大型或复杂的环境中，人工操作员很难对所有系统进行全面和详尽的测试，”巴罗斯说。“人工智能可以自动化这些任务，并同时模拟多个攻击向量，确保更全面的评估。”

“人工智能还可以帮助持续执行这些测试，使组织能够在成长的过程中按比例扩大进攻性安全操作，而无需相应增加人力资源，”他补充道。

CSA报告还指出，AI可以帮助在开发生命周期中将“左移”应用于偏 offense 的安全措施。“随着进攻性安全领域的自动化程度提高和反馈周期缩短，这些活动可以在DevSecOps流程的早期阶段进行整合，”该报告指出。

这种左移方法意味着安全考虑从软件开发生命周期的开始就被嵌入其中，从而对企业的整体安全态势产生更加主动和根本性的影响。通过尽早识别和缓解漏洞，组织可以降低安全事件的风险，并确保更强大的保护措施。

AI可以促进更频繁的测试

CSA的希德说，AI将使开发过程中的安全测试更加频繁，CI/CD管道中安全检查的自动化，并为开发团队提供几乎即时的漏洞反馈循环。“我们还将看到它在设计阶段用于威胁建模创建以及在整个软件开发生命周期中进行持续的安全评估。”他说。

Veracode（一家提供基于云的应用程序情报和安全验证服务的公司）的首席信息官苏海尔·伊克巴尔认为，借助生成式人工智能，代码已经在机器速度下生产，因此为了修复漏洞，必须匹配这一速度。

“Iqbal表示，具备修复能力的AI平台可以通过在应用程序发布到生产环境之前防止漏洞，在主动网络安全中发挥重要作用。”“这将有助于避免长期的安全挑战，并更高效地将软件安全责任向左转移，即转移到开发过程的早期阶段。”

填补自动化缺口

Bytewhisper安全CTO凯尔·汉金斯表示，生成式AI还可以解决其他类型自动化中存在的某些缺陷。

“LLM在检测SAST传统上难以处理的业务逻辑问题方面表现出惊人的能力，”Hankins说。“相当好的AI可以做出有根据的推测，判断一个API是敏感的，并且应该需要身份验证，或者会注意到密码以一种暗示其未加密存储的方式被传递给数据库。”

“通过在开发周期早期整合这些工具，我们可以指导并加速开发人员的过程，帮助他们在早期发现问题，”他说。“重要的是，多层防护是有意义的。SAST 工具和手动安全代码审查仍然是发现开发者和大语言模型自身错误的关键屏障。”

人工智能的快速发展是一把双刃剑，带来了增强的自主性和自动化，为全球 offensive security 团队提供了新的机遇和挑战，CSA在其报告中警告道。

“那些在法律和道德框架之外运作的恶意行为者已经开始利用这些进步，这凸显了防御者需要主动创新的紧迫性。”报告中说。

随着AI系统融入工作流程，它们继续引入新的技术和社会组织挑战，这些挑战必须谨慎管理——警惕是必要的，以防止AI驱动的工具被滥用或允许其行为变得不可预测。