不久前，Anthropic公司超旗艦AI模型Claude Mythos的發(fā)布，如同一顆深水炸彈引爆了全球網(wǎng)絡(luò)安全界。面對(duì)這一標(biāo)志性事件，奇安信正式發(fā)布《Mythos事件白皮書(shū)——政企網(wǎng)絡(luò)安全縱深防御體系建設(shè)思考》（以下簡(jiǎn)稱(chēng)《白皮書(shū)》）。

《白皮書(shū)》指出，Mythos直接點(diǎn)破了很多政企客戶(hù)長(zhǎng)期以來(lái)的一個(gè)誤區(qū)：過(guò)去那種“發(fā)現(xiàn)漏洞、打補(bǔ)丁、再發(fā)現(xiàn)、再打補(bǔ)丁”的老辦法，在AI批量化發(fā)動(dòng)網(wǎng)絡(luò)攻擊的今天已經(jīng)行不通了?，F(xiàn)實(shí)情況是，漏洞永遠(yuǎn)補(bǔ)不完，與其疲于奔命地追著漏洞跑，不如換一種思路——承認(rèn)漏洞客觀存在，在此基礎(chǔ)上建立真正能扛住攻擊的防護(hù)能力。這就是“帶洞防護(hù)”的核心理念。而要做到這一點(diǎn)，構(gòu)建“三位一體”內(nèi)生安全體系，是目前最可行、也是唯一系統(tǒng)性的解決出路。

Mythos沖擊：老辦法“挖洞修補(bǔ)”行不通了

Mythos問(wèn)世后，全球主要國(guó)家及國(guó)際組織對(duì)此迅速響應(yīng)，美國(guó)緊急啟動(dòng)聯(lián)合40余家科技巨頭的“玻璃翼計(jì)劃”，英國(guó)、加拿大等國(guó)央行召開(kāi)緊急會(huì)議評(píng)估金融風(fēng)險(xiǎn)，國(guó)際安全界聯(lián)合發(fā)布的報(bào)告更是一針見(jiàn)血地指出，建立在邊界防御、人工修補(bǔ)和被動(dòng)響應(yīng)之上的傳統(tǒng)網(wǎng)絡(luò)安全模式已徹底失效。國(guó)內(nèi)許多政企機(jī)構(gòu)的第一反應(yīng)是：“我們能否也引入類(lèi)似的AI模型，搶在攻擊者之前挖出并修補(bǔ)自身所有漏洞？

《白皮書(shū)》給出了明確判斷：這條路走不通。

道理很簡(jiǎn)單。Mythos已經(jīng)把挖漏洞這件事，從過(guò)去專(zhuān)家花幾個(gè)月、花幾十萬(wàn)美元才能干成的手藝活，變成了像工廠流水線(xiàn)一樣批量生產(chǎn)的東西。現(xiàn)在一個(gè)高危漏洞的挖掘成本，從幾十萬(wàn)美元直接掉到了幾千美元。這意味著黑客可以用極低的成本，對(duì)著全世界幾百萬(wàn)個(gè)軟件代碼庫(kù)不停地掃、不停地挖。

  

而對(duì)于防守方來(lái)說(shuō)，漏洞被挖出來(lái)的速度，遠(yuǎn)遠(yuǎn)超過(guò)了你能打補(bǔ)丁的速度。舊的補(bǔ)丁還沒(méi)打完，新的漏洞又冒出來(lái)了，隨之帶來(lái)無(wú)窮無(wú)盡的“補(bǔ)丁洪流”。靠甲方自己的力量或者買(mǎi)幾個(gè)掃描工具去“自查自挖”，在黑客工業(yè)化的生產(chǎn)能力面前，就像拿水桶去接瀑布，根本接不住。想靠“挖洞-修補(bǔ)”這個(gè)循環(huán)來(lái)保住安全，在數(shù)學(xué)上和速度上都是注定要失敗的。

正視現(xiàn)實(shí)：承認(rèn)漏洞修不完，才是防守的開(kāi)始

很多客戶(hù)都在問(wèn)：咱們國(guó)內(nèi)的AI模型挖漏洞的能力，跟Mythos比到底差多少？

《白皮書(shū)》指出，目前國(guó)內(nèi)的AI安全模型確實(shí)有很強(qiáng)的實(shí)力，在漏洞挖掘這個(gè)領(lǐng)域已經(jīng)走在世界前列。但必須承認(rèn)，跟Mythos這種全球頂級(jí)的攻擊模型相比，還存在代際的差距。

這個(gè)現(xiàn)實(shí)就決定了咱們防守的基調(diào)：既然黑客一定會(huì)用全球最厲害的AI武器來(lái)攻擊，而我們?cè)诙唐趦?nèi)又不可能用更強(qiáng)的攻擊模型完全壓制住對(duì)方，那么“帶著漏洞進(jìn)行防御”就成了所有政企單位不得不面對(duì)的唯一現(xiàn)實(shí)選擇。

換句話(huà)說(shuō)，我們需正視一個(gè)現(xiàn)實(shí)——系統(tǒng)里肯定有漏洞，而且永遠(yuǎn)修不完。與其追求那個(gè)不切實(shí)際的“零漏洞”理想，不如踏踏實(shí)實(shí)地在承認(rèn)有漏洞的基礎(chǔ)上，把防御能力建起來(lái)，確保業(yè)務(wù)不出事。

破解之道：依托內(nèi)生安全，建設(shè)韌性的縱深防御

那么，如何在明知系統(tǒng)有漏洞的情況下，怎么還能保證單位不發(fā)生大的安全事故？《白皮書(shū)》給出了答案——建一套“高位、中位、低位”三位一體的內(nèi)生安全體系，最終形成具備韌性、能夠應(yīng)對(duì)極端情況應(yīng)急的縱深防御。

 “三位一體”能力是實(shí)現(xiàn)縱深防御的關(guān)鍵，它的核心是把整個(gè)安全架構(gòu)重新升級(jí)、理順，讓防護(hù)真正管用。用一個(gè)形象的比喻，就像給企業(yè)建一套完整的免疫系統(tǒng)：

 

低位能力——先把基礎(chǔ)打牢，把明顯的窟窿堵上。

對(duì)于廣大政企機(jī)構(gòu)，首先要做“查漏補(bǔ)缺”，把家底盤(pán)清楚，做好升級(jí)和替換，確保每一層防線(xiàn)——網(wǎng)絡(luò)、終端、應(yīng)用真的能用、好用。同時(shí)加速推進(jìn)零信任與縱深防御的一體化融合，有效阻斷攻擊者的橫向移動(dòng)。這是“帶洞防護(hù)”的物理基礎(chǔ)。

中位能力——用AI代替人盯屏幕，把響應(yīng)速度提上來(lái)。

現(xiàn)在的AI攻擊有多快？平均突破時(shí)間29分鐘，最快的27秒就完事了。而咱們傳統(tǒng)靠人看告警、人工研判、層層審批那套流程呢？走完一圈至少45分鐘。因此，必須用AI來(lái)驅(qū)動(dòng)安全運(yùn)營(yíng)。，這是把攻防之間100倍的時(shí)間差拉平的唯一辦法。

高位能力——用AI主動(dòng)挖自己的漏洞，讓情報(bào)同步加固。

既然漏洞修不完，那就主動(dòng)用AI工具持續(xù)掃描自己的系統(tǒng)，把弱點(diǎn)提前找出來(lái)。找到以后，不一定要馬上打補(bǔ)丁，而是把這個(gè)情報(bào)實(shí)時(shí)同步給防御體系，變成一條動(dòng)態(tài)的阻斷規(guī)則。這樣一來(lái)，攻擊者還沒(méi)動(dòng)手，咱們的防線(xiàn)已經(jīng)針對(duì)這個(gè)新漏洞“打了疫苗”。這就是“帶洞”狀態(tài)下的動(dòng)態(tài)免疫能力。

奇安信在行動(dòng)：這套體系不是紙上談兵，即刻可以落地

目前，奇安信已經(jīng)把這套“三位一體”的體系做成了實(shí)實(shí)在在的產(chǎn)品。

低位補(bǔ)盲區(qū)：用鷹圖測(cè)繪平臺(tái)把資產(chǎn)和攻擊面全摸清楚，不留死角。政企防護(hù)必須轉(zhuǎn)向“帶洞防護(hù)”。

中位提效率：用AISOC智能安全運(yùn)營(yíng)平臺(tái)，讓告警不再“狼來(lái)了”，把真正的高危威脅精準(zhǔn)揪出來(lái)，運(yùn)營(yíng)效率提升幾十倍。

高位做加固：用Qcode Agents代碼安全智能體和AI加特林滲透工具，在軟件開(kāi)發(fā)和運(yùn)行階段持續(xù)挖漏洞，挖出來(lái)的情報(bào)直接喂給防線(xiàn)。

另外還有大模型衛(wèi)士GPT-Guard，保護(hù)AI防御系統(tǒng)，防止黑客用“越獄”或“提示注入”等攻破自身系統(tǒng)。

窗口期：只有6到18個(gè)月，不能再等了

《白皮書(shū)》最后提醒大家，多家AI實(shí)驗(yàn)室預(yù)計(jì)在未來(lái)6到18個(gè)月內(nèi)就會(huì)推出和Mythos能力差不多的模型。到那時(shí)候，AI攻擊工具會(huì)更泛濫、更便宜、更不好管，攻防形勢(shì)將更加嚴(yán)峻。為此，奇安信呼吁：廣大政企單位必須立刻行動(dòng)起來(lái)，把“高位、中位、低位”三位一體的內(nèi)生安全體系建起來(lái)，這是在Mythos時(shí)代避免全局淪陷的唯一選擇。

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。