金融服务公司正在抵御日益复杂的基于身份的攻击,这些攻击旨在窃取数十亿美元并破坏交易,最终摧毁多年来建立起来的信任。
网络犯罪分子不断磨练他们的手艺,瞄准该行业在身份安全方面的漏洞。从试图将LLM 武器化到使用最新的对抗性AI 技术窃取身份并实施合成欺诈,网络犯罪分子、犯罪集团和民族国家行为者都将目标对准了金融服务。
下面介绍了Rate Companies(以前称为 Guaranteed Rate)如何抵御这些日益复杂的基于身份的攻击,以及其他行业和企业领导者可以从他们的策略中学到什么。
Rate Companies 如何防御人工智能驱动的威胁
金融机构面临超过31 亿美元的合成身份欺诈风险,这一数字在过去一年中增长了 14.2%,而深度伪造则增长了 3,000%,预计到 2024 年还将增长 50% 至 60%。更不用说短信钓鱼、MFA 疲劳和深度伪造冒充已经变得非常普遍。
作为美国第二大零售抵押贷款机构,Rate 系统每天都会处理数十亿笔敏感交易,这使得该公司成为网络犯罪分子的主要目标。
VentureBeat 最近与该金融机构的信息安全高级副总裁 Katherine Mowen 进行了(虚拟的)访谈,以了解她如何在 Rate 的基础设施中协调人工智能,重点是保护客户、员工和合作伙伴的身份。
“由于我们业务的性质,我们面临着一些最先进、最持久的网络威胁,”Mowen 告诉 VentureBeat。“我们看到抵押贷款行业中的其他人受到攻击,所以我们需要确保这种事情不会发生在我们身上。我认为我们现在正在做的是用人工智能对抗人工智能。”
Mowen 解释说,AI 威胁建模对于保护客户身份和公司每年进行的数十亿美元交易至关重要。她还强调,“如果攻击者只是窃取用户凭据,即使是最好的端点保护也无济于事。”
这一认识促使 Rate 加强基于身份的异常检测并集成实时威胁响应机制。该公司采用了零信任框架和思维模式,将每项决策都围绕身份和持续验证来制定。
如今,Rate 采用“永不信任,始终验证”的方式来验证身份,这是零信任的核心概念。使用 AI 威胁建模,Rate 可以定义最低特权访问并实时监控每笔交易和工作流程,这是稳固零信任框架的另外两个基石。
该公司认识到解决越来越短的检测和响应时间窗口的重要性——目前,电子犯罪的平均爆发时间仅为62 分钟。为了应对这一挑战,该组织采用了“1-10-60”SOC 模型:1 分钟检测、10 分钟分类、60 分钟遏制威胁。
从 Rate 那里学到的关于构建 AI 威胁建模防御的经验教训
为了扩大规模并解决抵押贷款行业的周期性问题(员工人数可能根据需求从 6,000 人激增至 15,000 人),Rate 需要一种可以轻松扩展许可并统一多个安全层的网络安全解决方案。每个 AI 威胁建模供应商都提供捆绑模块或应用程序以实现此目的的特殊定价优惠。对 Rate 来说最有意义的解决方案是 CrowdStrike 的适应性许可模式 Falcon Flex,它允许 Rate 在 Falcon 平台上实现标准化。
Mowen 解释说,Rate 还面临着保护每个地区和卫星办公室的最低特权访问、监控身份及其相关特权以及设置资源访问时间限制的挑战,同时持续监控每笔交易。Rate 依靠人工智能威胁建模来精确定义最低特权访问,实时监控每笔交易和工作流程,这是构建可扩展零信任框架所需的两个基石。
以下是 Rate 在使用人工智能阻止复杂身份攻击方面获得的经验教训:
身份和凭证监控是安全团队需要快速取胜的关键
Rate 的信息安全团队开始跟踪越来越多针对远程工作的贷款人员的复杂、独特的基于身份的攻击。Mowen 和她的团队评估了多个平台,最终选择了 CrowdStrike 的 Falcon Identity Protection,因为它能够识别通常微妙的基于身份的攻击。“Falcon Identity Protection 为我们提供了可视性和控制能力,让我们能够抵御这些威胁,”Mowen 说。
使用人工智能来降低 SOC 和端点的噪声信号比必须是高优先级
Mowen 指出,Rate 之前的供应商产生的噪音多于可操作警报。“现在,如果我们在凌晨 3 点收到寻呼,那几乎总是合法威胁,”她说。Rate 选择了 CrowdStrike 的 Falcon Complete Next-Gen 托管检测和响应 (MDR),并集成了 Falcon LogScale 和 Falcon Next-Gen 安全信息和事件管理 (SIEM),以实时集中和分析日志数据。“与我们之前使用的笨重 SIEM 相比,Falcon LogScale 降低了我们的总拥有成本,而且集成起来要简单得多,”Mowen 说。
制定清晰、可衡量的战略和路线图,以大规模实现云安全
由于业务继续通过收购和有机增长,Rate 需要能够根据市场情况扩展、收缩和灵活调整的云安全。实时可见性和自动检测云资产的错误配置是必不可少的。Rate 还需要跨各种云环境进行集成,包括实时可见性,涵盖其整个信息安全技术堆栈。“我们管理的员工队伍可能会迅速增长或缩减,”Mowen 说。
寻找一切机会整合工具以提高端到端的可视性
Mowen 指出,要使 AI 威胁建模成功识别攻击,端点检测和响应 (EDR)、身份保护、云安全和其他模块都必须位于一个控制台下。“将我们的网络安全工具整合到一个有凝聚力的系统中,使一切(从管理到事件响应)都变得更加高效,”她说。首席信息安全官及其信息安全团队需要工具通过一个监控系统提供所有资产的清晰、实时视图,该系统能够自动标记错误配置、漏洞和未经授权的访问。
“我的想法是,你的攻击面不仅仅是你的基础设施——还有时间。你需要多长时间来应对?”莫文说,强调准确性、精确性和速度至关重要。
重新定义弹性:2025 年以身份为中心的零信任和人工智能防御策略
以下是 VentureBeat 对 Mowen 采访的一些关键见解:
- 身份正遭受攻击,如果您的行业尚未意识到这一点,那么在 2025 年他们将会意识到这一点:身份被视为许多技术堆栈中的薄弱环节,攻击者不断调整技术手段以利用它们。人工智能威胁建模可以通过持续身份验证和异常检测来保护凭证。这对于保护客户、员工和合作伙伴免受日益致命的攻击至关重要。
- 以人工智能对抗人工智能:使用人工智能驱动的防御措施来对抗对抗性人工智能技术(包括网络钓鱼、深度伪造和合成欺诈),是行之有效的。自动检测和响应可减少识别和击败攻击所需的时间。
- 始终优先考虑实时响应:遵循 Mowen 的指导并采用“1-10-60”SOC 模型。速度至关重要,因为攻击者会根据他们访问公司网络和安装勒索软件、搜索身份管理系统和重定向交易的速度来创下新纪录。
- 将零信任作为身份安全的核心,强制实施最低特权访问、持续身份验证并监控每项活动,就像已经发生的违规行为一样:每个组织都需要定义自己独特的零信任方法。核心概念不断得到证明,尤其是在金融服务和制造业等高度针对性的行业。零信任的核心是假设违规行为已经发生,这使得监控成为任何零信任框架中的必备要素。
- 如果可能,请自动化 SOC 工作流程以减少警报疲劳并释放分析师进行二级和三级入侵分析:Rate 的一个关键要点是,当 AI 威胁监控与 SOC 中的流程改进相结合时,其效果如何。考虑如何使用 AI 来整合 AI 和人类专业知识,以持续监控和遏制不断演变的威胁。始终考虑人机交互的工作流程设计如何提高 AI 准确性,同时让 SOC 分析师有机会在工作中学习。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/li-yong-ren-gong-zhi-neng-wei-xie-jian-mo-gou-jian-tan-xing
