目前超过 40% 的企业欺诈都是 AI 驱动的,这些攻击被设计用来模仿真实用户,绕过传统防御,并以令人难以置信的速度扩展,甚至让装备最精良的 SOC 也应接不暇。
2024 年,近 90% 的企业都成为了攻击目标,其中一半损失超过 1000 万美元。
机器人通过模拟人类行为、创建完整的仿真框架、合成身份和行为欺骗,来大规模实施账户接管,同时躲避传统防火墙、EDR 工具和孤立的欺诈检测系统。
攻击者利用 AI 武器化机器人以实现规避、模仿和扩展
攻击者正在抓紧利用 AI 以新的方式武器化机器人。去年,恶意机器人占所有互联网流量的 24%,其中 49% 被归类为"高级机器人",这些机器人被设计用来模仿人类行为并执行复杂的交互,包括账户接管 (ATO)。
2024 年超过 60% 的账户接管 (ATO) 尝试都是由机器人发起的,这些机器人能够使用模拟人类行为的仿真框架实时破解受害者的凭证。攻击者的手法现在体现出将武器化 AI 和行为攻击技术结合到单一机器人策略中的能力。
对于许多已经在与恶意机器人作战的企业来说,这种组合正在证明是致命的,因为安全运营中心 (SOC) 现有的应用程序和工具往往无法捕捉到这些入侵尝试。
恶意机器人攻击迫使 SOC 团队进入应急模式,几乎没有预警,这取决于他们安全技术栈的遗留程度。
Qualys 威胁研究部门主管 Ken Dunham 最近表示:"一旦被威胁者掌握,它们就可以被武器化。机器人拥有令人难以置信的资源和能力,可以对选定的目标执行匿名、分布式、异步攻击,如暴力破解凭证攻击、分布式拒绝服务攻击、漏洞扫描、尝试利用等。"
从粉丝狂热到欺诈表面:机器人垄断 Taylor Swift 演唱会门票市场
机器人是攻击者的虚拟版本,可以每秒扩展到数百万次尝试来攻击目标企业和越来越多的高调活动,包括知名艺人如 Taylor Swift 的演唱会。
DataDome 观察到,Taylor Swift 演唱会的全球人气为攻击者创造了他们所寻找的投资回报,以建立票务机器人来大规模自动化黄牛的行为。DataDome 称之为票务机器人,它们在世界上最受欢迎的活动中大量抢购门票,然后以大幅加价的方式转售。
这些机器人涌入 Ticketmaster,是导致该票务网站遭受 35 亿请求冲击的重要原因,导致网站反复崩溃。数千名粉丝无法进入预售组,最终普通票务销售不得不取消。
武器化机器人群阻止了数万名 "Swifties" 参加她上一次 Eras 巡回演唱会。VentureBeat 了解到全球领先品牌的在线商店和网站遭遇了类似的攻击。处理这种规模的机器人攻击,尤其是由武器化 AI 驱动的攻击,已经超出了电子商务技术栈的处理范围 - 它们并不是为应对这种级别的安全威胁而构建的。
DataDome 的 CEO Benjamin Fabre 在最近接受 VentureBeat 采访时表示:"这不仅仅是关于阻止机器人,而是关于恢复公平。"该公司帮助在毫秒级别偏转类似的黄牛攻击,使用多模态 AI 和实时会话分析来区分粉丝和欺诈。
武器化 AI 的机器人攻击通常从targeting登录和会话流程开始,绕过端点以避免被标准的 Web 应用防火墙 (WAF) 和端点检测响应 (EDR) 工具检测到。这种复杂的攻击必须在企业的核心安全基础设施中进行跟踪和控制,由其 SOC 进行管理。
为什么 SOC 团队现在处于前线
武器化机器人现在是任何攻击者武器库中的重要组成部分,其规模超出了欺诈团队在攻击期间单独能够控制的范围。机器人已经证明是致命的,可以使企业的电子商务运营瘫痪,或者在 Ticketmaster 的案例中,使价值数十亿美元收入的畅销演唱会陷入困境。
因此,越来越多的企业正在通过在线欺诈检测 (OFD) 平台加强支持其 SOC 的技术栈。Gartner 的 Dan Ayoub 最近在公司的研究报告《新兴技术影响雷达:在线欺诈检测》中写道:"组织越来越意识到'欺诈是一个安全问题',这一点在当今利用的一些新兴技术的采用中变得越来越明显"。
Gartner 的研究和 VentureBeat 与 CISO 的访谈证实,今天的恶意机器人攻击太快、太隐蔽,并且能够实时重新配置自己,孤立的欺诈工具无法处理。武器化机器人长期以来一直能够利用 WAF、EDR 工具和欺诈评分引擎之间的差距,同时还能规避在传统欺诈检测系统中普遍存在的静态规则。
所有这些因素以及更多因素都是 CISO 将欺诈遥测引入 SOC 的原因。
旅程时间编排是在线欺诈检测 (OFD) 的下一波浪潮
AI 支持的机器人不断学习如何绕过依赖零星或单点时间检查的长期欺诈检测平台。这些检查包括登录验证、随时间跟踪的交易评分以及一系列挑战-响应。虽然这些在机器人、僵尸网络和网络广泛武器化之前是有效的,但精通 AI 的对手现在知道如何利用上下文切换,正如许多深度伪造攻击所证明的那样,他们知道如何擅长行为模仿。
Gartner 的研究指出,旅程时间编排 (JTO) 是下一波 OFD 平台的定义架构,这将帮助 SOC 更好地控制 AI 驱动的机器人攻击的猛攻。JTO 的核心是在每个被监控的数字会话中嵌入欺诈防御,并从登录到结账再到交易后行为持续评分风险。
旅程时间编排在整个用户会话中持续评分风险 - 从登录到交易后 - 以检测 AI 驱动的机器人。它用实时、全会话监控取代单点欺诈检查,以对抗行为模仿和上下文切换攻击。来源:Gartner,《IAM 旅程时间编排创新洞察》,2025 年 2 月
谁在旅程时间编排防御中建立了早期领先地位
DataDome、Ivanti 和 Telesign 是三家公司,它们的方法显示了将安全从静态检查点转变为持续、实时评估的威力正在显现。每一家公司还表明了为什么 SOC 的未来必须建立在实时数据的基础上才能成功。这三家公司的平台都已经发展到可以对每个用户交互进行评分,直到 API 调用级别,在每个会话中的每个设备上提供更大的上下文洞察。
使这三家公司与众不同的是他们如何应对加强欺诈预防的挑战,自动化核心安全功能,同时不断改善用户体验。每一家都将这些优势结合在实时平台上,这些平台也是 AI 驱动的并持续学习 - 这是跟上包括僵尸网络在内的武器化 AI 武器库的两个核心要求。
DataDome:实时像攻击者一样思考
DataDome 作为实时机器人防御的类别领导者,在 AI 密集型行为建模方面拥有广泛的专业知识,并依赖于一个包含超过 85,000 个机器学习模型的平台,这些模型同时在 30 多个全球 PoP 中交付。他们的全球覆盖范围使他们每天可以检查超过 5 万亿个数据点。他们的平台可以识别的每个 Web、移动和 API 请求都使用多模态 AI 在实时(通常在 2 毫秒内)进行评分,该 AI 将设备指纹识别、IP 熵、浏览器标头一致性和行为生物识别关联起来。
"我们的理念是像攻击者一样思考,"Fabre 告诉 VentureBeat。"这意味着重新分析每个请求 - 不假设信任 - 并持续重新训练我们的检测模型以适应零日战术"。
与依赖静态启发式或验证码的传统系统不同,DataDome 的方法最大限度地减少了对经过验证的合法用户的摩擦。其误报率低于 0.01%,这意味着每 10,000 个人类访问者中少于 1 个会看到挑战屏幕。即使在受到挑战时,该平台也会无形地继续进行行为分析以验证用户的合法性。
"机器人现在不仅仅是在解决验证码 - 它们解决的速度比人类还快,"Fabre 补充道。"这就是为什么我们完全摒弃了静态挑战。AI 是唯一能够在规模上打败 AI 驱动欺诈的方法"。
案例:DataDome 已经证明能够在毫秒内区分机器人和粉丝,在高峰负载期间防止批量购买并保持票务公平 - 所有这些都是实时进行的。在奢侈品零售领域,爱马仕等品牌部署 DataDome 来保护高需求商品(如 Birkin 包)免受自动囤积。
Ivanti 将零信任和暴露管理扩展到 SOC
Ivanti 通过其 Ivanti Neurons for Zero Trust Access 和 Ivanti Neurons for Patch Management 平台,将实时欺诈信号直接集成到 SOC 工作流程中,重新定义了暴露管理。"零信任不会止步于登录,"Ivanti 现场 CISO Mike Riemer 在最近接受 VentureBeat 采访时表示。"我们已经将其扩展到会话行为,包括凭证重置、支付提交和个人资料编辑都是潜在的利用路径。"
Ivanti Neurons 持续评估设备状态和身份行为,标记异常活动并在会话中执行最小权限访问。"2025 年将是一个转折点,"Ivanti 产品管理 SVP Daren Goeson 补充道。"现在防御者可以使用 GenAI 来关联跨会话的行为,并比任何人工团队都更快地预测威胁。"
随着攻击面的扩大,Ivanti 的平台帮助 SOC 团队检测 SIM 卡交换,减轻横向移动并自动化动态微分段。"我们目前称之为'补丁管理'更恰当的名称应该是暴露管理或者说组织愿意暴露在特定漏洞下多长时间?"Ivanti 端点安全产品管理副总裁 Chris Goettl 告诉 VentureBeat。"基于风险的算法帮助团队在众多更新的噪声中识别高风险威胁。"
"组织应该从被动的漏洞管理过渡到主动的暴露管理方法,"Goeson 补充道。"通过采用持续的方法,他们可以有效地保护其数字基础设施免受现代网络风险的影响。"
Telesign 的 AI 驱动身份智能将欺诈检测推向会话规模
Telesign 正在通过将会话规模的身份智能引入欺诈检测前线来重新定义数字信任。通过分析从电话号码元数据到设备卫生和 IP 信誉等超过 2,200 个数字身份信号,Telesign 的 API 提供实时风险评分,在损害发生之前捕获机器人和合成身份。
"AI 是对抗 AI 支持的欺诈攻击的最佳防御,"Telesign CEO Christophe Van de Weyer 在最近接受 VentureBeat 采访时表示。"在 Telesign,我们致力于利用 AI 和 ML 技术来打击数字欺诈,为所有人确保更安全和更值得信赖的数字环境。"
Telesign 不依赖于登录或结账时的静态检查点,而是通过动态风险评分在整个会话过程中持续评估行为。"机器学习有能力不断学习欺诈者的行为方式,"Van de Weyer 告诉 VentureBeat。"它可以研究典型用户行为来创建基线并建立风险模型。"
Telesign 的 Verify API 强调了其全渠道策略,通过单一 API 实现跨 SMS、电子邮件、WhatsApp 等的身份验证。"验证客户如此重要,因为许多类型的欺诈往往可以在'前门'就被阻止,"Van de Weyer 在最近接受 VentureBeat 采访时指出。
随着生成式 AI 加速攻击者的复杂性,Van de Weyer 发出了明确的行动呼吁:"AI 的出现使数字世界中的信任重要性凸显出来。优先考虑信任的企业将成为数字经济中的领导者。"以 AI 为基础,Telesign 希望将信任转化为竞争优势。
为什么欺诈防范的未来属于 SOC
要使欺诈保护达到规模,它必须集成到更广泛的安全基础设施栈中,并由使用它来避免潜在攻击的 SOC 团队拥有。在线欺诈检测平台和应用程序正在证明与 API、身份和访问管理 (IAM)、EDR、SIEM 和 XDR 一样重要。VentureBeat 看到更多 SOC 中的安全团队在验证消费者交易如何建模、评分和质询方面承担更大的所有权。
本文链接:http://www.xihao.site/showinfo-1-73389.html安全堆栈需要像攻击者一样思考,实时评估每个用户
