为 "神话 "做好准备的五个步骤
人工智能正在大规模地发现漏洞,这将使传统的防御系统不堪重负。 下面介绍如何建立一个为 Mythos 做好准备的安全组织。
要点
- 像克劳德-迈索斯这样的前沿人工智能模型在提升网络防御能力的同时,也让攻击者有能力以前所未有的机器速度发现漏洞并将其武器化。
- 为了避免被人工智能发现的漏洞雪崩掩埋,企业必须无情地确定优先级,从传统的评分方法转变为基于风险的过滤方法,重点关注攻击者的攻击路径。
- 要达到 "神话就绪 "状态,需要实施自动化的代理检测和修复,以及持续的对抗验证,以匹配现代人工智能驱动威胁的速度。
Tenable 正在与 Anthropic、OpenAI 和其他人工智能领导者密切合作,将先进的人工智能集成到我们的Tenable One暴露风险安全管理平台,加速漏洞研究、修复自动化和主动网络防御。 在我们最近与这些前沿人工智能模型提供商的讨论中,有一点变得很清楚:这些模型在多个方面改变了游戏规则。 它们可以识别未修复的开源代码和复杂企业环境中的漏洞,而这些漏洞是人类研究人员几十年来一直无法发现的。
然而,这一突破带来了一个悖论。 Anthropic 的 Claude Mythos和OpenAI 的 GPT等模型在加快我们防御能力的同时,也提升了不良行为者的能力,使他们能够以机器速度发现漏洞并将其武器化。 它们还可能揭示出更多需要优先修复的漏洞。
攻击者的攻击面扩大了。 它不再只是传统的基础设施,而是围绕人工智能本身的模型访问控制、身份授权和操作工作流。 无论是利用人工智能发现的零日攻击,还是直接针对人工智能训练管道的攻击,面临的挑战都是一样的:,你无法管理你看不到的东西,你也无法防御你不优先考虑的东西。
要在法律硕士时代茁壮成长,以下是今天要采取的五项关键行动:
1. 建立连续、确定的资产发现机制
You can’t find vulnerabilities in assets you haven’t discovered. Organizations must implement a foundation of deterministic sensors (scanners, agents, and passive monitors) to maintain a real-time inventory of every digital asset. And with rapid AI adoption across the world's enterprises, it’s essential to have visibility into all your AI inventory, shadow and sanctioned.
前沿人工智能的概率性质可能是不一致的,与之不同的是,你的发现必须是确定的。 您需要对网络中的内容进行合规性审查,以提供合规性和风险报告所需的 "基本事实"。
2. 超越传统的优先排序,实现无情的风险过滤
有了 Mythos 驱动的发现,预计在短期内漏洞披露量将以数量级增长。 CVSS 或 EPSS 等标准工具只能测量理论上的严重性或概率,会让你的团队淹没在噪音中。
Mythos 就绪程序利用机器学习,将 "60% 重要性 "的洪水缩小到造成实际风险的 1.6% 漏洞。 通过将人工智能发现的缺陷与攻击路径和业务重要性进行交叉比对,您可以确保您的团队正在修复真正通向皇冠上的宝石(包括人工智能模型本身)的漏洞。
3. 通过攻击路径分析化解有毒组合
攻击者不会孤立地看待漏洞。 他们在寻找一条路。 他们将一个小小的软件缺陷、一个配置错误的云桶和一个过大的身份权限串联起来,从而达到他们的目标。 在人工智能时代,暴露风险管理 就是要抢在对手之前识别出这些"有毒组合"。
人工智能基础设施的快速发展意味着每天都会形成新的攻击者路径。 而配置不佳的人工智能基础设施与传统 IT 基础设施的交集会产生强大的漏洞,从而被人利用。
利用攻击路径分析,可视化攻击者如何利用人工智能加速的漏洞来突破你的外围,并横向移动到你的人工智能训练数据或推理引擎。 如果关闭路径,漏洞就变得无关紧要。
4. 实施对抗性暴露风险验证 (AEV)
当 "提示到漏洞利用 "的窗口从数周缩短到数分钟时,理论上的安全就已经死了。 您必须实施对抗性暴露风险验证(AEV),这是一个自动红色团队的持续循环。
通过定期根据MITRE ATT&CK框架对您的环境进行挑战,您可以获得您的防御系统如何抵御人工智能漏洞利用性的证据。 只有这样,才能确保您的事件响应计划不仅仅是一份文件,而是抵御 "神话 "驱动的入侵现实的可靠盾牌。
5. 通过代理修复治理人工智能暴露风险。
世界上增长最快的风险面是人工智能基础设施本身:模型、训练管道和拥有高级访问权限的自主代理。 现在,这些都是需要严格监控的高价值目标。
To match the speed of the threat, you must deploy agentic AI engines (like Tenable Hexa AI) to automate the triage and remediation of these exposures. This allows for "machine-speed defense" — using AI to discover, tag, and patch your infrastructure at the same velocity that Mythos is discovering its flaws.
结论
行动的窗口很窄。 在我们与国家网络总监办公室、云安全联盟和 Anthropic 的积极对话中,大家达成了明确的共识,即最低公分母的安全方法将不再足够。 这加强了传统网络安全机制的重要性,同时强调了在程序中建立自动化和高效系统的必要性。 Hope is not a strategy.
我们必须使用同样的暴露风险管理原则来处理这种增加的发现量。 看到一切,无情地确定优先级,并以机器速度进行修复。 这就是 "神话 "准备就绪的含义。
要了解更多有关 Tenable 如何提供帮助的信息,还请阅读 Tenable 首席技术官 Vlad Korsunsky 最近发表的文章《克劳德神话》: 准备好应对董事会关于 Anthropic 最新人工智能模型的网络安全问题"。
Steve Vintz
联席首席执行官
Steve Vintz is an accomplished executive with more than 25 years of financial, operational and strategic planning experience working with growth companies in the technology industry. 作为 Tenable 的联席首席执行官(CEO),他负责监管产品、网络安全、企业发展和所有一般行政职能,以及全球范围内的财务、税务、资金、IT 和法律事务。 2015 年,Steve 带领 Tenable 获得了 B 轮融资,这也是当时私有网络安全企业获得的最大一笔融资。然后,在他的领导下,公司于 2018 年首次公开募股,成为美国上市证券公司最大的一笔募资。Steve 之前曾担任过 Vocus 的执行副总裁和首席财务官,任期从 2001 年直至 2014 年 6 月公司被出售。任职期间,他助力公司成功实现 40 个季度的连续营收增长和快速扩张,包括首次公开募股、后续发行和数项收购。在加入 Vocus 之前,Steve 曾担任过 Snyder Communications 策略规划与分析副总裁,他在超过 45 次收购中发挥主导作用,见证了从 8600 万美元直至近 10 亿美元的营收增长。他还曾就职于华盛顿哥伦比亚特区和巴尔的摩安永企业家服务/中端市场事业群。Steve 在职业生涯期间荣获诸多奖项和荣誉,包括被任命为本年度北弗吉尼亚技术委员会上市公司首席财务官。他是注册会计师,并拥有洛约拉大学 Sellinger 商学院工商管理学学士学位。
相关文章
Claude Mythos: Prepare for your board’s cybersecurity questions about the latest AI model from Anthropic
With the Federal Reserve Chairman meeting with bank CEOs to discuss the security implications of Claude Mythos, you can bet that your board of directors will ask you about the impact of the AI model on your cybersecurity strategy. Here’s how to prepare.
Supply chain attack on Axios npm package: Scope, impact, and remediations
The Axios npm package has been compromised in a supply chain attack that uploaded new versions of the package containing malicious code. Any environment that downloaded these compromised Axios versions is at risk of severe data theft. Scan your environment now.
What’s new in Tenable Cloud Security: Custom policies, AWS ABAC, and research-driven protection
Stop the noise and scale your cloud security. Our latest updates introduce custom policy automation via Explorer, AWS ABAC support for true least privilege, and research-backed protection against critical vulnerabilities, all designed to slash MTTR without disrupting your DevOps workflows.
- Cloud
- Exposure Management