AI浪潮下的护网行动之变

2016年，《中华人民共和国网络安全法》正式发布，其中规定了关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。护网行动至此成为了固定活动，每年一次，每一次持续2～4周。护网行动是针对全国范围内真实的网络目标实战攻防活动，目的在于发现、暴露并解决企业存在的网络安全问题，通过网络攻击的手段检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。

经过多年的实战操练，护网行动进入常态化、稳定期，攻防之间也形成一种平衡，然而AI打破了这一局面。F5中国区金融和企业事业部技术总监兼安全事业部总经理陈亮在接受采访时表示，AI等新技术的广泛应用让网络攻防手段都发生了革命性的变化，护网运动也相应进入转型期。

转型期的护网行动相比之前会有如下几个变化：首先，防守方（蓝方）之前“人海战术+手动封禁”的高强度集中值守模式以及“阻断+打补丁”式防护理念已经不可持续，应该强调安全运营，通过实时的监测、持续的响应，不断地优化自己的安全策略。其次，由于云原生、微服务、容器等新技术理念被广泛采用，防守方的IT架构发生了很大的变化，围绕API的攻防将成为焦点。最后，防守方会引入AI技术以提高防护的自动化和智能化水平，但需要注意的是，AI本身是一把双刃剑。

传统的安全维护手段，如漏洞修补、防火墙部署和入侵检测，已难以应对日益复杂的网络攻击环境。安全运营的目的是实现网络安全从被动防御转向主动治理，强调构建能够有效管理威胁预警、发现、响应、处置等各个环节的安全管理体系。陈亮说：“一味地防守总会失误，所以发现漏洞、及时响应、不断优化更加重要。安全运营有助于护网行动从单纯的对抗发展为持久作战。”

移动互联网的崛起和数字化转型的推进让API在现代软件开发中占据着越来越重要的地位。作为应用和数据的网关，API已成为构建数字业务的基础。根据F5发布的《2024年应用策略现状》报告，88%的企业表示他们在多个地点部署应用和API。然而，树大招风，根据Salt Labs报告，API攻击活动数量呈数倍增长，已是网络攻击的首选目标。因此，API发现与加固已成为转型期的护网行动的必备能力之一，重要性日益凸显。陈亮称，F5能够提供业界最全面的API安全解决方案。

AI的兴起除了可以让攻击方（红方）生成更多的攻击工具外，也可以让攻击方进行一些更深度的欺骗，比如钓鱼邮件，来实现渗透。门槛低、手段多、防护难、损失大，这是陈亮总结的AI攻击四大特点。此外，防守方也会利用AI技术，比如大模型，来提高防护的自动化能力，但是大模型本身对于防护方来说就像一个黑盒子，其不透明让危险变得无处不在，而传统手段对于大模型的防护已经失灵。

陈亮认为，为了适应变化，转型期的护网行动必须具备4大能力——自动化、持续监控和处置、纵深防御、API发现与加固。