核心导读:漏洞利用窗口正在以分钟级速度崩塌。当AI能在数分钟内完成过去需要专家数周的漏洞挖掘,传统的"发现-修补"模式已彻底失效。企业安全建设的重心,正被迫从"御敌于门外"转向"假设已经失陷"——这正是NDR(网络检测与响应)技术价值爆发的底层逻辑。
一、漏洞利用窗口的崩塌:AI把"缓冲期"压缩到零
搞安全的人都知道,漏洞披露后企业总有一段宝贵的缓冲期。这段时间里,安全团队可以评估影响、打补丁、调整策略。业内把这个时间段叫做漏洞利用窗口(exploit window)。
但现在,这个窗口正在急速关闭。
Anthropic推出的新模型Claude Mythos及其"玻璃翼项目"(Project Glasswing),给整个行业敲了一记警钟。过去需要顶尖安全专家耗费数周才能完成的系统漏洞挖掘,如今AI只需几分钟就能搞定。这意味着什么?意味着企业几乎在漏洞被披露的同时,就可能已经暴露在攻击火力之下。
形势严峻到什么程度?美国财政部长斯科特·贝森特和美联储主席杰罗姆·鲍威尔,近期紧急召集了主要金融机构的CEO开会商议对策。会议的核心结论毫不含糊:AI能力的跃升已经彻底改写了风险格局,对各行业的稳定性和数据完整性产生了前所未有的冲击。
Mythos的测试成绩更让人脊背发凉。它不仅轻松超越了人类专家的水平,还在极短时间内完成了一场原本需要10小时专业编程的复杂企业网络攻防模拟。更夸张的是,它发现了数十年来历经数千次安全审查都未能识别的遗留软件问题。
这暴露了一个残酷现实:漏洞发现的速度和漏洞修复的速度之间,已经出现了一道越来越宽的鸿沟。而且这道鸿沟,正在以指数级速度扩大。
二、从Mythos到"预设失陷":安全思维必须换道
需要明确的是,Mythos并不是唯一具备这种能力的AI。事实上,已经有攻击者在使用更基础的大语言模型(LLM)达成了类似目标。
这就引出了一个不得不面对的推论:任何使用软件的企业,都应该默认自己的系统里埋着数千个未知漏洞。这些漏洞随时可能被AI辅助的漏洞挖掘技术利用。这不是安全团队失职,而是三十年软件复杂性积累,在遭遇攻击型AI能力跃升后的必然结果。
当零窗口期逐渐成为常态,"更快打补丁"或者"更好打补丁"这种思路已经不够用了。安全团队需要的是一套基于预设失陷模型(assume-breach model)的全新策略——默认入侵必然会发生,核心工作不再是阻止入侵,而是实时检测和快速遏制。
这些防御动作,都必须在一个地方完成:网络层面。
三、预设失陷模型的落地:NDR如何压缩威胁遏制时间
预设失陷模型不是一句口号,它需要实实在在的落地路径。通过NDR平台,企业可以把威胁遏制时间压缩到最小。具体怎么做?以下几个环节缺一不可:
1. 在威胁扩散前捕捉入侵后行为
传统的边界防御思路是"拦住坏人",但预设失陷模型承认"坏人已经进来了"。所以关键是第一时间发现他在里面干了什么。
自主AI攻击越来越多地采用无文件攻击(LOTL)这类隐蔽技术,把恶意活动藏在合法工具里执行。NDR平台的价值就在于,它能持续监控网络流量中的异常行为——比如非常规的SMB管理共享、Kerberos环境里突然冒出来的NTLM认证、异常的RDP/WMI/DCOM跳板操作——从这些细微的网络异动中识别出隐蔽威胁。
更高级的NDR还能发现攻击者维持C2通信的痕迹(表现为信标式连接、异常的JA3/JA4-SNI组合、高熵DNS查询等),以及数据外泄的前兆(非工作时间的大流量上传、上传下载流量严重不对称、首次出现的目标存储服务等)。
2. 自动化资产清点,摸清暴露面
你连自己家有多少扇门都不知道,怎么防贼?
实时准确的软件资产清单,是理解系统暴露面的基础。自动化资产测绘能帮组织更快识别哪些资产存在风险、哪些需要优先防护,从而有效缩小漏洞利用窗口。
3. 关联重建攻击链,还原完整时间线
AI驱动的威胁移动速度远超人工分析能力。安全分析师盯着屏幕一条一条看告警?等你看完,攻击者可能已经把数据打包好了。
必须依靠自动化手段实时重建攻击时间线。以Corelight的开放式NDR平台为例,它能自动关联告警与网络活动,生成详细的攻击时间线,为后续的自动化响应提供清晰的决策依据。
4. 自动化遏制,把检测成果变成防护力
检测到了却拦不住,等于白检测。
将自动化遏制措施嵌入网络防御流程,可以防止快速移动的威胁升级为大规模安全事件。有效的自动化遏制,核心就是把检测成果直接转化为实际的防护动作,而不是停留在"发现"层面。
四、MTTC:比MTTD/MTTR更关键的指标
谈到安全运营指标,大家耳熟能详的是MTTD(平均检测时间)和MTTR(平均响应时间)。但在AI加速攻击的当下,MTTC(平均遏制时间)应该被提到核心位置。
为什么?因为检测和响应只是过程,遏制才是结果。攻击者从入侵到造成实质性破坏,可能只需要几分钟。如果你的流程是"检测→分析→研判→响应→遏制",层层审批、逐级上报,等走到"遏制"这一步,黄花菜都凉了。
压缩MTTC的起点,是实时全网可视化。安全运营中心(SOC)需要一张"活地图"——不是静态的网络拓扑,而是实时流动的流量态势。借助这张地图,SOC团队才能第一时间识别入侵迹象、评估影响范围、阻断攻击蔓延。
五、构建Mythos级防御体系:企业该从哪下手
面对Claude Mythos这类AI模型对网络安全格局的重塑,企业不能再沿用"修修补补"的老思路。建立一个真正动态的防御体系,至少要在四个维度发力:
持续监控:保持全网可视化是基础中的基础。通过自动化检测手段尽早发现威胁苗头,把问题解决在萌芽阶段。
预设失陷:彻底转变思维,以"入侵必然发生"为前提条件,把工作重心放在快速响应与有效遏制上。
重点防护:AI攻击有明确的目标偏好——高价值资产、核心数据库、特权账号。这些地方必须重点布防。云安全联盟已经提出了"Mythos就绪"安全方案,值得参考。
持续优化:威胁在进化,防御策略就不能一成不变。建立常态化的策略更新机制,确保防御能力始终跟得上攻击手法的迭代速度。
结语:补丁时代落幕,NDR时代开启
说到底,网络安全正在经历一场范式转移。过去我们追求的是"把漏洞堵死",未来我们要学会的是"假设已经失守,如何快速止损"。
这不是悲观,而是务实。当AI把漏洞利用窗口压缩到近乎为零,当攻击者用自动化工具在几分钟内完成渗透,企业唯一可靠的选择,就是在网络层面构建一套"看得见、拦得住、恢复快"的NDR防御体系。
NDR网络检测与响应,不再只是安全工具箱里的一个选项。它正在成为企业在AI攻击时代生存下来的基础设施。
)
