AI加速的攻击来袭，企业如何应对?

　　近期，Fortinet收到的一些报告均指出，针对边缘设备的AI辅助攻击数量正呈现出上升趋势。虽然利用MCP服务器和AI实现网络攻击自动化属于新兴手段，但其背后使用的攻击技术并不是新出现的。在看到相关报告后，Fortinet立即展开了调查。调查结果显示，此次攻击之所以得逞，主要是由于攻击者利用了暴露的管理端口和单因素认证的弱口令。这些攻击利用密码喷洒技术获取了初始访问权限，这是一种极其常见的攻击策略。真正令人担忧的是，攻击者只需掌握相对基础的网络知识，就能轻松实现网络攻击自动化，利用随手可得的云资源就能发起大规模攻击，甚至无需编写代码。根据Fortinet的调查，本次攻击所使用的框架，是通过向AI发送提示词对话命令生成的，该框架能够使目标识别和密码喷洒完全自动化，随后利用漏洞评估和攻击链分析尝试入侵，最后检测漏洞利用和密码破解情况。如今，借助这些自动化工具，即使是技术水平相对较低的攻击者，也能大规模攻击那些防护薄弱的网络。

　　AI加速传统攻击企业需要清楚地认识到，这并非攻击者采用了全新的战术，也与任何漏洞无关，而是他们采用了一种已经存在多年的基本攻击技术，即自动化密码喷洒攻击。真正的新变化在于，攻击者使用无代码的、基于提示词的对话，告诉AI平台如何执行操作，借助了AI自动利用已知漏洞的能力。这一趋势充分表明，在未来的12个月中，企业的纵深防御能力和修复速度将变得至关重要。

　　企业安全防护最佳实践虽然这些攻击并不新颖，但相应的缓解措施也不是全新的。Fortinet提供了一些网络安全最佳实践建议，企业可以将其作为安全基线予以采纳，包括：强制执行密码复杂度策略：如果启用该策略，可从源头阻断密码喷洒攻击生效。启用多因素认证(MFA)：如果启用MFA，报告中提到的网络攻击将无法得逞。基础操作：通过可信主机限制管理员访问。进阶操作：使用本地入站策略限制管理界面访问。更优操作： 从面向互联网的接口上移除对FortiGate的管理访问权限，改为通过内部或带外方式进行管理。全面了解自己的攻击面：保持设备更新，及时修复补丁，优先处理所有联网的设备。

　　企业安全影响自查方法如果企业担忧自己可能遭到了这类攻击，可以查找以下入侵指标(IOC)：来自未知IP的异常管理员访问，尤其是来自已知IOC IP地址 212[.]11.64.250 或185[.]196.11.225的访问。添加了任何未授权的用户账户，例如fortiuser、fortinet-support、fortinet-tech-support。查找意外的配置更改，例如：○ 意外的VPN配置或VPN用户。○ 添加了计划运行的脚本，这已被视为一种“就地取材”技术，用于维持管理员访问权限。

　　企业发现异常后处置步骤如果您发现企业里出现任何上述迹象，您可以进行以下操作：○ 将该设备视为已受损，请按照此处的指南进行恢复。

　　○ 检查是否创建了VPN用户、是否存在意外的密码重置，或来自异常位置的VPN连接，这些可能表明攻击者已经尝试横向移动到内部网络。○ 如果配置了AD/LDAP集成，务必将该账户视为已泄露，并监测您的AD中该账户是否被用于其他身份认证，或创建了额外账户，同时监测网络是否存在横向移动。

　　Fortinet一直秉持积极主动、透明、负责任的产品安全披露文化，这体现了我们作为庞大的网络安全生态系统中负责任的一员，也展示了我们致力于帮助客户做出基于风险知情决策的承诺。Fortinet将持续监测针对已知、未修补漏洞或配置不当设备的持续活动。如果您认为企业内部网络可能已被入侵，请扫码联系【Fortinet服务小助手】进一步咨询沟通。

　　资料来源于网络，详情请点击：无线网络（WLAN）（https://www.fortinet.com/cn/products/wireless-access-points）