如果我是黑客。

如果我是黑客，我就找家工厂下手。现在的工厂都在数字化，联网的OT设备不要太多，网络暴露面也不要太多。而且很多OT设备，还运行着爷爷辈的Windows XP系统，他们身上的漏洞，早就被管理员忘了，没人记得给他们补丁。

况且，我还新掌握了“大杀器”。

AI“武装”的网络攻击

人工智能就像火药。

人工智能就像火药一样，又一次改变了网络攻防的格局。这就如，800年前的重甲铁骑。他们并非是挥舞着马刀，征服了大半个欧亚。重甲铁蹄是那个时代最尊重科学的一群人。宋、金的工匠们被他们裹挟着西征，他们也因此用大炮，轰塌了贵族城堡的石墙，用子弹射穿了骑士的盔甲。

现在的攻击者，也如重甲铁骑一样，炉火纯青地应用了人工智能。这帮用人工智能武装起来的“军队”，没有任何道德可言，他们不仅在攻击IT系统，还很喜欢对工厂下手。只因为，在这里更容易下手。

攻击者最早研究出来的武器，就是“生成对抗网络”。它拿手的技能是“左右互搏”，左手“生成器神经网络”，负责生成恶意软件；右手“判别器神经网络”，负责识别生成器生成的恶意软件。就是在几轮的“左右互搏”，几轮的对抗性训练中，恶意软件的逃逸能力越来越强，几乎可以逃逸所有防病毒引擎和IPS引擎的检测。

但这也只是一招而已。

攻击者还已使用“生成对抗网络+迁移学习”，破解网络验证码。他们先用“生成对抗网络”对验证码识别大模型进行训练，再以“迁移学习”算法，对模型进行调优。这种模型强到什么程度？它可以攻破全球排名TOP50网站的验证码系统。

这还不算完。

哪里有AI，哪里就有逃逸。攻击者还在使用“智能网络逃逸技术”，生成“最低程度被检测出”的恶意软件。它的攻击模式就像一部“谍战片”，可分为四步：

第一步是“知彼”，以大数据和深度学习技术，对目标系统的策略进行学习；第二步是“知己”，以深度学习技术，对恶意软件进行分解，以加强软件的逃逸能力；第三步是“潜伏”，当恶意软件到达客户的沙箱环境时，采用静默技术，躲避沙箱检测；第四步是“渗透”，当进入目标系统后，避免异常行为或随机回调连接，实现长久的渗透。

以平台对抗铁骑

这就是现在被AI“武装”起来的重甲铁骑，但他们也有弱点。重甲铁骑可以在平原横冲直撞，但陷入山地丘陵、水网密布地势，就完全丧失优势。所以，对抗攻击者的升维，最好的办法就是“平台”，就是建立平台型的安全体系。

Fortinet的策略就是如此。

如Fortinet中国区总经理李宏凯所说：“基于Security Fabric安全架构，以及操作系统FortiOS，Fortinet的OT安全平台，深度契合OT网络架构、协议及应用需求，形成了‘安全组网’、‘安全运营’和‘统一SASE’三大核心基石。”

很显然，“三大基石”体系都形成了超级的防御纵深，且相互之间通过FortiOS操作系统，还能组成“平台”。其中，“安全组网”就是网络与安全的深度融合，Fortinet通过工业交换机，以及工业无线AP，可以将安全能力推送到安全平台的每个二层接口，且不需要改变现有网络架构。

同时，Fortinet通过“安全运营”可在最短时间内，发现网络攻击，并通过网关设备，完成有效隔离。此外，Fortinet还通过“统一SASE”实现云与端的安全一体化。

更进一步，基于“安全组网”、“安全运营”和“统一SASE”三大基石，Fortinet还形成了庞大的产品和方案矩阵，其最新推出的产品包括：专为严苛OT环境设计的FortiGate Rugged系列、FortiSwitch Rugged系列、FortiAP系列，以及创新之作FortiExtender Vehicle，专为车联网打造，提供稳定可靠的移动安全连接方案，全方位应对行业专属挑战。

用魔法打败魔法

但这也只是升级，还不是升维。人工智能“武装”起来的网络攻击，已经对传统防御体系形成了降维打击。对此Fortinet南区技术负责人玉文锋说：“应对智能化的攻击，Fortinet的方案是用AI应对AI，用魔法打败魔法。”

Fortinet在人工智能方向上的投入，已经超过10年。机器学习技术已进化到了第六代，相关AI专利有59个，开发了近百个AI相关的应用，以AI驱动的解决方案达到42个。而且从威胁情报中心，到各产品线均已经实现了AI化，覆盖了四大应用场景。

首先是AI赋能的威胁情报

从2012年开始，Fortinet就在使用机器学习技术，每天处理数以万计的安全事件。这使FortiGuard积累了品类最齐全的攻击样本。正是以海量的攻击样本，结合第六代机器学习技术，Fortinet在云端训练出针对各类应用的安全大模型。再将安全大模型进行裁剪微调，推送到FortiGate防火墙等客户端设备中。

效果如何？在此之前的项目POC测试过程中，用户自己精心设计了一款恶意软件。这个恶意文件成功地躲避了传统防病毒引擎和沙箱的查杀，但将恶意文件上传至FortiGuard检测时，马上就被识别，而且FortiGuard在一小时内，将特征库推送到Fortinet的所有客户端设备。

其次是AI赋能的恶意软件检测

从FortiOS 7.0开始，FortiGuard就可以将微调后安全大模型，打包推送到FortiGate上。如此一来，AI增强的防病毒引擎将取代FortiGate以前老旧的启发式引擎，FortiGate防火墙也因此具备了0-Day防御能力。

只不过，Fortinet并不认为防火墙是万能的。防火墙也只适合查杀一些较小的、高危的恶意软件，而对于那些较大的、耗时的，基于行为的恶意软件，Fortinet就把它交给FortiEDR进行检测。FortiEDR完全抛弃了特征库的模式，采用了云端AI模型，并结合本地机器学习的方式进行恶意软件的检测。

除此之外，Fortinet还推出了FortiNDR。OT与IT融合之后，安全态势也发生了根本性的变化。这就需要对OT网络里的流量，进行恶意文件或恶意流量的检测。FortiNDR就在此时有了更大的价值——其既可对恶意文件进行检测，也能对恶意流量的检测。

第三是AI赋能的流量检测

不仅如此。

Fortinet还有一整套方法抵御恶意流量。DDoS被认为是一个古老的，没有什么技术含量的攻击手段。但AI重新武装后的DDoS，可以动态调整攻击策略，绕开防御措施；还可以对攻击的全程进行监控，当发现目标系统已经识别或缓解了此前的攻击手段，AI将快速切换到另外一种攻击模式；此外，AI还擅长流量混淆，生成与合法流量相识的攻击流量。

与此应对，FortiDDoS设备中集成的AI能力，也想到了方法，防御AI武装起来的DDoS攻击。FortiDDoS基于对流量的学习，建立了流量模型。同时，其还可对每个数据包进行深度检测。监控从L3层到L 7层的23万个网络参数。这样，FortiDDoS就能对AI型的DDoS攻击有着精准的检测和响应能力。

还有刚才提到的FortiNDR，其利用机器学习，可对异常流量进行分析。FortiNDR可以告诉用户，网络设备是否正在被高频扫描，网络中是否存在不常见的，可能是攻击者派来“侦查”的流量。

此外，AI还唤醒了WAF设备的第二青春。在AI之前，WAF设备的策略配置，属于一管即死，一放就松。FortiWeb创新性则在于，使用了两层机器学习的模型，来解决这个难题。第一层本地模型解决效率问题，快速地分离出异常的流量，第二层云端模型解决精确率问题，准确区别“异常流量”是威胁攻击，还是真的异常流量。

最后是AI驱动的SecOps

安全运营对于企业来说，一直都是巨大的挑战，管理员经常被大量的安全告警信息，搞的焦头烂额。目前，Fortinet已经将生成式AI组件FortiAI，引入SecOps解决方案，

FortiAI已无缝地集成到FortiManager、FortiAnalyzer、FortiSIEM、FortiSOAR等核心产品。首先，FortiAI可以实现威胁识别和移出的自动化；其次，FortiAI对复杂攻击有着全面的理解，可以预测未来的攻击；第三，FortiAI可以提供智能化的修复，提供自动化的补丁；最后，FortiAI还可以对安全工作流进行优化。

这也正如Fortinet中国区南区技术负责人玉文锋最后所说：

“Fortinet OT安全平台的创新之源首推人工智能。平台能力覆盖了从智能网络攻击防御，到恶意软件检测，再到自动化威胁狩猎与响应。同时，Fortinet的产品组合更深度融合了AI能力，能够自动识别、预测并应对复杂的网络威胁，确保业务连续性和数据安全。”