ChatGPT极大增加了网络防御的难度

攻防
1月前

20230215212518.png

  去年11月底以来,ChatGPT以迅雷不及掩耳之势席卷全球,其加剧网络威胁形势严重性和复杂性的潜力引起广泛关切。生成式人工智能(AI)工具的迅速崛起,标志着网络安全黑白两道之间军备竞赛的最新发展,长久以来的军备竞赛中,攻击者和防御者都在不断寻找下一个能够带来竞争优势的突破性AI/ML技术。

  而这一次,赌注加大了。由于ChatGPT的横空出世,社会工程如今正式民主化——危险工具唾手可得,恶意黑客绕过严格检测措施在混合攻击面上广撒网的能力得到了增强。

广撒攻击网

  为什么这么说呢?因为,大多数社会工程活动都依赖包含常用关键字和文本字符串的通用模板,可以设置安全解决方案加以识别并阻止。无论是通过电子邮件还是通过Slack和Microsoft Teams等协作渠道进行,这些社会工程活动常会采取成功率低的广撒网方式。

  但在ChatGPT这样的生成式AI帮助下,恶意黑客理论上可以利用系统的大型语言模型(LLM)远离通用格式,针对各个目标自动创建全然独特的网络钓鱼或欺骗电子邮件,且语法完美、语言自然流畅。这种复杂程度的提升使得通过电子邮件发起的攻击看起来更为可信,转而增加了检测并阻止收件人点击隐藏恶意软件链接的难度。

  不过,我们得明确一点:ChatGPT并不像某些人所说的那样是对网络防御者的死刑宣判。相反,这是对手战术、技术与程序(TTP)循环演进过程中的最新发展,可以分析、解决和缓解。毕竟,这也不是我们第一次看到生成式AI遭恶意利用了;ChatGPT不同于之前技术的地方在于其使用简单且免费。随着OpenAI可能转向基于订阅的模式,要求用户身份验证和增强保护措施,防御ChatGPT攻击最终会归结为一个关键变量:以毒攻毒。

以其人之道还治其人之身

  安全运营团队必须利用自身AI驱动的大型语言模型(LLM))来对抗ChatGPT社会工程,将之视为第一道也是最后一道防线,让分析师能够提高检测效率、简化工作流程,并自动化响应操作。例如,集成到恰当的企业安全解决方案中的LLM,就可以用来检测ChatGPT生成的复杂社会工程模板。在LLM识别并分类可疑模式的几秒钟内,解决方案将之标记为异常,通知分析师并给出纠正措施,然后在整个公司的安全生态内实时共享这一威胁情报。

  近年来网络安全领域AI/ML采用率快速提升正是因为其可带来的种种好处。IBM 2022年《数据泄露成本》报告指出,采用AI驱动的安全解决方案的公司,缓解攻击所用时间平均缩短28天,财务损失也少300多万美元。同时,Mimecast 2022年《电子邮件安全状况》报告显示,92%的受访者表示已经在自己的安全架构中利用AI,或者计划在不远的将来利用AI增强自身安全形势。在这一进展的基础上加强利用AI驱动的LLM应该是当前安全工作的重点,因为这是跟上ChatGPT攻击速度的唯一方法。

宝剑锋出磨砺出

  应用ChatGPT等AI驱动的LLM也可以提高黑箱、灰箱和白箱渗透测试的效率,解决劳动力普遍短缺情况下不堪重负的IT团队拿不出渗透测试所需大量时间与人力的问题。考虑到时间宝贵,LLM提供了有效简化渗透测试流程的方法:自动识别最佳攻击途径和网络漏洞,而不依赖之前常会随威胁态势演变而过时的漏洞利用模型。

  例如,在模拟环境中,“坏”LLM可以生成针对性电子邮件文本,用来测试企业的社会工程防御能力。如果测试文本绕过检测达到预期目标,就可以调整这些数据的用途,用来训练“好”LLM如何在真实环境中识别类似的模式。这有助于让红队和蓝队充分了解利用生成式AI对抗ChatGPT的复杂性,同时也能准确评估企业的安全态势,使分析师能够在对手利用漏洞之前补上漏洞。

人为失误的影响

  需谨记,仅投入同类最佳解决方案并非保护企业免受复杂社会工程攻击侵害的灵丹妙药。社会上广为采用云混合工作结构的当下,人为风险已成现代企业的关键漏洞。如今,95%以上的安全事件(其中大多数是社会工程攻击的结果)都涉及某种程度的人为失误。而随着ChatGPT预计会提升此类攻击的规模和速度,我们必须确保混合工作模式的员工无论在哪种工作环境下都遵守安全规程,毫无商量余地。

  这一现实凸显了将用户意识培训模块作为企业安全框架的核心部分加以实现的重要性——持续接受用户意识培训的员工识别并规避恶意连接的概率提升了五倍。然而,佛瑞斯特研究所2022年《安全意识与培训解决方案》报告指出,很多安全主管并不充分了解如何构建安全意识文化,反而回到静态的一刀切式员工培训来衡量参与度和影响行为。这种方法很大程度上是无效的。想让员工对培训模块产生共鸣,培训必须是可扩展且个性化的,具有符合员工兴趣点和学习风格的娱乐内容和小测验。

  生成式AI与执行良好的用户意识培训相结合,能够建立强大的安全联盟,使企业能够抵御ChatGPT驱动的攻击。网络防御者不用过于担心,天不会塌。希望就在眼前。


参考阅读
如何利用ChatGPT发起网络攻击
攻击者已开始利用ChatGPT编写恶意代码
ChatGPT爆火出圈带来的AI网络安全的思考
2023年ChatGPT改变信息安全领域的三种姿势