行業(yè)媒體最近采訪了一些世界頂級(jí)的網(wǎng)絡(luò)安全分析師,他們對(duì)2023年ChatGPT和生成式人工智能的發(fā)展進(jìn)行了以下預(yù)測(cè):
·ChatGPT將降低網(wǎng)絡(luò)犯罪的門檻。
·制作令人信服的釣魚郵件將變得更容易。
·企業(yè)將需要了解人工智能技術(shù)的安全專業(yè)人員。
·企業(yè)將需要驗(yàn)證生成式人工智能輸出的內(nèi)容。
·生成式人工智能將升級(jí)現(xiàn)有的威脅。
·企業(yè)將定義對(duì)ChatGPT使用的期望。
·人工智能將增強(qiáng)人類的能力。
·企業(yè)仍將面臨同樣的原有威脅。
以下是網(wǎng)絡(luò)安全分析師的一些預(yù)測(cè)。
1.ChatGPT將降低網(wǎng)絡(luò)犯罪的門檻
McAfee公司高級(jí)副總裁兼首席技術(shù)官Steve Grobman表示,“ChatGPT降低了使用門檻,使在傳統(tǒng)上需要投入高技能人才和大量資金的一些技術(shù)對(duì)任何可以訪問互聯(lián)網(wǎng)的人來說都是可以采用的。技術(shù)不熟練的網(wǎng)絡(luò)攻擊者現(xiàn)在有辦法批量生成惡意代碼。
例如,他們可以要求程序編寫代碼,生成發(fā)送給數(shù)百個(gè)人的短信,就像一個(gè)非犯罪的營銷團(tuán)隊(duì)所做的工作那樣。它不是將收件人引導(dǎo)到安全的網(wǎng)站,而是將他們帶到一個(gè)帶有惡意威脅的網(wǎng)站。雖然其代碼本身并不是惡意的,但它可以用來傳遞危險(xiǎn)的內(nèi)容。
與各有利弊的任何新興的技術(shù)或應(yīng)用程序一樣,ChatGPT也會(huì)被好人和壞人使用,因此網(wǎng)絡(luò)安全社區(qū)必須對(duì)其被利用的方式保持警惕。”
2.制作令人信服的釣魚郵件將變得更容易
麥肯錫公司合伙人Justin Greis表示,“從廣義上來說,生成式人工智能是一種工具,就像所有工具一樣,它可以用于美好的目的,也可以用于邪惡的目的。如今已經(jīng)有許多用例被引用,威脅行為者和好奇的研究人員正在制作更有說服力的網(wǎng)絡(luò)釣魚電子郵件,生成惡意代碼和腳本來發(fā)起潛在的網(wǎng)絡(luò)攻擊,甚至只是為了查詢更好、更快的情報(bào)。
但對(duì)于每一起濫用案件,都將繼續(xù)采取控制措施來對(duì)付它們。這就是網(wǎng)絡(luò)安全的本質(zhì),這是一場(chǎng)永無止境的超越對(duì)手、超越防御者的競(jìng)賽。
與任何可能被用于惡意傷害的工具一樣,企業(yè)必須設(shè)置護(hù)欄和保護(hù)措施,以保護(hù)公眾不被濫用。在實(shí)驗(yàn)和利用之間有一條非常微妙的道德界限。”
3.企業(yè)將需要了解人工智能的安全專業(yè)人員
SANS研究所的SANS研究員David Hoelzer表示,“ChatGPT目前風(fēng)靡全球,但就其對(duì)網(wǎng)絡(luò)安全格局的影響而言,我們還僅僅處于起步階段。這標(biāo)志著分界線兩邊采用人工智能/機(jī)器學(xué)習(xí)的新時(shí)代的開始,與其說是因?yàn)镃hatGPT可以做什么,不如說是因?yàn)樗偈谷斯ぶ悄?機(jī)器學(xué)習(xí)成為公眾關(guān)注的焦點(diǎn)。
一方面,ChatGPT可以潛在地用于社交工程的民主化,給予缺乏經(jīng)驗(yàn)的威脅行動(dòng)者新的能力,快速輕松地生成借口或騙局,并大規(guī)模部署復(fù)雜的網(wǎng)絡(luò)釣魚攻擊。
另一方面,當(dāng)涉及到創(chuàng)建新穎的攻擊或防御時(shí),ChatGPT的能力要弱得多。這并不是它的失敗,而是因?yàn)槿藗円笏鲆恍]有接受過訓(xùn)練的事情。
這對(duì)安全專業(yè)人員意味著什么?我們可以安全地忽略ChatGPT嗎?不能。作為安全專業(yè)人員,我們中的許多人已經(jīng)測(cè)試過ChatGPT,看看它執(zhí)行基本功能的效果。它能寫出Pen測(cè)試方案嗎?能寫出網(wǎng)絡(luò)釣魚的借口嗎? 如何幫助建立攻擊基礎(chǔ)設(shè)施和C2?到目前為止,其測(cè)試結(jié)果喜憂參半。
然而,更大的安全對(duì)話并不與ChatGPT有關(guān)。這是關(guān)于我們目前是否有了解如何構(gòu)建、使用和解釋人工智能/機(jī)器學(xué)習(xí)技術(shù)的安全角色。”
4.企業(yè)將需要驗(yàn)證生成式人工智能輸出的內(nèi)容
Gartner公司分析師Avivah Litan表示,“在某些情況下,當(dāng)安全人員不能驗(yàn)證其輸出的內(nèi)容時(shí),ChatGPT造成的問題將比它解決的問題更多。例如,它將不可避免地錯(cuò)過一些漏洞的檢測(cè),并給企業(yè)帶來一種虛假的安全感。
同樣,它也會(huì)錯(cuò)過被告知的對(duì)網(wǎng)絡(luò)釣魚攻擊的檢測(cè),并提供不正確或過時(shí)的威脅情報(bào)。
因此,我們肯定會(huì)在2023年看到,ChatGPT將為遺漏的網(wǎng)絡(luò)攻擊和導(dǎo)致使用它的企業(yè)數(shù)據(jù)泄露的漏洞負(fù)責(zé)。”
5.生成式人工智能將升級(jí)現(xiàn)有的威脅
RSA公司首席信息安全官Rob Hughes表示,“就像許多新技術(shù)一樣,我不認(rèn)為ChatGPT會(huì)帶來新的威脅。我認(rèn)為它對(duì)安全格局的最大改變是擴(kuò)大、加速和增強(qiáng)現(xiàn)有的威脅,特別是網(wǎng)絡(luò)釣魚。
在基本層面上,ChatGPT可以為網(wǎng)絡(luò)攻擊者提供語法正確的釣魚郵件,這是我們現(xiàn)在不經(jīng)常看到的情況。
雖然ChatGPT仍然是一種離線服務(wù),但網(wǎng)絡(luò)威脅行為者開始結(jié)合互聯(lián)網(wǎng)接入、自動(dòng)化和人工智能來制造持續(xù)的高級(jí)攻擊只是一個(gè)時(shí)間問題。
有了聊天機(jī)器人,人類就不需要為發(fā)送垃圾郵件編寫誘餌。與其相反,他們可以編寫一個(gè)腳本,上面寫著“使用互聯(lián)網(wǎng)數(shù)據(jù)來熟悉某某人,并不斷向他們發(fā)送消息,直到他們點(diǎn)擊鏈接。”
網(wǎng)絡(luò)釣魚仍然是網(wǎng)絡(luò)安全漏洞的主要原因之一。讓一個(gè)自然語言機(jī)器人使用分布式魚叉式網(wǎng)絡(luò)釣魚工具,同時(shí)在數(shù)百個(gè)用戶的機(jī)器上大規(guī)模工作,將使安全團(tuán)隊(duì)更難完成他們的安全防護(hù)工作。”
6.企業(yè)將定義對(duì)ChatGPT使用的期望
畢馬威公司網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人Matt Miller表示,隨著越來越多的企業(yè)探索和采用ChatGPT,安全性將是首要考慮的問題。以下是一些幫助企業(yè)將在2023年搶占先機(jī)的步驟:
(1)設(shè)定ChatGPT和類似解決方案在企業(yè)環(huán)境中應(yīng)該如何使用的期望。制定可接受的使用政策;定義所有批準(zhǔn)的解決方案、用例和員工可以依賴的數(shù)據(jù)的列表;并要求進(jìn)行檢查以驗(yàn)證響應(yīng)的準(zhǔn)確性。
(2)建立內(nèi)部流程,審查有關(guān)使用認(rèn)知自動(dòng)化解決方案的法規(guī)的影響和演變,特別是知識(shí)產(chǎn)權(quán)、個(gè)人數(shù)據(jù)的管理,以及適當(dāng)?shù)陌菪院投鄻有浴?/div>
(3)實(shí)施技術(shù)網(wǎng)絡(luò)控制,特別注意測(cè)試代碼的操作彈性和掃描惡意有效載荷。其他控制包括但不限于:多因素身份驗(yàn)證和只允許授權(quán)用戶訪問;數(shù)據(jù)丟失預(yù)防方案的應(yīng)用確保工具生成的所有代碼都經(jīng)過標(biāo)準(zhǔn)審查的過程,并且不能直接復(fù)制到生產(chǎn)環(huán)境中;以及配置網(wǎng)絡(luò)過濾,以便在員工訪問未經(jīng)批準(zhǔn)的解決方案時(shí)發(fā)出警報(bào)。
7.人工智能將增強(qiáng)人類的能力
ESG公司分析師服務(wù)高級(jí)副總裁和高級(jí)分析師Doug Cahill表示, “與大多數(shù)新技術(shù)一樣,ChatGPT將成為網(wǎng)絡(luò)攻擊者和防御者的資源,對(duì)抗性用例包括偵察和防御者尋求最佳實(shí)踐以及威脅情報(bào)市場(chǎng)。與其他ChatGPT用例一樣,隨著人工智能系統(tǒng)在已經(jīng)很大且不斷增長的數(shù)據(jù)語料庫上進(jìn)行訓(xùn)練,用戶測(cè)試響應(yīng)的保真度也會(huì)有所不同。
雖然ChatGPT用例得到廣泛應(yīng)用,但在團(tuán)隊(duì)成員之間共享威脅情報(bào)以進(jìn)行威脅狩獵和更新規(guī)則和防御模型是很有前途的。然而,ChatGPT是人工智能增強(qiáng)(而不是取代)在任何類型的威脅調(diào)查中應(yīng)用場(chǎng)景所需的人為因素的另一個(gè)例子。”
8.企業(yè)仍將面臨同樣的原有威脅
Acronis公司全球研究副總裁Candid Wuest表示,“雖然ChatGPT是一個(gè)強(qiáng)大的語言生成模型,但這項(xiàng)技術(shù)不是一個(gè)獨(dú)立的工具,不能獨(dú)立運(yùn)行。它依賴于用戶輸入,并受限于它所訓(xùn)練的數(shù)據(jù)。
例如,該模型生成的釣魚文本仍然需要從電子郵件賬戶發(fā)送,并指向一個(gè)網(wǎng)站。這些都是可以通過分析來幫助檢測(cè)的傳統(tǒng)指標(biāo)。
雖然ChatGPT有能力編寫漏洞和有效負(fù)載,但測(cè)試表明,這些功能并不像最初建議的那樣好。該平臺(tái)還可以編寫惡意軟件,雖然這些代碼已經(jīng)可以在網(wǎng)上和各種論壇上找到,但ChatGPT使它更容易為大眾所接受。
然而,其變化仍然有限,這使得基于行為的檢測(cè)和其他方法很容易檢測(cè)到這種惡意軟件。ChatGPT并不是專門針對(duì)或利用漏洞而設(shè)計(jì)的,但是它可能會(huì)增加自動(dòng)或模擬消息的頻率。它降低了網(wǎng)絡(luò)犯罪分子的準(zhǔn)入門檻,但不會(huì)為已經(jīng)成立的企業(yè)帶來全新的攻擊方法。”
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)