行業媒體最近采訪了一些世界頂級的網絡安全分析師,他們對2023年ChatGPT和生成式人工智能的發展進行了以下預測:
ChatGPT將降低網絡犯罪的門檻。
制作令人信服的釣魚郵件將變得更容易。
企業將需要了解人工智能技術的安全專業人員。
企業將需要驗證生成式人工智能輸出的內容。
生成式人工智能將升級現有的威脅。
企業將定義對ChatGPT使用的期望。
人工智能將增強人類的能力。
企業仍將面臨同樣的原有威脅。
以下是網絡安全分析師的一些預測。
1.ChatGPT將降低網絡犯罪的門檻
McAfee公司高級副總裁兼首席技術官SteveGrobman表示,“ChatGPT降低了使用門檻,使在傳統上需要投入高技能人才和大量資金的一些技術對任何可以訪問互聯網的人來說都是可以采用的。技術不熟練的網絡攻擊者現在有辦法批量生成惡意代碼。
例如,他們可以要求程序編寫代碼,生成發送給數百個人的短信,就像一個非犯罪的營銷團隊所做的工作那樣。它不是將收件人引導到安全的網站,而是將他們帶到一個帶有惡意威脅的網站。雖然其代碼本身并不是惡意的,但它可以用來傳遞危險的內容。
與各有利弊的任何新興的技術或應用程序一樣,ChatGPT也會被好人和壞人使用,因此網絡安全社區必須對其被利用的方式保持警惕。”
2.制作令人信服的釣魚郵件將變得更容易
麥肯錫公司合伙人JustinGreis表示,“從廣義上來說,生成式人工智能是一種工具,就像所有工具一樣,它可以用于美好的目的,也可以用于邪惡的目的。如今已經有許多用例被引用,威脅行為者和好奇的研究人員正在制作更有說服力的網絡釣魚電子郵件,生成惡意代碼和腳本來發起潛在的網絡攻擊,甚至只是為了查詢更好、更快的情報。
但對于每一起濫用案件,都將繼續采取控制措施來對付它們。這就是網絡安全的本質,這是一場永無止境的超越對手、超越防御者的競賽。
與任何可能被用于惡意傷害的工具一樣,企業必須設置護欄和保護措施,以保護公眾不被濫用。在實驗和利用之間有一條非常微妙的道德界限。”
3.企業將需要了解人工智能的安全專業人員
SANS研究所的SANS研究員DavidHoelzer表示,“ChatGPT目前風靡全球,但就其對網絡安全格局的影響而言,我們還僅僅處于起步階段。這標志著分界線兩邊采用人工智能/機器學習的新時代的開始,與其說是因為ChatGPT可以做什么,不如說是因為它促使人工智能/機器學習成為公眾關注的焦點。
一方面,ChatGPT可以潛在地用于社交工程的民主化,給予缺乏經驗的威脅行動者新的能力,快速輕松地生成借口或騙局,并大規模部署復雜的網絡釣魚攻擊。
另一方面,當涉及到創建新穎的攻擊或防御時,ChatGPT的能力要弱得多。這并不是它的失敗,而是因為人們要求它做一些沒有接受過訓練的事情。
這對安全專業人員意味著什么?我們可以安全地忽略ChatGPT嗎?不能。作為安全專業人員,我們中的許多人已經測試過ChatGPT,看看它執行基本功能的效果。它能寫出Pen測試方案嗎?能寫出網絡釣魚的借口嗎?如何幫助建立攻擊基礎設施和C2?到目前為止,其測試結果喜憂參半。
然而,更大的安全對話并不與ChatGPT有關。這是關于我們目前是否有了解如何構建、使用和解釋人工智能/機器學習技術的安全角色。”
4.企業將需要驗證生成式人工智能輸出的內容
Gartner公司分析師AvivahLitan表示,“在某些情況下,當安全人員不能驗證其輸出的內容時,ChatGPT造成的問題將比它解決的問題更多。例如,它將不可避免地錯過一些漏洞的檢測,并給企業帶來一種虛假的安全感。
同樣,它也會錯過被告知的對網絡釣魚攻擊的檢測,并提供不正確或過時的威脅情報。
因此,我們肯定會在2023年看到,ChatGPT將為遺漏的網絡攻擊和導致使用它的企業數據泄露的漏洞負責。”
5.生成式人工智能將升級現有的威脅
RSA公司首席信息安全官RobHughes表示,“就像許多新技術一樣,我不認為ChatGPT會帶來新的威脅。我認為它對安全格局的最大改變是擴大、加速和增強現有的威脅,特別是網絡釣魚。
在基本層面上,ChatGPT可以為網絡攻擊者提供語法正確的釣魚郵件,這是我們現在不經常看到的情況。
雖然ChatGPT仍然是一種離線服務,但網絡威脅行為者開始結合互聯網接入、自動化和人工智能來制造持續的高級攻擊只是一個時間問題。
有了聊天機器人,人類就不需要為發送垃圾郵件編寫誘餌。與其相反,他們可以編寫一個腳本,上面寫著“使用互聯網數據來熟悉某某人,并不斷向他們發送消息,直到他們點擊鏈接。”
網絡釣魚仍然是網絡安全漏洞的主要原因之一。讓一個自然語言機器人使用分布式魚叉式網絡釣魚工具,同時在數百個用戶的機器上大規模工作,將使安全團隊更難完成他們的安全防護工作。”
6.企業將定義對ChatGPT使用的期望
畢馬威公司網絡安全服務負責人MattMiller表示,隨著越來越多的企業探索和采用ChatGPT,安全性將是首要考慮的問題。以下是一些幫助企業將在2023年搶占先機的步驟:
(1)設定ChatGPT和類似解決方案在企業環境中應該如何使用的期望。制定可接受的使用政策;定義所有批準的解決方案、用例和員工可以依賴的數據的列表;并要求進行檢查以驗證響應的準確性。
(2)建立內部流程,審查有關使用認知自動化解決方案的法規的影響和演變,特別是知識產權、個人數據的管理,以及適當的包容性和多樣性。
(3)實施技術網絡控制,特別注意測試代碼的操作彈性和掃描惡意有效載荷。其他控制包括但不限于:多因素身份驗證和只允許授權用戶訪問;數據丟失預防方案的應用確保工具生成的所有代碼都經過標準審查的過程,并且不能直接復制到生產環境中;以及配置網絡過濾,以便在員工訪問未經批準的解決方案時發出警報。
7.人工智能將增強人類的能力
ESG公司分析師服務高級副總裁和高級分析師DougCahill表示,“與大多數新技術一樣,ChatGPT將成為網絡攻擊者和防御者的資源,對抗性用例包括偵察和防御者尋求最佳實踐以及威脅情報市場。與其他ChatGPT用例一樣,隨著人工智能系統在已經很大且不斷增長的數據語料庫上進行訓練,用戶測試響應的保真度也會有所不同。
雖然ChatGPT用例得到廣泛應用,但在團隊成員之間共享威脅情報以進行威脅狩獵和更新規則和防御模型是很有前途的。然而,ChatGPT是人工智能增強(而不是取代)在任何類型的威脅調查中應用場景所需的人為因素的另一個例子。”
8.企業仍將面臨同樣的原有威脅
Acronis公司全球研究副總裁CandidWuest表示,“雖然ChatGPT是一個強大的語言生成模型,但這項技術不是一個獨立的工具,不能獨立運行。它依賴于用戶輸入,并受限于它所訓練的數據。
例如,該模型生成的釣魚文本仍然需要從電子郵件賬戶發送,并指向一個網站。這些都是可以通過分析來幫助檢測的傳統指標。
雖然ChatGPT有能力編寫漏洞和有效負載,但測試表明,這些功能并不像最初建議的那樣好。該平臺還可以編寫惡意軟件,雖然這些代碼已經可以在網上和各種論壇上找到,但ChatGPT使它更容易為大眾所接受。
然而,其變化仍然有限,這使得基于行為的檢測和其他方法很容易檢測到這種惡意軟件。ChatGPT并不是專門針對或利用漏洞而設計的,但是它可能會增加自動或模擬消息的頻率。它降低了網絡犯罪分子的準入門檻,但不會為已經成立的企業帶來全新的攻擊方法。”
