ChatGPT不是網絡安全的末日

雖然ChatGPT可以被對手用來大規模定制化生產釣魚郵件和惡意軟件，但生成式人工智能同樣讓防御者“如虎添翼”。

ChatGPT自去年11月下旬以來席卷全球，引發了新一輪網絡安全軍備競賽，攻防雙方都在緊鑼密鼓、馬不停蹄地探索下一個突破性AI/ML技術/應用。

在人工智能最大的垂直應用市場——網絡安全，對ChatGPT導致網絡威脅形勢惡化和復雜化擔憂正在蔓延，但是，Mimecast首席數據科學家洛佩茲認為，網絡安全人士大可不必過于驚慌和悲觀。

只是，這一次，賭注已經大大提高。

大規模定制化攻擊

ChatGPT已經打開了潘多拉盒子，大大加速了社會工程技術的民主化。因為ChatGPT降低了低技能黑客使用復雜危險工具的門檻，同時提高了攻擊者繞過安全檢測措施并在混合攻擊面上開展大規模攻擊的能力。

大多數社會工程攻擊活動都依賴一些包含常見關鍵字和文本字符串的通用模板，安全解決方案可以識別這些特征并阻止惡意（例如電子郵件）模版，導致攻擊的成功率很低。

但是，借助類似ChatGPT的生成式人工智能技術，攻擊者理論上可以利用系統的大型語言模型(LLM)偏離通用格式，自動大規模創建高度個性化的網絡釣魚或欺詐電子郵件，這些電子郵件針對單個目標量身定制，有著完美的語法和自然流暢的行文風格。這大大提升了網絡釣魚郵件的可信度，而檢測和防止員工點擊惡意鏈接變得更加困難。

但是，ChatGPT并不像一些人所說的那樣意味著網絡安全防御者的末日！相反，它是不斷演變的攻擊策略、技術和程序(TTP)的貓鼠游戲中的最新發展，可以分析、解決和緩解。

畢竟，這不是網絡安全人士第一次看到生成式AI被惡意利用。ChatGPT與之前的技術的區別在于其使用簡單和免費訪問。隨著OpenAI嘗試轉向需要用戶身份驗證和增強保護的基于付費訂閱的商業模式，對ChatGPT攻擊的關鍵措施將是：用魔法打敗魔法。

用魔法打敗魔法

安全運營團隊必須學會利用自己的AI驅動的大型語言模型(LLM)來對抗ChatGPT社會工程攻擊。

LLM將是企業防御ChatGPT攻擊的第一道也是最后一道防線，能幫助人類分析師能夠提高檢測效率、簡化工作流程并自動執行響應操作。例如，可以對集成在企業安全解決方案中的LLM進行編程，以檢測由ChatGPT生成的高度復雜的社會工程模板。在LLM識別和分類可疑模式的幾秒鐘內，該解決方案將其標記為異常，通知人工分析師并建議緩解措施，然后在企業/行業安全生態系統中實時共享威脅情報。

近年來AI/ML在網絡安全領域采用速度不斷加快，在IBM的2022年“數據泄露成本”報告中，利用AI驅動的安全解決方案的公司平均將攻擊時間縮短了28天，并將經濟損失減少了超過300萬美元。與此同時，在Mimecast的2022年“電子郵件安全狀況”報告中，92%的受訪者表示他們已經在其安全架構中利用人工智能或計劃在不久的將來這樣做。企業防御ChatGPT攻擊的唯一出路就是更加堅定地致力于利用AI驅動的LLM。

應用ChatGPT等AI驅動的LLM還可以提高黑盒、灰盒和白盒滲透測試的效率，這些都需要大量時間和人力，而在普遍勞動力短缺的情況下，IT團隊缺乏這些資源。面對當下一日千里的AI技術突變，LLM提供了一種有效的方法來簡化滲透測試過程，自動識別最佳攻擊向量和網絡漏洞，而不依賴于隨著威脅形勢的發展而經常過時的舊利用模型。

例如，在模擬攻擊環境中，“紅隊”LLM可以生成定制的電子郵件文本來測試企業的社會工程防御能力。如果該文本繞過檢測并達到其預期目標，則可以“調轉槍口”，用這些數據訓練“藍隊”LLM識別現實環境中的類似惡意模式。這種模擬攻擊訓練可以幫助紅隊和藍隊深入了解使用生成AI對抗ChatGPT的復雜性，同時還能提供企業安全態勢的準確評估，使分析師能夠在對手利用漏洞之前消除漏洞差距。

人依然是安全的第一要素

重要的是要記住，僅投資最佳解決方案并不是保護企業免遭復雜社會工程攻擊的靈丹妙藥。在企業向混合云架構過渡的過程中，人為風險仍然是現代企業面臨的最大安全風險。如今，超過95%的安全漏洞（其中大部分是社會工程攻擊的結果）都涉及某種程度的人為錯誤。由于ChatGPT將大幅增加社會工程攻擊的數量和速度，因此確保混合型員工無論在何處工作都保持良好安全意識并遵循安全規則依然是對抗不確定性技術風險的最佳投資和做法。

人工智能大規模社會工程攻擊威脅的快速到來再次證明了將用戶意識培訓模塊作為安全框架核心組件實施的重要性。數據顯示，接受良好安全意識培訓的員工識別和避免惡意鏈接的能力可提高五倍。然而，根據2022年Forrester的“安全意識和培訓解決方案報告”，許多安全領導者并不懂得如何建立安全意識文化，過于依賴靜態的、一刀切的員工培訓，收效甚微。

將生成式AI與執行良好的用戶意識培訓相結合，企業可以創建一個強大高效的“智能安全文化”，用魔法打敗魔法。