人工智慧開發商OpenAI公司最近發布的ChatGPT-4又震驚了世界,但它對資料安全領域意味著什麼,目前還沒有定論。一方面,產生惡意軟體和勒索軟體比以往任何時候都更容易。在另一方面,ChatGPT也可以提供一系列新的防禦措施用例。
人工智慧開發商OpenAI公司最近發布的ChatGPT-4又震驚了世界,但它對資料安全領域意味著什麼,目前還沒有定論。一方面,產生惡意軟體和勒索軟體比以往任何時候都更容易。在另一方面,ChatGPT也可以提供一系列新的防禦措施用例。
產業媒體最近採訪了一些世界頂尖的網路安全分析師,他們對2023年ChatGPT和生成式人工智慧的發展進行了以下預測:
以下是網路安全分析師的一些預測。
McAfee公司高級副總裁兼首席技術長Steve Grobman表示,「ChatGPT降低了使用門檻,使在傳統上需要投入高技能人才和大量資金的一些技術對任何可以訪問互聯網的人來說都是可以採用的。技術不熟練的網路攻擊者現在有辦法批量生成惡意程式碼。
例如,他們可以要求程式編寫程式碼,產生發送給數百個人的短信,就像一個非犯罪的營銷團隊所做的工作那樣。它不是將收件人引導到安全的網站,而是將他們帶到一個帶有惡意威脅的網站。雖然其程式碼本身並不是惡意的,但它可以用來傳遞危險的內容。
與各有利弊的任何新興的技術或應用程式一樣,ChatGPT也會被好人和壞人使用,因此網絡安全社群必須對其被利用的方式保持警惕。」
麥肯錫公司合夥人Justin Greis表示,「從廣義上來說,生成式人工智慧是一種工具,就像所有工具一樣,它可以用於美好的目的,也可以用於邪惡的目的。如今已經有許多用例被引用,威脅行為者和好奇的研究人員正在製作更有說服力的網路釣魚電子郵件,產生惡意程式碼和腳本來發起潛在的網路攻擊,甚至只是為了查詢更好、更快的情報。
但對於每一起濫用案件,都將繼續採取控制措施來對付它們。這就是網路安全的本質,這是一場永無止境的超越對手、超越防御者的競賽。
與任何可能被用於惡意傷害的工具一樣,企業必須設置護欄和保護措施,以保護公眾不被濫用。在實驗和利用之間有一條非常微妙的道德界限。」
SANS研究所的SANS研究員David Hoelzer表示,「ChatGPT目前風靡全球,但就其對網路安全格局的影響而言,我們還僅僅處於起步階段。這標誌著分界線兩邊採用人工智慧/機器學習的新時代的開始,與其說是因為ChatGPT可以做什麼,不如說是因為它促使人工智慧/機器學習成為公眾關注的焦點。
一方面,ChatGPT可以潛在地用於社交工程的民主化,給予缺乏經驗的威脅行動者新的能力,快速輕鬆地生成藉口或騙局,並大規模部署複雜的網絡釣魚攻擊。
另一方面,當涉及到創建新穎的攻擊或防禦時,ChatGPT的能力要弱得多。這並不是它的失敗,而是因為人們要求它做一些沒有接受過訓練的事情。
這對安全專業人員意味著什麼?我們可以安全地忽略ChatGPT嗎?不能。身為安全專業人員,我們中的許多人已經測試過ChatGPT,看看它執行基本功能的效果。它能寫出Pen測試方案嗎?能寫出網路釣魚的藉口嗎? 如何幫助建立攻擊基礎設施和C2?到目前為止,其測試結果喜憂參半。
然而,更大的安全對話並不與ChatGPT有關。這是關於我們目前是否有了解如何建構、使用和解釋人工智慧/機器學習技術的安全角色。 」
Gartner公司分析師Avivah Litan表示,「在某些情況下,當安全人員不能驗證其輸出的內容時,ChatGPT造成的問題將比它解決的問題更多。例如,它將不可避免地錯過一些漏洞的檢測,並給企業帶來一種虛假的安全感。
同樣,它也會錯過被告知的對網路釣魚攻擊的偵測,並提供不正確或過時的威脅情報。
因此,我們肯定會在2023年看到,ChatGPT將為遺漏的網路攻擊和導致使用它的企業資料外洩的漏洞負責。 」
RSA公司首席資訊安全長Rob Hughes表示,「就像許多新技術一樣,我不認為ChatGPT會帶來新的威脅。我認為它對安全格局的最大改變是擴大、加速和增強現有的威脅,特別是網路釣魚。
在基本層面上,ChatGPT可以為網路攻擊者提供語法正確的釣魚郵件,這是我們現在不經常看到的情況。
雖然ChatGPT仍然是一種離線服務,但網路威脅行為者開始結合網路存取、自動化和人工智慧來製造持續的進階攻擊只是一個時間問題。
有了聊天機器人,人類就不需要為垃圾郵件寫誘餌。與其相反,他們可以編寫一個腳本,上面寫著「使用網路資料來熟悉某某人,並不斷向他們發送訊息,直到他們點擊連結。」
網路釣魚仍然是網路安全漏洞的主要原因之一。讓一個自然語言機器人使用分散式魚叉式網路釣魚工具,同時在數百個用戶的機器上大規模工作,將使安全團隊更難完成他們的安全防護工作。 」
畢馬威公司網路安全服務負責人Matt Miller表示,隨著越來越多的企業探索和採用ChatGPT,安全性將是首要考慮的問題。以下是一些幫助企業將在2023年搶佔先機的步驟:
(1)設定ChatGPT和類似解決方案在企業環境中應該如何使用的期望。制定可接受的使用政策;定義所有批准的解決方案、用例和員工可以依賴的數據的列表;並要求進行檢查以驗證響應的準確性。
(2)建立內部流程,審查有關使用認知自動化解決方案的法規的影響和演變,特別是知識產權、個人資料的管理,以及適當的包容性和多樣性。
(3)實施技術網路控制,特別注意測試程式碼的操作彈性和掃描惡意有效載荷。其他控制包括但不限於:多因素身份驗證和只允許授權用戶訪問;數據丟失預防方案的應用確保工俱生成的所有代碼都經過標準審查的過程,並且不能直接複製到生產環境中;以及配置網路過濾,以便在員工訪問未經批准的解決方案時發出警報。
ESG公司分析師服務高級副總裁和高級分析師Doug Cahill表示, “與大多數新技術一樣,ChatGPT將成為網絡攻擊者和防御者的資源,對抗性用例包括偵察和防御者尋求最佳實踐以及威脅情報市場。與其他ChatGPT用例一樣,隨著人工智慧系統在已經很大且不斷增長的資料語料庫上進行訓練,使用者測試回應的保真度也會有所不同。
雖然ChatGPT用例得到廣泛應用,但在團隊成員之間共享威脅情報以進行威脅狩獵和更新規則和防禦模型是很有前途的。然而,ChatGPT是人工智慧增強(而不是取代)在任何類型的威脅調查中應用場景所需的人為因素的另一個例子。 」
Acronis公司全球研究副總裁Candid Wuest表示,「雖然ChatGPT是一個強大的語言生成模型,但這項技術不是一個獨立的工具,不能獨立運作。它依賴使用者輸入,並且受限於它所訓練的資料。
例如,該模型產生的釣魚文字仍然需要從電子郵件帳戶發送,並指向一個網站。這些都是可以透過分析來幫助檢測的傳統指標。
雖然ChatGPT有能力編寫漏洞和有效負載,但測試表明,這些功能並不像最初建議的那麼好。該平台還可以編寫惡意軟體,雖然這些程式碼已經可以在網路上和各種論壇上找到,但ChatGPT使它更容易為大眾所接受。
然而,其變化仍然有限,這使得基於行為的檢測和其他方法很容易檢測到這種惡意軟體。 ChatGPT並不是專門針對或利用漏洞而設計的,但是它可能會增加自動或類比訊息的頻率。它降低了網路犯罪分子的進入門檻,但不會為已經成立的企業帶來全新的攻擊方法。 ”
以上是分析師對ChatGPT安全在2023年發展狀況的八個預測的詳細內容。更多資訊請關注PHP中文網其他相關文章!