行业媒体最近采访了一些世界顶级的网络安全分析师,他们对2023年ChatGPT和生成式人工智能的发展进行了以下预测:
- ChatGPT将降低网络犯罪的门槛。
- 制作令人信服的钓鱼邮件将变得更容易。
- 企业将需要了解人工智能技术的安全专业人员。
- 企业将需要验证生成式人工智能输出的内容。
- 生成式人工智能将升级现有的威胁。
- 企业将定义对ChatGPT使用的期望。
- 人工智能将增强人类的能力。
- 企业仍将面临同样的原有威胁。
以下是网络安全分析师的一些预测。
1.ChatGPT将降低网络犯罪的门槛
McAfee公司高级副总裁兼首席技术官Steve Grobman表示,“ChatGPT降低了使用门槛,使在传统上需要投入高技能人才和大量资金的一些技术对任何可以访问互联网的人来说都是可以采用的。技术不熟练的网络攻击者现在有办法批量生成恶意代码。
例如,他们可以要求程序编写代码,生成发送给数百个人的短信,就像一个非犯罪的营销团队所做的工作那样。它不是将收件人引导到安全的网站,而是将他们带到一个带有恶意威胁的网站。虽然其代码本身并不是恶意的,但它可以用来传递危险的内容。
与各有利弊的任何新兴的技术或应用程序一样,ChatGPT也会被好人和坏人使用,因此网络安全社区必须对其被利用的方式保持警惕。”
2.制作令人信服的钓鱼邮件将变得更容易
麦肯锡公司合伙人Justin Greis表示,“从广义上来说,生成式人工智能是一种工具,就像所有工具一样,它可以用于美好的目的,也可以用于邪恶的目的。如今已经有许多用例被引用,威胁行为者和好奇的研究人员正在制作更有说服力的网络钓鱼电子邮件,生成恶意代码和脚本来发起潜在的网络攻击,甚至只是为了查询更好、更快的情报。
但对于每一起滥用案件,都将继续采取控制措施来对付它们。这就是网络安全的本质,这是一场永无止境的超越对手、超越防御者的竞赛。
与任何可能被用于恶意伤害的工具一样,企业必须设置护栏和保护措施,以保护公众不被滥用。在实验和利用之间有一条非常微妙的道德界限。”
3.企业将需要了解人工智能的安全专业人员
SANS研究所的SANS研究员David Hoelzer表示,“ChatGPT目前风靡全球,但就其对网络安全格局的影响而言,我们还仅仅处于起步阶段。这标志着分界线两边采用人工智能/机器学习的新时代的开始,与其说是因为ChatGPT可以做什么,不如说是因为它促使人工智能/机器学习成为公众关注的焦点。
一方面,ChatGPT可以潜在地用于社交工程的民主化,给予缺乏经验的威胁行动者新的能力,快速轻松地生成借口或骗局,并大规模部署复杂的网络钓鱼攻击。
另一方面,当涉及到创建新颖的攻击或防御时,ChatGPT的能力要弱得多。这并不是它的失败,而是因为人们要求它做一些没有接受过训练的事情。
这对安全专业人员意味着什么?我们可以安全地忽略ChatGPT吗?不能。作为安全专业人员,我们中的许多人已经测试过ChatGPT,看看它执行基本功能的效果。它能写出Pen测试方案吗?能写出网络钓鱼的借口吗? 如何帮助建立攻击基础设施和C2?到目前为止,其测试结果喜忧参半。
然而,更大的安全对话并不与ChatGPT有关。这是关于我们目前是否有了解如何构建、使用和解释人工智能/机器学习技术的安全角色。”
4.企业将需要验证生成式人工智能输出的内容
Gartner公司分析师Avivah Litan表示,“在某些情况下,当安全人员不能验证其输出的内容时,ChatGPT造成的问题将比它解决的问题更多。例如,它将不可避免地错过一些漏洞的检测,并给企业带来一种虚假的安全感。
同样,它也会错过被告知的对网络钓鱼攻击的检测,并提供不正确或过时的威胁情报。
因此,我们肯定会在2023年看到,ChatGPT将为遗漏的网络攻击和导致使用它的企业数据泄露的漏洞负责。”
5.生成式人工智能将升级现有的威胁
RSA公司首席信息安全官Rob Hughes表示,“就像许多新技术一样,我不认为ChatGPT会带来新的威胁。我认为它对安全格局的最大改变是扩大、加速和增强现有的威胁,特别是网络钓鱼。
在基本层面上,ChatGPT可以为网络攻击者提供语法正确的钓鱼邮件,这是我们现在不经常看到的情况。
虽然ChatGPT仍然是一种离线服务,但网络威胁行为者开始结合互联网接入、自动化和人工智能来制造持续的高级攻击只是一个时间问题。
有了聊天机器人,人类就不需要为发送垃圾邮件编写诱饵。与其相反,他们可以编写一个脚本,上面写着“使用互联网数据来熟悉某某人,并不断向他们发送消息,直到他们点击链接。”
网络钓鱼仍然是网络安全漏洞的主要原因之一。让一个自然语言机器人使用分布式鱼叉式网络钓鱼工具,同时在数百个用户的机器上大规模工作,将使安全团队更难完成他们的安全防护工作。”
6.企业将定义对ChatGPT使用的期望
毕马威公司网络安全服务负责人Matt Miller表示,随着越来越多的企业探索和采用ChatGPT,安全性将是首要考虑的问题。以下是一些帮助企业将在2023年抢占先机的步骤:
(1)设定ChatGPT和类似解决方案在企业环境中应该如何使用的期望。制定可接受的使用政策;定义所有批准的解决方案、用例和员工可以依赖的数据的列表;并要求进行检查以验证响应的准确性。
(2)建立内部流程,审查有关使用认知自动化解决方案的法规的影响和演变,特别是知识产权、个人数据的管理,以及适当的包容性和多样性。
(3)实施技术网络控制,特别注意测试代码的操作弹性和扫描恶意有效载荷。其他控制包括但不限于:多因素身份验证和只允许授权用户访问;数据丢失预防方案的应用确保工具生成的所有代码都经过标准审查的过程,并且不能直接复制到生产环境中;以及配置网络过滤,以便在员工访问未经批准的解决方案时发出警报。
7.人工智能将增强人类的能力
ESG公司分析师服务高级副总裁和高级分析师Doug Cahill表示, “与大多数新技术一样,ChatGPT将成为网络攻击者和防御者的资源,对抗性用例包括侦察和防御者寻求最佳实践以及威胁情报市场。与其他ChatGPT用例一样,随着人工智能系统在已经很大且不断增长的数据语料库上进行训练,用户测试响应的保真度也会有所不同。
虽然ChatGPT用例得到广泛应用,但在团队成员之间共享威胁情报以进行威胁狩猎和更新规则和防御模型是很有前途的。然而,ChatGPT是人工智能增强(而不是取代)在任何类型的威胁调查中应用场景所需的人为因素的另一个例子。”
8.企业仍将面临同样的原有威胁
Acronis公司全球研究副总裁Candid Wuest表示,“虽然ChatGPT是一个强大的语言生成模型,但这项技术不是一个独立的工具,不能独立运行。它依赖于用户输入,并受限于它所训练的数据。
例如,该模型生成的钓鱼文本仍然需要从电子邮件账户发送,并指向一个网站。这些都是可以通过分析来帮助检测的传统指标。
虽然ChatGPT有能力编写漏洞和有效负载,但测试表明,这些功能并不像最初建议的那样好。该平台还可以编写恶意软件,虽然这些代码已经可以在网上和各种论坛上找到,但ChatGPT使它更容易为大众所接受。
然而,其变化仍然有限,这使得基于行为的检测和其他方法很容易检测到这种恶意软件。ChatGPT并不是专门针对或利用漏洞而设计的,但是它可能会增加自动或模拟消息的频率。它降低了网络犯罪分子的准入门槛,但不会为已经成立的企业带来全新的攻击方法。”