历史经验表明,即便开发者最初是出于善意的研发目的,但先进的技术往往会不可避免地被用于很多负面、恶意的应用场景中,OpenAI公司最新推出的ChatGPT聊天机器人自然也不例外。现代企业有很多机会可以利用ChatGPT技术,提升与客户的互动,寻找新的商业机会。但是在网络安全界,也有越来越多的证据表明,这种基于AI的机器人服务很可能会成为网络攻击者们的强大工具。

客观看待ChatGPT的安全影响

ChatGPT是一种非常有用的工具。它有非常强大的知识积累,可以将复杂主题化繁为简。对于希望使用该工具编写恶意软件代码以发动网络攻击的人来说,ChatGPT为编程技能或技术技能有限的威胁分子降低了准入门槛。威胁分子只需初步了解网络安全和计算机科学的基础知识,它就能收到奇好的效果。

但是,对网络安全建设者,ChatGPT也有很多积极用途,研究人员一直在积极试验ChatGPT的创新能力,并将网络防御方面的很多人工事务实现自动化,这对推动新一代网络安全防御技术发展大有前景。很显然,这种工具同样有助于为防御者提供帮助。

影响1实现安全事件处置的自动化(积极)

安全分析师收到警报后,首先需要提取相关数据源,以便确定这是不是真正的攻击。这常常需要大量的手动工作。相比之下,从安全信息和事件管理(SIEM)工具中获取数据输出并交给ChatGPT处理,可以迅速生成有关安全事件的分析报告。使用ChatGPT由数据生成报告可以比分析师人工分析更快地洞察事件情况。

由于安全攻击不断增长,许多网络安全专业人员的日常工作已经不堪重负,雪上加霜的是,市场中长期缺少技能娴熟的安全专业人员。然而,ChatGPT有望使不堪重负的安全团队运营工作实现自动化,同时有助于消除很多误报信息干扰。

除了为安全运营团队的网络事件分析引入自动化功能外,ChatGPT还有望为测试网络防御系统查找缺陷的渗透测试人员将一些工作实现自动化。比如说,ChatGPT提供的恶意软件开发功能还可以帮助白帽黑客。

影响2弥补安全人员的知识鸿沟(积极)

ChatGPT有可能以更快的速度加深用户对安全专业知识和技能的理解。这种聊天机器人能够熟练地用高度相关的信息回答特定的问题,归纳为几个段落或要点,这意味着相比传统搜索引擎技术,ChatGPT常常可以让用户更快地了解某些问题,因此特别有利于那些希望深入了解网络安全知识的人。由于ChatGPT能快速归纳复杂主题,这对推动网络安全行业发展非常重要,它可以让非安全专业的企业高级管理者和董事会成员快速了解网络安全相关内容,从而获得其对加强网络安全建设工作的支持。

影响3加快恶意软件的开发(负面)

据CyberArk研究人员发布的研究结果显示,ChatGPT工具可以用来开发极难被发现的恶意软件(即多态恶意软件),同时可用于以高级方式帮助恶意软件程序开发,包括利用开源存储库中发现的恶意软件代码训练ChatGPT,以生成该代码的独特变体,从而逃避反病毒检测机制。

此外,ChatGPT还可以用来生成用于分发的恶意软件载荷本身,从而成为网络攻击的一部分。

实验表明,ChatGPT有能力生成多种类型的恶意软件载荷,包括信息窃取器、远程访问木马和加密货币窃取器。对此,OpenAI的解释是,当用户请求ChatGPT生成代码时,ChatGPT的功能更像是搜索引擎,还无法进行更复杂的合理性辨别和需求定制。

影响4助长网络钓鱼和社会工程攻击(负面)

ChatGPT可以非常真实流畅地模仿人类写作,这个特点使其有可能成为一种强大的网络钓鱼和社会工程工具,特别是当威胁分子需要进行跨语种的欺诈攻击时,该工具有可能被用来更有效地分发恶意软件。

研究人员测试ChatGPT后发现,由英语不流利的人撰写的钓鱼邮件中经常出现明显的问题,比如拼写和语法错误,或者滥用英语词汇,而通过ChatGPT生成的邮件文本并不存在这类问题。因此研究人员认为,攻击者可以使用ChatGPT,更有效地分发窃取信息的恶意软件、僵尸网络模拟工具、远程访问木马以及勒索软件可执行文件等。

为ChatGPT应用做好准备

作为一种创新技术,企业组织在未来数字化发展中会有很多机会应用ChatGPT或类似AI工具。CISO们需要为此提前做好应对准备,以避免可能出现的安全隐患。安全研究人员也提出了一些有益的措施和建议:

  1. 实施强身份验证协议,加大攻击者访问账户的难度。攻击者已经知道如何利用MFA疲劳攻击来绕过现有的身份验证机制,因此,企业需要利用AI/机器学习技术实现无密码应用,这样有助于提高企业的安全性,同时可以缓解MFA疲劳现象。
  2. 积极采用零信任模式。这样即使攻击者利用ChatGPT蒙蔽了一些缺乏戒备的内部员工,他们在访问关键数据和系统时,仍必须验证身份,而且即使验证了身份,也只能访问有限的资源。让所有员工仅拥有执行工作所需的最低访问权限,这可能会遇到一些阻力,但会使攻击者更难利用任何未经授权的访问权限来获利。
  3. 严格监控公司账户活动,使用包括垃圾邮件过滤器、行为分析和关键字过滤在内的工具,以识别和阻止恶意邮件。基于邮件收发方的行为和关系而不是基于特定的关键字来监测恶意邮件,更有可能成功阻止恶意分子。
  4. 比攻击者更早利用AI。网络攻击者肯定会大量利用AI,而ChatGPT只是其中的一种手段。企业必须充分利用AI/机器学习提供的功能来改善网络安全,并更快地响应威胁和潜在攻击。
  5. 加强全公司的安全意识教育,向所有员工宣讲最新的网络钓鱼风险。如果员工充分了解ChatGPT工具如何被利用,面对聊天机器人及其他基于AI的工具时就可能更为谨慎,从而避免沦为这类攻击的受害者。