AI的强大和快速发展正在迅速改变网络安全格局,给网络安全捍卫者带来机遇和挑战。随着ChatGPT等流行的AI工具以及最近更强大的GenAI系统成为数字生态系统的中流砥柱,网络安全专业人员将越来越多地应对新的威胁,同时也转向AI技术来识别和抵御这些威胁。
安全公司Axonius发布了一项关于IT和安全团队状况的调查,其中揭示了AI如何上升到网络安全议程的首位,以实现AI时代的希望和应对危险。Axonius调查了美国、英国和澳大利亚拥有500名或更多员工的950家公司的IT和安全决策者。
调查发现,76%的受访者表示,与12个月前相比,他们的企业在AI或ML方面的支出更多,超过85%的受访者表示,他们有兴趣在来年将AI应用于企业的IT和安全运营。Axonius还发现,近39%的IT和安全决策者表示,他们的企业在过去12个月中减少了IT或安全员工人数,他们的企业采用了基于AI的工具来简化任务,以跟上减少的员工人数而带来的工作量相对增加的趋势。
这些调查结果与另一项调查结果相吻合:近72%的IT和安全决策者报告担心GenAI对其企业的网络安全的潜在不利影响。
正如调查显示的那样,网络防御者将越来越多地使用AI技术来防御AI带来的网络威胁。Axonius高级安全总监Daniel Trauner告诉记者:“如果这项技术让攻击者可以更快或更便宜地做一些事情,那么防御者也必须考虑如何才能更快、成本更低地做一些事情,并有效地利用我们拥有的资源做更多的事情。”
网络攻击者越来越善于利用由AI支持的恶意软件进行网络攻击
在AI技术采用的早期,可能会使天平倾向于恶意行为者的一个因素是,防御者采用最新AI防御工具的速度相对较慢,也更单一,这至少让攻击者获得了暂时的优势。Phylum的CSO Peter Morgan告诉记者:“AI的进步如此之快,我们不可能希望所有使用它的人都能完全理解正在发生的事情。”“时间上的差异现在是个大问题。”
“与建立攻击者可以使用的东西相比,建立网络防御系统需要很长时间,比如说,1%的时间是有效的。如果他们追求的是1000、10000或100000个目标,那么很容易计算出1%的成功会给你带来多少,但作为一名防守者,1%的成功对你帮助不大。真的,你想要的东西产品化,并在可靠的意义上摆在客户或用户面前,这需要很长的时间。”
一些专家认为,网络攻击者拥有不对称的优势是网络安全专业人士已经习惯并已经处理了很长时间的问题。“每个从事网络安全防护工作的人,我们不可能只看到好的一面而不看到不好的一面,对吧?”CrowdSec的合作主管Andrea Hervier告诉记者,“我们总是试图思考一项潜在的新技术可能会带来什么后果,但当我们此刻审视AI在网络安全方面的好处时,我们也可以说,许多好处同时也是缺陷。”
Hervier说,“AI的出现代表了一枚硬币的两面。我可以肯定地说,一边GenAI可以自动完成很多日常任务,它可以大规模地完成它们,并且可以非常快地完成它们,这可以被视为一件好事。如果它掌握在网络罪犯手中,也可以被视为一件坏事。”
Viking Cloud的全球安全架构师Fayyaz Makhani告诉记者,“即使AI目前是一个不对称的威胁,防御者也没有什么可害怕的。我们不需要害怕AI,我们可以用几种不同的方式来看待它,如果我们把它视为工具,并将其视为对我们所做的任何事情的支持,无论它是网络安全的白色一面还是非白色一面,我认为无论哪种方式,我们都有能力以许多不同的方式利用AI。”
AI防御者将面临的网络威胁
尽管很难预见随着AI技术的发展,防御者将面临哪些类型的威胁,但攻击者大规模生成合成内容的能力是一个最令人担忧的问题。“综合生成新的或看似真实的内容的能力将非常具有危害性。如果你举一个发生在民族国家层面的事情为例,如果一个民族国家攻击者试图为一系列账户在网上建立一个存在,让它们看起来像是真实的,那就有一个完整的过程。”
“你创建一个新的账户,在里面放一堆内容,然后让它互动。通常情况下,威胁参与者多年来一直让人们这样做,在网上建立这些身份,它看起来像是真人,花了大量的人类时间和精力来综合创造这些东西,并在这些时间段里让它们成熟,ChatGPT的内容生成可以为你完成所有这些工作。现在,它只是编写一些代码来自动化处理,它正在改变攻击者在音量水平上所能做的事情的格局。”
当谈到攻击者目前使用的最常见的恶意AI用例——改进钓鱼电子邮件的语言时,网络防御者正在迅速应对这一挑战。Makhani说:“钓鱼的例子是一个很好的例子,说明了一种对双方都有效的技术。”因此,邪恶的用户使用AI、ChatGPT或其他生成模型来创建更好的钓鱼电子邮件,但另一方面,我们正在开发的工具采用了许多类似的技术来检测这些网络钓鱼电子邮件或其他类型的垃圾邮件中的模式。“。
“AI将使攻击者更容易进行更好的钓鱼攻击,但它也不可避免地会使防御变得更强大。”Morgan说。
需要谨慎实施AI技术
AI技术快速、复杂,而且在运营中往往不透明,如果不仔细实施,会不会给网络捍卫者带来负担?包括三星、苹果、Spotify、Verizon和亚马逊在内的越来越多的公司正在限制员工使用ChatGPT,以避免一种这样的责任:泄露敏感的客户或企业数据。
自美国证交会10月下旬指控SolarWinds及其CISO在涉嫌已知的网络安全风险和漏洞方面存在欺诈和内部控制失误以来,围绕组织网络安全做法的质疑进一步加剧,这一事态发展在信息安全界引发了激烈辩论。Phylum的Morgan说:“将会出现涉及AI的新攻击,我认为你不能指望或合理地起诉一个没有防御的人,因为它们可能是全新的。”
Axonius的Trauner认为,该行业已经在主动监控AI风险和责任。只需看看一堆已经出来的框架,你就能看出安全行业对这里的风险和责任给予了非常仔细的关注。对于大型语言模型应用程序,已经有了OWASP前10名。NIST发布了其AI风险管理框架,还有拜登的行政命令。
AI发展如此之快,Trauner说:“关于这项技术,我要说的是,它与我亲身经历过的许多其他技术不同,它的进步速度是独一无二的,我还没有见过任何东西发展得如此之快。”