ChatGPT爆火背后的安全威胁 企业如何防范生成式AI的潜在风险?
去年年底,OpenAI突然发布了语言AI模型ChatGPT,立即引起了轰动,仅一周内就获得了超过100万的注册用户,其超强的上下文理解,泛化,学习和推理能力让无数人为之震惊,无论是撰写婚礼致辞、学术论文还是编写代码,ChatGPT都能轻松拿捏,众多文字工作者都纷纷表示要被AI取代,可谓是一石激起千层浪。
不过,在惊叹于人工智能可以切实改变世界的同时,更多人也开始关注ChatGPT带来的潜在安全威胁。今年1月份,就有一些网络犯罪分子利用ChatGPT编写恶意软件并在地下论坛吹嘘。而Check Point Research最近发表的一篇文章更是指出了如何使用AI模型创建一个从鱼叉式网络钓鱼到反弹shell的完整感染流程,可以快速生成多个有变化的脚本,还可以将复杂的攻击过程自动化,使用LLMs API生成其他恶意工件。换句话说,借助ChatGPT这样的AI技术,攻击者能够将大规模网络钓鱼的数量与有针对性的攻击(或鱼叉式网络钓鱼)相融合。
(资料图片)
虽说现在针对个人用户的攻击手段层出不穷,但钓鱼邮件在恶意软件攻击中所占的比例依然居高不下,ChatGPT在书写方面的特长则让形势变得更差,即便垃圾邮件过滤器已经足够强大,但危险的网络钓鱼邮件还是有机会“见缝插针”。普通人除了向服务商举报发件人之外几乎没有反制手段,但发布钓鱼邮件的攻击者却能通过邮件列表和ChatGPT做更多事情,就连ChatGPT的本人也在推文中承认,“我们已经离危险的强人工智能越来越近,这种人工智能会带来巨大的网络安全风险。未来十年,随着真正的通用人工智能(AGI)日益成为现实,我们不得不认真对待这种风险。”
这一趋势也引起了业内安全人士的广泛关注,负责支持和保护网络生活的云服务提供商Akamai就指出,2023年网络安全的首要威胁可能是犯罪服务,犯罪者可以在这些平台向那些本来无法进行网络攻击的人提供服务。由于ChatGPT能够加快恶意软件的创建过程而且不收取任何费用,这可能使犯罪服务对网络罪犯来说更加有利可图。犯罪软件企业将继续威胁任何规模的企业。他们可以帮助入门级的网络罪犯实施犯罪,这比直接对受害者实施犯罪赚得更多,而且风险更小。
那么,企业应该如何防范ChatGPT这样的生成式AI带来的潜在网络安全威胁呢?Akamai区域副总裁暨大中华区总经理李昇表示,“在日益复杂的网络攻击环境中,为了维护网络安全,确保用户能够在去中心化的网络中获得安全的数字体验,企业必须将安全厂商的产品和工具整合到自己的风险控制体系中,形成一套完整的风险控制体系。此外,企业应该充分利用在帮助客户保护系统免受此类攻击方面有丰富经验的资深平台数据和安全专家,还应该采取零信任方法来进一步加强自身的安全。”
Akamai区域副总裁暨大中华区总经理李昇
李昇口中的零信任是目前业内广泛流行的新一代网络安全防护理念,用于验证每个用户、设备、应用程序和交易。零信任意味着,任何用户或流程都不应该被信任。用一句通俗的话概括就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。
一旦企业部署零信任的安全架构,就能有效应对网络攻击。以网络钓鱼为例,主要指网络犯罪分子通过发送欺诈性信息窃取网上银行登录账号和密码、信用卡信息、企业登录凭证、密码/口令等保密信息的一种手段。网络钓鱼通常以电子邮件为途径,不过这种骗局现在已经从可疑的电子邮件扩展到电话(电话诈骗)、社交媒体、短信(短信诈骗)和应用程序。
而对电子邮件采取“零信任”的方法可以帮助组织机构将主要重点放在身份认证上,确保进入企业环境或终端用户收件箱的电子邮件来自合法的个人、品牌和域名,从而抵御电子邮件欺骗攻击。
在针对另一个高发的网络安全威胁:勒索软件时,零信任策略也能发挥作用,需要说明的是,勒索软件要想发挥作用就必须移动。无论勒索软件来自哪里,它都必须找到一个可以访问和加密高价值数据的地方。它在移动时往往需要多次跳转并跨越多个设备和服务器。每一次跳转都会产生纵向(即在用户设备和服务器之间移动)或横向(即在服务器之间移动)流量。因此,为了阻止勒索软件,必须检查和控制所有流量,验证流量是否获得授权和含有恶意软件。
因此,在每个人都采用零信任框架,即不再假定身份、设备和权限的有效性与授权的前提之下,采用零信任解决方案就可以阻止管家的攻击技术,以防止其在组织机构内部相互连接、错综复杂的设备、网络、应用程序、证书和数据库中横向移动。只有阻止这种跨越整个组织机构基础设施和架构的隐形渗透,才能有效、持续地阻止勒索软件,即便攻击者一开始已通过一些潜在的脆弱载体突破了外围。
不过,这种预防措施必须能够自动进行,而非完全依赖人工监控和事后反应,只有在设备和用户身份层面实时执行零信任流程、实践和工具,组织机构才能在数据被锁住并被勒索赎金之前有效地检测、抵御和减少勒索软件的影响。
另外要注意的是,威胁有时也会绕过防御措施。组织机构必须部署一项能够在勒索软件突破这些初始防御后,保护关键信息和基础设施的策略。因此,必须检查和控制横向流量(即内部服务器之间的流量)。在大多数情况下,勒索软件至少需要进行一次横向跳跃,才能找到高价值数据并造成破坏。如果遇到通过物理接触发起的攻击,唯一能够阻止勒索软件传播的方法可能就是防止该攻击在服务器之间跳转。
以Akamai的微分段技术(Akamai Guardicore Segmentation)举例,其微分段技术是防止恶意软件在企业内部传播的重要手段。该技术从逻辑上将企业划分为不同的部分,每个部分都有自己明确的安全控制措施,使每个进程只与它需要沟通的进程进行沟通。这种方法可以有效解决恶意软件通过横向移动在企业内部传播的问题。
同所有技术一样,ChatGPT本身是一把双刃剑,它让人们见证生成式AI无限潜力的同时,也不可避免地带来了一些潜在风险,要如何建立健全法律法规来监管生成式AI仍需要一段时间,截至目前,已经有69个国家的800多项AI政策倡议将要出台,但还没有涉及生成式AI模型的应用。例如,拜登政府的《人工智能权利法案》蓝图可以帮助组织机构和开发者管理消费级AI的风险,但它没有解决生成式AI工具独有的问题。欧盟宣布计划根据《欧盟人工智能法》对生成式AI(包括通用AI系统内的生成式AI)进行监管,尤其是围绕用于训练它们的数据。
而从企业自身出发,构建一套以零信任为基础的完整风险控制体系尤为重要,企业和组织应该将端到端的零信任策略扩展到企业的所有实体,包括身份、网络和应用程序,实现所有元素的整合,而非松散的单点解决方案。
对此,Akamai提供了从传统到现代、从Windows到Linux、从本地到虚拟化和容器等领域的全方位零信任解决方案。企业无需安装、运行和修复多种安全产品,只需要通过Akamai的零信任解决方案即可获得所有必要的技术,享受更低的成本和更高的运营效率,实实在在地走在威胁和网络攻击前面。
零信任网络安全——软件定义边界SDP技术架构指南
进入购买
标签:
