ChatGPT等有效的自然语言处理工具的出现,意味着是时候开始了解如何加强对人工智能支持的网络攻击的防御了。大型语言模型(LLMs)的自然语言生成功能非常适合网络犯罪最重要的攻击载体之一:网络钓鱼。网络钓鱼依赖于愚弄受害者,大规模生成有效语言和其他内容的能力是黑客的主要工具。
幸运的是,有几种好方法可以减轻这种日益严重的威胁。以下是在人工智能网络钓鱼时代做好准备的7条指导方针:
1. 了解威胁
负责网络安全的领导者可以通过了解我们在机器学习(ML)作为黑客工具的故事中所处的位置来领先于游戏。目前,围绕人工智能的网络安全最重要的相关领域是内容生成。这是机器学习取得最大进步的地方,它很好地吻合了黑客与网络钓鱼及恶意聊天机器人等向量的关系。任何能够访问ChatGPT的人——基本上就是任何可以连接互联网的人——都可以制作引人注目的、内容精良的文本。
IT管理公司Flexera的首席信息官Conal Gallagher表示,“寻找错误的语法和拼写已经成为过去式,甚至在chatgpt出现之前,钓鱼邮件就已经变得越来越复杂。我们必须问:‘这封电子邮件是预期的吗?发件人地址合法吗?这封邮件是否在引诱你点击链接?’安全意识培训在此处仍有用武之地。”
Gallagher再次强调了网络安全公司WithSecure的研究,该研究演示了与ChatGPT的一系列交互,其中人工智能可以生成有效的钓鱼邮件。这项研究和其他研究证实了我们自己可以确认的事实,即旨在阻止人工智能工具被用于非法目的的安全轨道是不可靠的,而且定制工具正在为此目的而构建。
我们必须认识到,人工智能现在可以用来生成有效的内容,而且它会在这方面做得越来越好。LLM工具将得到改进,黑客将更容易使用它们,并且将为它们创建定制工具。现在是开始考虑并采取措施加强安全政策的好时机。
可预见的是,网络钓鱼内容不仅变得更引人注目,而且更具针对性,能够包含时间、地点和事件的具体信息。员工们再也不能依靠明显的迹象来判断电子邮件是否存在恶意。图像,甚至音频和视频,都可以通过内容生成技术伪造。在此必须不断地重申,任何意料之外的电子邮件都是可疑的。
2. 心态和文化是主要的防御手段
联邦调查局网络部门的退休监督特工Scott Augenbaum表示,“如果最终用户掌握了一些关键知识,那么90%的网络犯罪活动都可以轻松预防。我们为什么不从那里开始呢?你的第一道防线是成为你自己的人肉防火墙,也就是说,人的心态是网络安全的核心。因此,在企业内部培养这种心态是关键。”
KnowB4首席执行官Stu Sjouwerman补充道,企业文化支撑比战略重要,而且这种文化必须是自上而下的。员工的日常思维和行为是企业的底线免疫系统,员工安全意识的持续培训是关键。对于支持人工智能的网络钓鱼,重要的信息是,电子邮件和其他通信不应该基于其语言的精致和复杂程度来给予权重,现在对员工的警惕性要求更高。
3. 强调采取适当的行动
电子邮件和软件基础设施的其他元素提供了内置的基本安全性,在很大程度上保证我们在采取行动之前不会遇到危险。这就是我们可以在心态中设置警戒线的地方:当我们采取行动时,我们应该高度意识到我们正在采取的行动是什么。直到员工发送回复、运行附件或填写表单,敏感信息才有风险。我们心理上的第一道防线应该是:“我所查看的内容是否合法,不仅基于其内部方面,而且考虑到整个上下文?”我们心理上的第二道防线就是:“等等!我被要求在这里做点什么。”
当用户在收到网络钓鱼尝试后更进一步时,这对恶意行为者来说是一个巨大的胜利:只有有了这个元素,攻击才能继续进行。安全专业人员应该对自己、员工以及任何相关人员进行培训。
当然,在做汇款之类的事情时,应该提高警惕。在深度造假(deepfake)场景中,甚至有员工认为他们的上级给他们发送了合法的汇款指示。高度重要的通信应在第二个不可识别的通道中进行验证。面对这种情况,每个人的第一反应都应该是直接访问该公司,寻找相关信息,而不是点击链接。
4. 运行网络钓鱼模拟
要了解一家企业在打击网络钓鱼方面做得如何,唯一的方法就是运行模拟测试。使用人工智能生成的内容进行网络钓鱼活动是对抗威胁的重要组成部分。开展一场有效的活动本身就是一个话题,但一场好的活动的根本在于设定具体的目标;可以测量的度量标准应该用于指导测试。一个很好的例子是测量钓鱼电子邮件被报告的频率,然后在该指标上移动指针。
在开展反钓鱼运动的过程中,它还将帮助人们了解人工智能工具在有效生成内容方面的作用。这将有助于加强认真对待这一问题的必要性。JumpCloud安全工程师Trevor Duncan表示,“虽然人工智能是持久的,但通过经常加强安全最佳实践,并将其进行测试,组织的安全是有可能具有弹性的。如果组织目前还没有让员工参与模拟社会工程攻击,这将是一个很好的开始,可以添加到2023年的计划中,以改善组织的安全态势,并为安全计划带来弹性。”
5. 整合自动化AI检测的工具
OpenAI(ChatGPT背后的公司)和其他公司已经发布了检测人工智能生成文本的工具。这些工具将与NLP生成器一起不断改进,它们可以被集成和自动化,以帮助检测恶意内容。在评估什么是合法内容时,许多电子邮件扫描工具供应商开始利用人工智能来帮助微调其理解元数据和位置等上下文的方式。以其人之道还治其人之身——即用AI来对付AI——是未来网络安全的重要组成部分。
钓鱼检测是整体网络和基础设施战略的关键部分,当人工智能辅助的基础设施侦察和渗透与人工智能辅助的检测和预防相结合时,钓鱼检测将尤为有效。许多顶级安全公司正在把这类工具纳入他们的产品中,比如Okta和DarkTrace。
Okta客户身份CISO Jameeka Green Aaron表示,“机器人是攻击者的有效工具,因为它们利用人工智能和机器学习来快速适应和克服不断变化的安全态势。而如果我们想保持领先,就必须利用自动化来获取实时威胁情报,以及自适应认证,这是一种基于位置、设备状态和最终用户行为等因素验证用户身份的方法。”
人工智能检测是机器学习研究中的一个活跃前沿。这项研究将继续被引入企业,作为打击人工智能网络钓鱼的工具,这应该是我们在未来几个月密切关注的领域。
6. 提供一个简单的机制来报告网络钓鱼
在处理基于人工智能的攻击时,发出网络钓鱼安全警报是至关重要的。因为人工智能活动可以更有效地大规模部署,所以在它们进一步展开时及时识别它们很重要;它可以让你快速通知员工,并为反钓鱼工具和人工智能检测模型提供关键输入。
除了使提交报告变得容易之外,还要确保该机制捕获尽可能多的信息,以提高其价值并使其可操作。将电子邮件转发到报告地址有利于捕获电子邮件中的所有标题和元数据,具有简单表单的门户网站有利于报告钓鱼网站等。政府越来越多地鼓励组织践行DMARC(基于域的消息认证、报告和一致性)策略以及CISA,它提供了许多建议。
网络钓鱼报告是任何强大的安全基础设施的重要组成部分,有效的报告在人工智能活动的背景下变得尤为重要,因为攻击者通过自动化、收集和合并这些信息来扩展鱼叉式网络钓鱼式攻击(结合组织内部细节的攻击)的能力得到了提升。在运行网络钓鱼检测和报告系统的测试时,这是一个值得关注的方面。
7. 合并防钓鱼认证
基于密码的认证本质上很容易受到网络钓鱼的攻击,而验证码等技术尤其容易受到人工智能的攻击。另一方面,有一些身份验证方法可以抵抗网络钓鱼。密钥可能是最防钓鱼的身份验证模式。这些仍在开发和部署中,但正变得越来越主流。
此外,多因素身份验证(MFA)也有帮助,因为如果部署了二级身份验证机制,那么仅仅在钓鱼网站或交互中暴露用户名、密码组合还不足以让黑客访问资源。
参考及来源:https://www.csoonline.com/article/3690418/7-guidelines-for-identifying-and-mitigating-ai-enabled-phishing-campaigns.html