С момента выхода в прошлом году ChatGPT постоянно попадает в заголовки газет. Некоторые организации рассматривают разработку как потенциальный инструмент кибербезопасности, другие говорят, что она сопряжена с риском для кибербезопасности.
Здесь мы беседуем с Кевом Брином, директором по исследованиям киберугроз в Immersive Labs.
Журнал о безопасности: Какова ваша должность и опыт работы?
Брин: У меня всегда был интерес к технологиям, с тех пор как я был молод. Я вступил в британскую армию в возрасте 18 лет, где прослужил 15 лет, работая с системами связи и развертываемыми сетями, прежде чем защищать сети Министерства обороны (МО) от кибератак и национальных государств.
Примерно в это же время я начал публиковать исследования сообщества кибербезопасности, делясь знаниями и расстраивая изрядную долю авторов вредоносных программ, которые стали оскорблять меня лично в своем коде.
После службы в армии я стал главным аналитиком CIRT в высокотехнологичной компании в области аэрокосмической промышленности, обороны и безопасности, прежде чем присоединился к Immersive Labs. В Immersive Labs я возглавлял команду, которая создает практические лаборатории, помогающие организациям создавать и доказывать кибервозможности, и теперь трачу большую часть своего времени на изучение новых и появляющихся угроз и уязвимостей, чтобы создать практические среды, позволяющие киберлидерам протестировать навыки red и blue team против этих угроз.
Журнал Security: Как, по вашему мнению, искусственный интеллект (ИИ) повлиял на сферу кибербезопасности за последние месяцы?
Брин: Если мы будем честны сами с собой, мы пока не знаем ничего нового, чего бы раньше не считали киберугрозой. Но что нового, так это то, что инструменты ИИ в последние дни стали намного более доступными и действенными, что стало катализатором серьезных изменений в нашем обществе и состоянии кибербезопасности.
Конфиденциальность была в центре внимания организаций, обеспокоенных влиянием этих ИИ на рабочем месте. Samsung недавно запретила всем сотрудникам использовать его из-за опасений, что он получает конфиденциальные корпоративные данные. Италия также применила общенациональный подход, блокируя OpenAI для своих граждан из-за опасений по поводу обработки данных и GDPR. OpenAI открыл дверь этим крупным, мощным, способным помощникам и, похоже, начал глобальную гонку технологических вооружений с крупными технологическими гигантами США, соперничающими за звание лучших в своем классе, и теперь Alibaba и Baidu запускают свои собственные сервисы, в то время как китайские регуляторы опубликовали проект правил для управления этими мощными новыми инструментами.
Журнал о безопасности: ChatGPT попал в заголовки газет с момента своего выхода в ноябре 2022 года. Хотя некоторые организации рассматривают это как потенциальный инструмент кибербезопасности, ИТ и другие технологии искусственного интеллекта сопряжены с риском кибербезопасности. Можете ли вы привести нам несколько примеров того, как ИИ может быть активом и угрозой для кибербезопасности?
Брин: Что мне больше всего нравится в больших языковых моделях (LLM), таких как ChatGPT, и более новых записях, таких как Bard и Hugging Chat, так это то, как они могут снизить барьер для входа для команд безопасности, которые имеют дело со сложными проблемами. Это похоже на то, что рядом есть помощник, который понимает и пытается помочь.
Некоторые примеры этого в области киберзащиты включают:
Интерпретация кода и журналов — Мы часто видим, как злоумышленники используют скрипты Powershell и инструменты командной строки для компрометации. Предоставление фрагментов кода LLM и просьба объяснить, что делает код, является отличным примером этого. Более старшие аналитики смогут сделать это самостоятельно, основываясь на существующих знаниях и опыте, теперь младшие могут извлечь ту же выгоду, не мешая своим старшим коллегам.
Поскольку ИИ поддерживает диалог и использует историю каждого разговора для предоставления контекста, они могут выполнять такие действия, как попросить его создать запрос Splunk для обнаружения выполнения вредоносного Powershell.
Интеллектуальный поиск в Google — Примером здесь является то, что у вас есть некоторые необработанные данные журнала, которые вы собрали во время расследования, или, возможно, некоторые веб-журналы. Вы хотите быстро отфильтровать журналы, чтобы подсчитать количество IP-адресов, которые запросили определенный файл, и упорядочить их. Большинство людей ищут в Интернете, как фильтровать журналы, находят близкий вопрос о переполнении стека, пробуют его, а затем изменяют, чтобы он выполнял то, что они хотят. Этот процесс может занять несколько минут, если вы сможете найти разумный ответ в первую очередь. Напротив, ввод этого же вопроса с примером строки журнала в инструмент искусственного интеллекта, такой как ChatGPT, дает вам конкретную команду, которую вам нужно выполнить за считанные секунды.
Создание кода — В последнее время в отрасли много разговоров о том, как ИИ может писать вредоносные программы и другой вредоносный код. Хотя это верно, это не “совсем верно” в том смысле, что это не простой случай “напишите мне вредоносное ПО”. ИИ приходится принуждать к написанию его небольшими частями, которые затем собираются во что-то большее и вредоносное. Злоумышленникам гораздо проще искать существующие вредоносные программы и методы обфускации в репозитории с открытым исходным кодом.
Я вижу, что это оказывает наибольшее влияние так же, как мы используем его в качестве защитников, чтобы объяснять вещи и генерировать код для нас. Одним из примеров является то, что это полезно при поиске ошибок и исследованиях безопасности, где вы можете использовать инструмент, подобный Burp, для перехвата и изменения трафика. Вы можете привести примеры таких запросов к инструменту искусственного интеллекта и попросить его объяснить код или “создать мне скрипт, который может изменять и отправлять эти запросы”.
Журнал Security: Какой совет вы можете дать руководителям корпоративной кибербезопасности по защите своих команд от возникающих угроз?
Брин: Что касается использования ИИ организациями, у меня есть два совета: Во-первых, установите приемлемую политику использования ИИ на вашем рабочем месте, которая определяет, что, где и как можно использовать или интегрировать, сохраняя при этом правильную сторону защиты IP и конфиденциальности данных. Во-вторых, генеративные инструменты ИИ служат командам, разработанным для них людьми, и они часто “что-то придумывают” для достижения этого результата. Это часто называют “галлюцинациями”, поэтому относитесь ко всему, что говорит инструмент искусственного интеллекта, с долей скептицизма.
Рассматривая общую картину, ИИ на самом деле не является крупнейшей возникающей угрозой, с которой предприятия сталкиваются сегодня. Злоумышленники больше стремятся поставить под угрозу цепочку поставок как средство достижения организаций с высокой степенью защиты периметра. Злоумышленники из цепочки поставок добились успеха, если вспомнить несколько недавних инцидентов, таких как SolarWinds, Kaseya и 3CXDesktop.
Критически важно реагировать на “Нулевые дни” и идти в ногу с атакующими. У нас есть много прошлых примеров, когда злоумышленники быстро использовали эти уязвимости в течение нескольких часов или дней после их появления. Log4j, Outlook NTLM и PaperCut – некоторые из наиболее громких атак, в ответ на которые требовалось быстрое исправление систем.