फ़रवरी 24, 2023
रोडमैन रामेज़ानियन द्वारा - ग्लोबल क्लाउड थ्रेट लीड, Skyhigh Security
जब तक आप एक चट्टान के नीचे नहीं रह रहे हैं, आपने निश्चित रूप से अब तक चैटजीपीटी के बारे में पढ़ा या सुना होगा। इस एआई-संचालित चैटबॉट ने प्रति दिन लाखों सक्रिय उपयोगकर्ताओं के हितों को बढ़ाया है, सभी प्रकार के विभिन्न विचारों और उपयोग के मामलों को बढ़ावा दिया है - स्कूल परियोजनाओं के लिए निबंध लिखने से लेकर, तकनीकी व्यावसायिक पत्रों की रचना करने तक, यहां तक कि टुपैक शकूर जैसे दिवंगत रैपर्स को श्रद्धांजलि देने के लिए साइबर सुरक्षा के बारे में काल्पनिक रूप से तुकबंदी (थोड़ी मस्ती के लिए अत्यधिक अनुशंसित), और बीच में सब कुछ।
ऐसा लगता है कि चैटजीपीटी के साथ संभावनाएं असीमित हैं।
साइबर सुरक्षा में आर्टिफिशियल इंटेलिजेंस (एआई) का उपयोग बिल्कुल उपन्यास नहीं है; सुरक्षा उत्पादों ने वर्षों से एआई और मशीन लर्निंग (एमएल) का लाभ उठाया है। उदाहरण के लिए, AI/ML का उपयोग आजकल आमतौर पर वास्तविक समय में ट्रैफ़िक और डेटा का विश्लेषण करने के लिए किया जाता है, अंततः सुरक्षा उल्लंघनों में होने से पहले विषम गतिविधियों की पहचान करने के लिए। इस तरह के नवाचार बेहद स्वागत योग्य हैं जब वे सुरक्षा टीमों को समझौता के संभावित संकेतकों में पहले अंतर्दृष्टि प्रदान कर सकते हैं।
प्रभाव
एआई और एमएल ने साइबर सुरक्षा के दायरे में जो लाभ लाए हैं, उसके बावजूद चैटजीपीटी संभावित जोखिम के एक नए स्तर का प्रतिनिधित्व करता है। जबकि कई एआई-निर्देशित उपकरणों ने संदिग्ध गतिविधि का पता लगाने और रोकने पर ध्यान केंद्रित किया है, चैटजीपीटी में सिस्टम पर हमला करने के उनके प्रयासों में खतरे के अभिनेताओं की सक्रिय रूप से सहायता करने की क्षमता है।
मैं इसे एक उदाहरण के साथ प्रदर्शित करूंगा। ChatGPT वास्तव में एक फ़िशिंग ईमेल नहीं लिखेगा जिसमें मुझे काल्पनिक रूप से एक हमला शुरू करने की आवश्यकता होगी (नीचे देखें - एक अल्पविकसित नैतिक फ़िल्टर प्रतीत होता है)।
हालाँकि, यह एक काल्पनिक कार्य घटना के बारे में एक सहज ईमेल टेम्पलेट लिखेगा जिसे फ़िशिंग उद्देश्यों के लिए बहुत कम प्रयास के साथ हथियार बनाया जा सकता है (नीचे)
अब, कोई यह तर्क दे सकता है कि दुर्भावनापूर्ण अभिनेता पहले से ही हमलों को स्वचालित करते हैं और अपनी स्वयं की मुड़ क्षमता प्राप्त करने के लिए एआई/एमएल मॉडल के कुछ रूपों का लाभ उठाते हैं। हालाँकि, विचार की उसी ट्रेन के बाद, ChatGPT को उनके लिए कुछ हद तक एक उपहार के रूप में देखा जा सकता है। यह बहुत आसानी से उनके क्षितिज को व्यापक बना सकता है ताकि वे भारी मात्रा में अद्वितीय हमले कर सकें, जिससे विशाल पैमाने पर समन्वित और लक्षित हमले शुरू किए जा सकें।
लास वेगास में हमारे हालिया स्काईहाई सेल्स किक-ऑफ इवेंट में, हमारे सीईओ, जी रिटेनहाउस ने एक दु: खद उदाहरण साझा किया कि कैसे चौथी कक्षा का छात्र तकनीकी रूप से अब शैक्षिक उद्देश्यों के लिए चैटजीपीटी का उपयोग आमतौर पर इस्तेमाल किए जाने वाले वेब ब्राउज़र के लिए बफर ओवरफ्लो अटैक तैयार करने के लिए कर सकता है।
यहां एक सेकंड के लिए बड़ी तस्वीर सोचना: इसका मतलब है कि हम न केवल अत्यधिक कुशल हैकर्स को विफल करने की कोशिश कर रहे हैं जो परिष्कृत कारनामों और कमजोरियों के आसपास अपना रास्ता जानते हैं; हम संभावित रूप से अब पूर्ण नौसिखियों, युवाओं और मूल रूप से किसी भी जिज्ञासु वेब उपयोगकर्ता की एक बड़ी सेना का सामना कर सकते हैं जो chat.openai.com तक पहुंच सकते हैं
फ़्लिपसाइड पर, क्या ChatGPT का उपयोग संगठनों को उनके सिस्टम को बेहतर ढंग से सुरक्षित करने में मदद करने के लिए किया जा सकता है?
इसमें कोई संदेह नहीं है कि ChatGPT की शक्ति और क्षमता का उपयोग बड़ी मात्रा में डेटा उत्पन्न करने के लिए किया जा सकता है: सिस्टम तनाव-परीक्षणों को सुविधाजनक बनाना, सॉफ़्टवेयर विकास के खिलाफ फ़ज़िंग परीक्षण करना, और यहां तक कि शायद घटना प्रतिक्रिया टेबलटॉप अभ्यासों के लिए दुर्भावनापूर्ण अभिनेताओं का अनुकरण करना।
प्रेरणा
जबकि ChatGPT का उपयोग हमारे बचाव को मजबूत करने के लिए किया जा सकता है, इसका फायदा बुरा अभिनेताओं द्वारा अधिक आसानी से और प्रभावी ढंग से हमलों को अंजाम देने के लिए भी किया जा सकता है, जैसा कि पहले के उदाहरण दिखाते हैं। इसलिए सुरक्षा चिकित्सकों के लिए सतर्क रहना और एआई में नवीनतम विकास पर अद्यतित रहना आवश्यक है और साइबर सुरक्षा के क्षेत्र में इसका उपयोग कैसे किया जा सकता है।
इसका मतलब न केवल इन उपकरणों के संभावित लाभों से अवगत होना है, बल्कि उनके संभावित दुरुपयोग से बचाव के लिए भी तैयार रहना है। किसी भी तकनीक की तरह, जोखिमों को समझना और उन्हें कम करने के लिए कदम उठाना महत्वपूर्ण है।
Skyhigh Securityक्लाउड रजिस्ट्री 30,000 से अधिक SaaS, PaaS और IaaS सेवाओं में एक व्यापक जोखिम-आधारित लेंस प्रदान करती है - ChatGPT उनमें से सिर्फ एक है।
इस क्लाउड रजिस्ट्री के भीतर, Skyhigh Security प्रत्येक क्लाउड सेवा को क्लाउडट्रस्ट रेटिंग की गणना और असाइन करता है जो क्लाउड सिक्योरिटी एलायंस (सीएसए) के साथ विकसित 55 जोखिम विशेषताओं के भारित औसत का उपयोग करके इसकी उद्यम-तत्परता को इंगित करता है। ये विशेषताएँ डेटा, उपयोगकर्ता/डिवाइस, सेवा, व्यवसाय, कानूनी और साइबर श्रेणियों में फैली हुई हैं। यह परिणाम को 1 और 9 के बीच के मान पर सामान्य करता है। क्लाउड गवर्नेंस नीतियों को परिभाषित करने के एक भाग के रूप में कंपनियां क्लाउडट्रस्ट रेटिंग का उपयोग करती हैं।
चित्र 1. Skyhigh Security क्लाउड रजिस्ट्री: अवलोकन
चित्र 2. Skyhigh Security क्लाउड रजिस्ट्री: जोखिम
एक सुरक्षा व्यवसायी के रूप में, एक बार जब आप किसी दिए गए सेवा / इकाई के संबंधित जोखिमों की पहचान कर लेते हैं, तो आप अंततः तीन प्रश्न पूछना चाहेंगे:
- क्या हमारे किसी उपयोगकर्ता ने इसे ब्राउज़/उपयोग किया है? यदि हां, तो कितने? और वास्तव में कौन?
- क्या हमारे वेब और क्लाउड इन्फ्रास्ट्रक्चर के किसी हिस्से ने इस सेवा को एक्सेस किया है?
- और यदि पहले दो प्रश्नों में से किसी एक का परिणाम "हां" में होता है, तो आपके संगठन और उस सेवा के बीच कितना डेटा लेन-देन किया गया है?
एक बार जब आप जान जाते हैं कि आप किसके खिलाफ हैं, तो आप अपने उपकरणों, वेब और क्लाउड वातावरण की सुरक्षा के लिए उचित कार्रवाई कर सकते हैं।
चित्र 3. Skyhigh Security क्लाउड रजिस्ट्री: उपयोग
चित्रा 4. Skyhigh Security क्लाउड रजिस्ट्री: ट्रैफ़िक - अनुमत | अस्वीकृत URL
विश्लेषण करने से Skyhigh Securityविश्व स्तर पर टेलीमेट्री, हम देखते हैं कि नवंबर 2022 - फरवरी 2023 के बीच:
जब आप एक उन्नत, अग्रणी-बढ़त वाले एआई इंजन का सामना कर रहे होते हैं जो वेब पर स्वतंत्र रूप से उपलब्ध होता है, तो यह उस तरह की दृश्यता, अंतर्दृष्टि और नियंत्रण है जिसकी आपको अपने पूरे वातावरण में आवश्यकता होती है।
समेट रहा हु
ChatGPT अभी भी अपनी प्रारंभिक अवस्था में है, और इसके उपयोग पर विचार करने के लिए पहले से ही बहुत सारे नैतिक मुद्दे हैं।
ऐसे भविष्य की कल्पना करना मुश्किल नहीं है जिसमें उन्नत एआई चैटबॉट हमारे जीवन को आसान बनाते हैं और हमारे काम को बेहतर बनाते हैं। फिर भी, यह असंभव भी नहीं है कि हैकर्स नापाक उद्देश्यों के लिए चैटजीपीटी का अधिक प्रभावी ढंग से उपयोग करने पर ऊपरी हाथ हासिल कर सकते हैं।
अंततः, हालांकि, साइबर रक्षा के तराजू को हमारे पक्ष में टिपने के हमारे संघर्षों में, अगर चैटजीपीटी जैसा कुछ किसी भी तरह से, आकार या रूप में बुरे अभिनेताओं की सहायता कर सकता है, तो यह हमारे ध्यान और चिंता के लायक है!
देखो Skyhigh Securityसुरक्षा समाधान और अपने लिए देखने के लिए एक डेमो का अनुरोध करें।
ब्लॉग पर वापस जाएं