ChatGPT: Teman atau Lawan?

24 Februari 2023

Oleh Rodman Ramezanian - Pemimpin Ancaman Cloud Global, Skyhigh Security

Kecuali jika Anda tinggal di bawah batu, Anda pasti sudah pernah membaca atau mendengar tentang ChatGPT sekarang. Chatbot yang digerakkan oleh AI ini telah menarik minat jutaan pengguna aktif setiap harinya, mendorong semua jenis ide dan kasus penggunaan yang berbeda - mulai dari menulis esai untuk proyek sekolah, menyusun makalah bisnis teknis, bahkan memberi penghormatan kepada mendiang rapper seperti Tupac Shakur yang berpantun fiktif tentang keamanan siber (sangat disarankan untuk sedikit bersenang-senang), dan semua yang ada di antaranya.

Tampaknya kemungkinan dengan ChatGPT tidak terbatas.

Penggunaan Kecerdasan Buatan (AI) dalam keamanan siber bukanlah hal yang baru; produk keamanan telah memanfaatkan AI dan Machine Learning (ML) selama bertahun-tahun. Misalnya, AI/ML saat ini biasa digunakan untuk menganalisis lalu lintas dan data secara real-time, yang pada akhirnya untuk mengidentifikasi aktivitas anomali sebelum berujung pada pelanggaran keamanan. Inovasi seperti ini sangat disambut baik karena dapat memberikan wawasan lebih awal kepada tim keamanan tentang indikator potensi pelanggaran.

Implikasi

Terlepas dari manfaat yang dibawa AI dan ML ke ranah keamanan siber, ChatGPT mewakili tingkat risiko potensial yang baru. Sementara banyak alat yang dipandu AI berfokus pada pendeteksian dan pencegahan aktivitas yang mencurigakan, ChatGPT memiliki kemampuan untuk secara aktif membantu para pelaku ancaman dalam upaya mereka menyerang sistem.

Saya akan mendemonstrasikan ini dengan sebuah contoh. ChatGPT tidak akan benar-benar menulis email phishing dengan semua yang saya perlukan untuk meluncurkan serangan (lihat di bawah ini - sepertinya ada filter etika yang belum sempurna).

Namun, ini akan menulis template email yang tidak berbahaya mengenai acara kerja fiktif yang dapat digunakan dengan sedikit usaha untuk tujuan phishing (di bawah)

Sekarang, seseorang dapat berargumen bahwa aktor jahat sudah mengotomatiskan serangan dan memanfaatkan beberapa bentuk model AI/ML untuk mencapai efisiensi mereka sendiri. Mengikuti alur pemikiran yang sama, bagaimanapun juga, ChatGPT dapat dilihat sebagai sebuah hadiah bagi mereka. Ini dapat dengan mudah memperluas wawasan mereka dengan memungkinkan mereka menghasilkan serangan unik dalam jumlah yang sangat besar, sehingga meluncurkan serangan yang terkoordinasi dan bertarget dalam skala yang luas.

Pada acara Skyhigh Sales Kick-Off kami baru-baru ini di Las Vegas, CEO kami, Gee Rittenhouse, membagikan contoh mengerikan tentang bagaimana seorang siswa kelas empat secara teknis sekarang dapat menggunakan ChatGPT untuk tujuan pendidikan untuk memformulasikan serangan buffer overflow untuk peramban web yang umum digunakan.

Berpikirlah sejenak dengan gambaran yang lebih besar: ini berarti kita tidak hanya mencoba menggagalkan peretas yang sangat terampil yang tahu cara mengatasi eksploitasi dan kerentanan yang canggih; kita juga berpotensi menghadapi pasukan yang jauh lebih besar yang terdiri atas para pemula, anak muda, dan pada dasarnya semua pengguna web yang ingin tahu yang bisa mengakses chat.openai.com

Di sisi lain, dapatkah ChatGPT digunakan untuk membantu organisasi mengamankan sistem mereka dengan lebih baik?

Tidak diragukan lagi bahwa kekuatan dan kemampuan ChatGPT dapat dimanfaatkan untuk menghasilkan data dalam jumlah besar: memfasilitasi uji stres sistem, melakukan uji fuzzing terhadap pengembangan perangkat lunak, dan bahkan mungkin mensimulasikan aktor jahat untuk latihan meja respons insiden.

Makanan untuk Pemikiran

Meskipun ChatGPT dapat digunakan untuk memperkuat pertahanan kita, namun juga dapat dieksploitasi oleh aktor jahat untuk melakukan serangan dengan lebih mudah dan efektif, seperti yang telah ditunjukkan pada contoh sebelumnya. Oleh karena itu, penting bagi praktisi keamanan untuk tetap waspada dan terus mengikuti perkembangan terbaru dalam AI dan bagaimana AI dapat digunakan dalam ranah keamanan siber.

Hal ini berarti tidak hanya menyadari potensi manfaat dari alat-alat ini, tetapi juga bersiap untuk melindungi diri dari potensi penyalahgunaannya. Seperti halnya teknologi apa pun, sangat penting untuk memahami risikonya dan mengambil langkah untuk memitigasinya.

Skyhigh SecurityCloud Registry menawarkan lensa berbasis risiko yang komprehensif ke lebih dari 30.000 layanan SaaS, PaaS, dan IaaS - dengan ChatGPT sebagai salah satunya.

Dalam Cloud Registry ini, Skyhigh Security menghitung dan memberikan peringkat CloudTrust kepada setiap layanan cloud yang mengindikasikan kesiapan perusahaan, menggunakan rata-rata tertimbang dari 55 Atribut Risiko yang dikembangkan bersama Cloud Security Alliance (CSA). Atribut-atribut ini mencakup kategori Data, Pengguna/Perangkat, Layanan, Bisnis, Hukum, dan Cyber. Ini menormalkan hasil ke nilai antara 1 dan 9. Perusahaan menggunakan peringkat CloudTrust sebagai bagian dari penentuan kebijakan tata kelola cloud.

Sebagai seorang praktisi keamanan, setelah Anda mengidentifikasi risiko yang terkait dengan layanan/entitas tertentu, pada akhirnya Anda pasti ingin mengajukan tiga pertanyaan:

• Apakah ada pengguna kami yang pernah menjelajahi/menggunakan situs ini? Jika ya, berapa banyak? Dan siapa saja?
• Apakah ada bagian dari infrastruktur web dan cloud kami yang mengakses layanan ini?
• Dan jika salah satu dari dua pertanyaan pertama menghasilkan jawaban "ya", berapa banyak data yang telah ditransaksikan antara organisasi Anda dan layanan tersebut?

Setelah Anda mengetahui apa yang Anda hadapi, Anda dapat mengambil tindakan yang tepat untuk melindungi perangkat, web, dan lingkungan cloud Anda.

Dari analisis telemetri Skyhigh Securitysecara global, kami melihat bahwa antara Nov 2022 - Feb 2023:

Ketika Anda menghadapi mesin AI canggih dan terdepan yang tersedia secara gratis di web, inilah jenis visibilitas, wawasan, dan kontrol yang Anda perlukan di seluruh lingkungan Anda.

Membungkus

ChatGPT masih dalam tahap awal, dan sudah ada banyak masalah moral yang perlu dipertimbangkan dalam penggunaannya.

Tidak sulit untuk membayangkan masa depan di mana chatbot AI yang canggih membuat hidup kita lebih mudah dan pekerjaan kita lebih baik. Namun, bukan tidak mungkin juga bahwa peretas mungkin akan lebih unggul dalam menggunakan ChatGPT secara lebih efektif untuk tujuan jahat.

Pada akhirnya, bagaimanapun juga, dalam perjuangan kita untuk meningkatkan timbangan pertahanan dunia maya yang menguntungkan kita, jika sesuatu seperti ChatGPT dapat membantu para pelaku kejahatan dengan cara apa pun, dalam bentuk apa pun, maka hal ini patut menjadi perhatian dan keprihatinan kita!

Lihatlah solusi perlindungan Skyhigh Securitydan minta demo untuk membuktikannya sendiri.