24 de fevereiro de 2023
Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem, Skyhigh Security
A menos que tenha vivido debaixo de uma pedra, já deve ter lido ou ouvido falar do ChatGPT. Este chatbot orientado por IA despertou o interesse de milhões de utilizadores activos por dia, alimentando todo o tipo de ideias e casos de utilização diferentes - desde escrever ensaios para projectos escolares, a compor documentos técnicos de negócios, até prestar homenagem a rappers falecidos como Tupac Shakur, rimando ficticiamente sobre cibersegurança (altamente recomendado para um pouco de diversão), e tudo o resto.
Parece que as possibilidades com ChatGPT são ilimitadas.
A utilização da Inteligência Artificial (IA) na cibersegurança não é propriamente uma novidade; há anos que os produtos de segurança tiram partido da IA e da Aprendizagem Automática (AM). Por exemplo, a IA/ML é normalmente utilizada hoje em dia para analisar o tráfego e os dados em tempo real, em última análise para identificar actividades anómalas antes de estas se transformarem em violações de segurança. Inovações como estas são extremamente bem-vindas quando podem oferecer às equipas de segurança uma visão antecipada de potenciais indicadores de comprometimento.
Implicações
Apesar dos benefícios que a IA e o ML trouxeram para o domínio da cibersegurança, o ChatGPT representa um novo nível de risco potencial. Embora muitas ferramentas orientadas por IA se tenham concentrado na deteção e prevenção de actividades suspeitas, o ChatGPT tem a capacidade de ajudar ativamente os agentes de ameaças nos seus esforços para atacar sistemas.
Vou demonstrar-lhe isto com um exemplo. O ChatGPT não escreveria um e-mail de phishing com tudo o que eu hipoteticamente precisaria para lançar um ataque (veja abaixo - parece haver um filtro ético rudimentar).
No entanto, escreveria um modelo de correio eletrónico inócuo relativo a um evento de trabalho fictício que poderia ser transformado em arma com muito pouco esforço para fins de phishing (abaixo)
Poder-se-ia argumentar que os agentes maliciosos já automatizam os ataques e aproveitam algumas formas de modelos de IA/ML para alcançar as suas próprias eficiências distorcidas. No entanto, seguindo essa mesma linha de pensamento, o ChatGPT pode ser visto como uma espécie de presente para eles. Pode muito facilmente alargar os seus horizontes, permitindo-lhes gerar enormes quantidades de ataques únicos, lançando assim ataques coordenados e direccionados em grande escala.
No nosso recente evento Skyhigh Sales Kick-Off, em Las Vegas, o nosso CEO, Gee Rittenhouse, partilhou um exemplo angustiante de como um aluno do quarto ano poderia, tecnicamente, utilizar agora o ChatGPT para fins educacionais para formular um ataque de estouro de buffer para um navegador da Web comumente usado.
Pensando num panorama mais alargado, isto significa que não estamos apenas a tentar frustrar os hackers altamente qualificados que sabem como contornar explorações e vulnerabilidades sofisticadas; podemos agora enfrentar um exército muito maior de completos novatos, jovens e basicamente qualquer utilizador curioso da Web que consiga aceder a chat.openai.com
Por outro lado, poderá o ChatGPT ser utilizado para ajudar as organizações a proteger melhor os seus sistemas?
Não há dúvida de que o poder e a capacidade do ChatGPT podem ser aproveitados para gerar enormes quantidades de dados: facilitar os testes de stress do sistema, realizar testes de fuzzing contra desenvolvimentos de software e até talvez simular actores maliciosos para exercícios de resposta a incidentes.
Alimento para o pensamento
Embora o ChatGPT possa ser utilizado para reforçar as nossas defesas, também pode ser explorado por agentes maliciosos para realizar ataques de forma mais fácil e eficaz, como mostram os exemplos anteriores. Por conseguinte, é essencial que os profissionais de segurança se mantenham vigilantes e actualizados sobre os últimos desenvolvimentos da IA e sobre a forma como esta pode ser utilizada no domínio da cibersegurança.
Isto significa não só estar ciente dos potenciais benefícios destas ferramentas, mas também estar preparado para se defender contra a sua potencial utilização indevida. Tal como acontece com qualquer tecnologia, é crucial compreender os riscos e tomar medidas para os atenuar.
Skyhigh SecurityO Cloud Registry da empresa oferece uma visão abrangente, baseada em riscos, de mais de 30.000 serviços SaaS, PaaS e IaaS - sendo o ChatGPT apenas um deles.
Dentro deste Cloud Registry, Skyhigh Security calcula e atribui a cada serviço de nuvem uma classificação CloudTrust que indica a sua prontidão empresarial, utilizando uma média ponderada de 55 Atributos de Risco desenvolvidos com a Cloud Security Alliance (CSA). Esses atributos abrangem as categorias Dados, Usuário/Dispositivo, Serviço, Negócios, Jurídico e Cibernético. Normaliza o resultado para um valor entre 1 e 9. As empresas utilizam a classificação CloudTrust como parte da definição das políticas de governação da nuvem.
Figura 1. Skyhigh Security Registo na nuvem: Visão geral
Figura 2. Skyhigh Security Registo na nuvem: Risco
Como profissional de segurança, depois de identificar os riscos associados a um determinado serviço/entidade, deve fazer três perguntas:
- Algum dos nossos utilizadores navegou/utilizou isto? Se sim, quantos? E quem exatamente?
- Alguma parte da nossa infraestrutura web e de nuvem acedeu a este serviço?
- E se qualquer uma das duas primeiras perguntas resultar num "sim", quantos dados foram transaccionados entre a sua organização e esse serviço?
Quando souber o que está a enfrentar, pode tomar as medidas adequadas para proteger os seus dispositivos, a Web e os ambientes de nuvem.
Figura 3. Skyhigh Security Registo na nuvem: Utilização
Figura 4. Skyhigh Security Registo na nuvem: Tráfego - URLs permitidos | URLs negados
Ao analisar a telemetria global do Skyhigh Security, vemos que entre novembro de 2022 e fevereiro de 2023:
Quando se depara com um motor de IA avançado e de ponta que está disponível gratuitamente na Web, este é o tipo de visibilidade, perceção e controlo de que necessita em todo o seu ambiente.
Concluir
O ChatGPT ainda está a dar os primeiros passos e já há muitas questões morais a considerar na sua utilização.
Não é difícil imaginar um futuro em que os chatbots com IA avançada tornam as nossas vidas mais fáceis e o nosso trabalho melhor. No entanto, também não é impossível que os hackers possam ganhar vantagem na utilização mais eficaz do ChatGPT para fins nefastos.
No entanto, na nossa luta para fazer pender a balança da ciberdefesa a nosso favor, se algo como o ChatGPT puder ajudar os maus actores de alguma forma, vale a pena prestar atenção e preocuparmo-nos!
Consulte as soluções de proteção da Skyhigh Securitye solicite uma demonstração para ver por si próprio.
Voltar aos blogues