กุมภาพันธ์ 24, 2023
โดย Rodman Ramezanian - Global Cloud Threat Lead, Skyhigh Security
หากคุณไม่ได้อาศัยอยู่ใต้ก้อนหิน คุณคงเคยอ่านหรือเคยได้ยินเกี่ยวกับ ChatGPT มาแล้ว แชทบอทที่ขับเคลื่อนด้วย AI นี้ได้กระตุ้นความสนใจ ของผู้ใช้ที่ใช้งานอยู่หลายล้านคนต่อวัน โดยเติมเชื้อเพลิงให้กับแนวคิดและกรณีการใช้งานที่แตกต่างกันทุกประเภท ตั้งแต่การเขียนเรียงความสําหรับโครงการของโรงเรียน ไปจนถึงการเขียนเอกสารทางธุรกิจทางเทคนิค แม้กระทั่งการจ่ายส่วยให้กับแร็ปเปอร์ผู้ล่วงลับอย่าง Tupac Shakur ที่สมมติขึ้นเกี่ยวกับความปลอดภัยทางไซเบอร์ (แนะนําเป็นอย่างยิ่งเพื่อความสนุกสนานเล็กน้อย) และทุกสิ่งในระหว่างนั้น
ดูเหมือนว่าความเป็นไปได้ของ ChatGPT นั้นไร้ขีดจํากัด
การใช้ปัญญาประดิษฐ์ (AI) ในการรักษาความปลอดภัยทางไซเบอร์ไม่ใช่เรื่องแปลกใหม่ ผลิตภัณฑ์รักษาความปลอดภัยใช้ประโยชน์จาก AI และการเรียนรู้ของเครื่อง (ML) มาหลายปีแล้ว ตัวอย่างเช่น AI/ML มักใช้ในปัจจุบันเพื่อวิเคราะห์ทราฟฟิกและข้อมูลแบบเรียลไทม์ ซึ่งท้ายที่สุดเพื่อระบุกิจกรรมที่ผิดปกติก่อนที่จะเกิดการละเมิดความปลอดภัยในที่สุด นวัตกรรมเช่นนี้ยินดีเป็นอย่างยิ่งเมื่อพวกเขาสามารถให้ข้อมูลเชิงลึกก่อนหน้านี้แก่ทีมรักษาความปลอดภัยเกี่ยวกับตัวบ่งชี้ที่เป็นไปได้ของการประนีประนอม
ผล กระทบ
แม้ว่า AI และ ML จะมีประโยชน์ต่อการรักษาความปลอดภัยทางไซเบอร์ แต่ ChatGPT ก็แสดงถึงความเสี่ยงระดับใหม่ที่อาจเกิดขึ้น แม้ว่าเครื่องมือที่นําโดย AI จํานวนมากจะมุ่งเน้นไปที่การตรวจจับและป้องกันกิจกรรมที่น่าสงสัย แต่ ChatGPT มีความสามารถในการช่วยเหลือผู้คุกคามอย่างแข็งขันในความพยายามที่จะโจมตีระบบ
ฉันจะสาธิตสิ่งนี้ด้วยตัวอย่าง ChatGPT จะไม่เขียนอีเมลฟิชชิ่งพร้อมทุกสิ่งที่ฉันสมมุติฐานว่าจําเป็นสําหรับการโจมตี (ดูด้านล่าง – ดูเหมือนว่าจะมีตัวกรองจริยธรรมพื้นฐาน)
อย่างไรก็ตาม มันจะเขียนเทมเพลตอีเมลที่ไม่มีพิษภัยเกี่ยวกับเหตุการณ์การทํางานที่สมมติขึ้นซึ่งอาจเป็นอาวุธโดยใช้ความพยายามเพียงเล็กน้อยเพื่อวัตถุประสงค์ในการฟิชชิง (ด้านล่าง)
ตอนนี้ อาจมีคนโต้แย้งว่าผู้ประสงค์ร้ายทําการโจมตีโดยอัตโนมัติอยู่แล้ว และใช้ประโยชน์จากโมเดล AI/ML บางรูปแบบเพื่อให้ได้ประสิทธิภาพที่บิดเบี้ยวของตนเอง อย่างไรก็ตาม ตามขบวนความคิดเดียวกันนั้น ChatGPT อาจถูกมองว่าเป็นของขวัญสําหรับพวกเขา มันสามารถขยายขอบเขตอันไกลโพ้นได้อย่างง่ายดายโดยอนุญาตให้พวกเขาสร้างการโจมตีที่ไม่เหมือนใครจํานวนมหาศาลดังนั้นจึงเปิดตัวการโจมตีที่ประสานงานและกําหนดเป้าหมายในวงกว้าง
ในงาน Skyhigh Sales Kick-Off ล่าสุดของเราในลาสเวกัส Gee Rittenhouse ซีอีโอของเราได้แบ่งปันตัวอย่างที่บาดใจว่านักเรียนชั้นประถมศึกษาปีที่ 4 สามารถใช้ ChatGPT ในทางเทคนิคเพื่อวัตถุประสงค์ทางการศึกษา เพื่อกําหนดการโจมตีบัฟเฟอร์ล้นสําหรับเว็บเบราว์เซอร์ที่ใช้กันทั่วไป
คิดภาพใหญ่ขึ้นสักครู่ที่นี่: นั่นหมายความว่าเราไม่เพียง แต่พยายามขัดขวางแฮ็กเกอร์ที่มีทักษะสูงซึ่งรู้วิธีการหาประโยชน์และช่องโหว่ที่ซับซ้อนเท่านั้น ตอนนี้เราอาจเผชิญกับกองทัพที่ใหญ่กว่ามากของสามเณรที่สมบูรณ์เยาวชนและโดยพื้นฐานแล้วผู้ใช้เว็บที่อยากรู้อยากเห็นที่สามารถเข้าถึง chat.openai.com
ในทางกลับกัน สามารถใช้ ChatGPT เพื่อช่วยให้องค์กรรักษาความปลอดภัยระบบของตนได้ดีขึ้นหรือไม่
ไม่ต้องสงสัยเลยว่าพลังและความสามารถของ ChatGPT สามารถควบคุมเพื่อสร้างข้อมูลจํานวนมากได้: อํานวยความสะดวกในการทดสอบความเครียดของระบบทําการทดสอบที่คลุมเครือกับการพัฒนาซอฟต์แวร์และแม้แต่อาจจําลองผู้ประสงค์ร้ายสําหรับแบบฝึกหัดบนโต๊ะตอบสนองต่อเหตุการณ์
อาหารสมอง
แม้ว่า ChatGPT สามารถใช้เพื่อเสริมความแข็งแกร่งให้กับการป้องกันของเรา แต่ก็สามารถใช้ประโยชน์โดยผู้กระทําที่น่ารังเกียจเพื่อทําการโจมตีได้ง่ายและมีประสิทธิภาพมากขึ้นดังตัวอย่างที่แสดงไว้ก่อนหน้านี้ ดังนั้นจึงจําเป็นอย่างยิ่งที่ผู้ปฏิบัติงานด้านความปลอดภัยจะต้องระมัดระวังและติดตามข่าวสารล่าสุดเกี่ยวกับการพัฒนาล่าสุดของ AI และวิธีนําไปใช้ในขอบเขตของความปลอดภัยทางไซเบอร์
ซึ่งหมายความว่าไม่เพียง แต่ตระหนักถึงประโยชน์ที่อาจเกิดขึ้นของเครื่องมือเหล่านี้ แต่ยังเตรียมพร้อมที่จะป้องกันการใช้งานในทางที่ผิดที่อาจเกิดขึ้น เช่นเดียวกับเทคโนโลยีอื่นๆ สิ่งสําคัญคือต้องเข้าใจความเสี่ยงและดําเนินการเพื่อลดความเสี่ยงเหล่านั้น
Skyhigh SecurityCloud Registry นําเสนอเลนส์ตามความเสี่ยงที่ครอบคลุมในบริการ SaaS, PaaS และ IaaS มากกว่า 30,000 รายการ โดย ChatGPT เป็นเพียงหนึ่งในนั้น
ภายใน Cloud Registry นี้ Skyhigh Security คํานวณและกําหนดระดับ CloudTrust ให้กับบริการคลาวด์แต่ละรายการ ซึ่งระบุความพร้อมขององค์กร โดยใช้ค่าเฉลี่ยถ่วงน้ําหนัก 55 แอตทริบิวต์ความเสี่ยงที่พัฒนาร่วมกับ Cloud Security Alliance (CSA) แอตทริบิวต์เหล่านี้ครอบคลุมหมวดหมู่ข้อมูล ผู้ใช้/อุปกรณ์ บริการ ธุรกิจ กฎหมาย และไซเบอร์ มันทําให้ผลลัพธ์เป็นปกติเป็นค่าระหว่าง 1 ถึง 9 บริษัทต่างๆ ใช้การจัดอันดับ CloudTrust เป็นส่วนหนึ่งของการกําหนดนโยบายการกํากับดูแลระบบคลาวด์
รูป 1Skyhigh Security Cloud Registry: ภาพรวม
รูป 2Skyhigh Security Cloud Registry: ความเสี่ยง
ในฐานะผู้ปฏิบัติงานด้านความปลอดภัยเมื่อคุณระบุความเสี่ยงที่เกี่ยวข้องของบริการ / เอนทิตีที่กําหนดแล้วคุณจะต้องถามคําถามสามข้อ:
- มีผู้ใช้ของเราเรียกดู / ใช้สิ่งนี้หรือไม่? ถ้าเป็นเช่นนั้นกี่คน? และใครกันแน่?
- มีส่วนใดส่วนหนึ่งของโครงสร้างพื้นฐานเว็บและคลาวด์ของเราเข้าถึงบริการนี้หรือไม่
- และหากคําถามสองข้อแรกข้อใดข้อหนึ่งส่งผลให้ "ใช่" แสดงว่ามีการทําธุรกรรมข้อมูลระหว่างองค์กรของคุณกับบริการนั้นมากน้อยเพียงใด
เมื่อคุณรู้ว่าคุณกําลังเผชิญกับอะไรคุณสามารถดําเนินการที่เหมาะสมเพื่อปกป้องอุปกรณ์เว็บและสภาพแวดล้อมระบบคลาวด์ของคุณ
รูปที่ 3Skyhigh Security Cloud Registry: การใช้งาน
รูปที่ 4Skyhigh Security Cloud Registry: Traffic – อนุญาต | Synology Inc. URL ที่ถูกปฏิเสธ
จากการวิเคราะห์ Skyhigh Securityเราเห็นว่าระหว่างเดือนพ.ย. 2565 – ก.พ. 2566
เมื่อคุณเผชิญหน้ากับเอ็นจิ้น AI ขั้นสูงระดับแนวหน้าที่มีให้ใช้งานฟรีบนเว็บนี่คือการมองเห็นข้อมูลเชิงลึกและการควบคุมที่คุณต้องการในสภาพแวดล้อมทั้งหมดของคุณ
ห่อขึ้น
ChatGPT ยังอยู่ในช่วงเริ่มต้น และมีปัญหาทางศีลธรรมมากมายที่ต้องพิจารณาในการใช้งาน
ไม่ใช่เรื่องยากที่จะจินตนาการถึงอนาคตที่แชทบอท AI ขั้นสูงทําให้ชีวิตของเราง่ายขึ้นและงานของเราดีขึ้น อย่างไรก็ตาม ไม่ใช่เรื่องที่เป็นไปไม่ได้เช่นกันที่แฮ็กเกอร์อาจได้เปรียบในการใช้ ChatGPT อย่างมีประสิทธิภาพมากขึ้นเพื่อจุดประสงค์ที่ชั่วร้าย
ในท้ายที่สุด แม้ว่าในการต่อสู้ของเราที่จะให้ทิประดับการป้องกันทางไซเบอร์ในความโปรดปรานของเราหากบางอย่างเช่น ChatGPT สามารถช่วยเหลือผู้ไม่หวังดีในทางใดทางหนึ่งรูปร่างหรือรูปแบบใด ๆ มันก็คุ้มค่ากับความสนใจและความกังวลของเรา!
เช็คเอาท์ Skyhigh Securityโซลูชันการป้องกันและ ขอการสาธิต เพื่อดูด้วยตัวคุณเอง
กลับไปที่บล็อก