ChatGPT 等有效的自然语言处理工具的出现,意味着是时候开始了解如何加强对人工智能支持的网络攻击的防御了。大型语言模型(LLMs)的自然语言生成功能非常适合网络犯罪最重要的攻击载体之一:网络钓鱼。网络钓鱼依赖于愚弄受害者,大规模生成有效语言和其他内容的能力是黑客的主要工具。
幸运的是,有几种好方法可以减轻这种日益严重的威胁。以下是在人工智能网络钓鱼时代做好准备的 7 条指导方针:
1. 了解威胁
负责网络安全的领导者可以通过了解我们在机器学习(ML)作为黑客工具的故事中所处的位置来领先于游戏。目前,围绕人工智能的网络安全最重要的相关领域是内容生成。这是机器学习取得最大进步的地方,它很好地吻合了黑客与网络钓鱼及恶意聊天机器人等向量的关系。任何能够访问 ChatGPT 的人——基本上就是任何可以连接互联网的人——都可以制作引人注目的、内容精良的文本。
IT 管理公司 Flexera 的首席信息官 Conal Gallagher 表示," 寻找错误的语法和拼写已经成为过去式,甚至在 chatgpt 出现之前,钓鱼邮件就已经变得越来越复杂。我们必须问:‘这封电子邮件是预期的吗?发件人地址合法吗?这封邮件是否在引诱你点击链接?’安全意识培训在此处仍有用武之地。"
Gallagher 再次强调了网络安全公司 WithSecure 的研究,该研究演示了与 ChatGPT 的一系列交互,其中人工智能可以生成有效的钓鱼邮件。这项研究和其他研究证实了我们自己可以确认的事实,即旨在阻止人工智能工具被用于非法目的的安全轨道是不可靠的,而且定制工具正在为此目的而构建。
我们必须认识到,人工智能现在可以用来生成有效的内容,而且它会在这方面做得越来越好。LLM 工具将得到改进,黑客将更容易使用它们,并且将为它们创建定制工具。现在是开始考虑并采取措施加强安全政策的好时机。
可预见的是,网络钓鱼内容不仅变得更引人注目,而且更具针对性,能够包含时间、地点和事件的具体信息。员工们再也不能依靠明显的迹象来判断电子邮件是否存在恶意。图像,甚至音频和视频,都可以通过内容生成技术伪造。在此必须不断地重申,任何意料之外的电子邮件都是可疑的。
2. 心态和文化是主要的防御手段
联邦调查局网络部门的退休监督特工 Scott Augenbaum 表示," 如果最终用户掌握了一些关键知识,那么 90% 的网络犯罪活动都可以轻松预防。我们为什么不从那里开始呢?你的第一道防线是成为你自己的人肉防火墙,也就是说,人的心态是网络安全的核心。因此,在企业内部培养这种心态是关键。"
KnowB4 首席执行官 Stu Sjouwerman 补充道,企业文化支撑比战略重要,而且这种文化必须是自上而下的。员工的日常思维和行为是企业的底线免疫系统,员工安全意识的持续培训是关键。对于支持人工智能的网络钓鱼,重要的信息是,电子邮件和其他通信不应该基于其语言的精致和复杂程度来给予权重,现在对员工的警惕性要求更高。
3. 强调采取适当的行动
电子邮件和软件基础设施的其他元素提供了内置的基本安全性,在很大程度上保证我们在采取行动之前不会遇到危险。这就是我们可以在心态中设置警戒线的地方:当我们采取行动时,我们应该高度意识到我们正在采取的行动是什么。直到员工发送回复、运行附件或填写表单,敏感信息才有风险。我们心理上的第一道防线应该是:" 我所查看的内容是否合法,不仅基于其内部方面,而且考虑到整个上下文?" 我们心理上的第二道防线就是:" 等等!我被要求在这里做点什么。"
当用户在收到网络钓鱼尝试后更进一步时,这对恶意行为者来说是一个巨大的胜利:只有有了这个元素,攻击才能继续进行。安全专业人员应该对自己、员工以及任何相关人员进行培训。
当然,在做汇款之类的事情时,应该提高警惕。在深度造假(deepfake)场景中,甚至有员工认为他们的上级给他们发送了合法的汇款指示。高度重要的通信应在第二个不可识别的通道中进行验证。面对这种情况,每个人的第一反应都应该是直接访问该公司,寻找相关信息,而不是点击链接。
4. 运行网络钓鱼模拟
要了解一家企业在打击网络钓鱼方面做得如何,唯一的方法就是运行模拟测试。使用人工智能生成的内容进行网络钓鱼活动是对抗威胁的重要组成部分。开展一场有效的活动本身就是一个话题,但一场好的活动的根本在于设定具体的目标;可以测量的度量标准应该用于指导测试。一个很好的例子是测量钓鱼电子邮件被报告的频率,然后在该指标上移动指针。