盤點2024年生成式AI帶來的五大新型安全威脅

2024.10.11

有網路安全專家表示,雖然企業組織並不總是能夠準確指出生成式AI在網路攻擊中發揮的作用,但可以假設它在網路釣魚和社會工程攻擊中已經變得無處不在了。隨著OpenAI ChatGPT等工具的出現以及對攻擊者用戶的突顯,「你可以假設複雜性和準確性都有所提高,以及網路釣魚和社會工程中語言學發生的變化,」託管檢測和響應提供商Blackpoint Cyber​​安全副總裁MacKenzie Brown這樣表示。

但有專家稱,儘管生成式AI應用無疑是目前對攻擊者“最有用處的”,但仍有許多新興威脅利用這項技術來加快攻擊的速度和複雜性。

有專家表示,對於大多數組織來說,最重要的是,即使生成式AI在防禦方面取得了進展,但威脅環境仍將繼續受到AI攻擊的影響。

歸根結底,對於那些擁有成熟安全計劃的組織來說,生成式AI的到來“只是加速和改進了他們多年來已知的攻擊媒介”,總部位於丹佛的Optiv公司大數據和分析業務總監Randy Lariar這樣表示。

然而「我認為,更大的問題可能是企業在安全領域落後了,或者沒有將安全與業務使命完全結合起來,」Lariar說。 “如果只是完成了一個選項或滿足了保險要求,那麼就是可能存在一些差距的。”

以下就讓我們來看看2024年生成式AI帶來的五種新型安全威脅。

加速攻擊

安全專家表示,生成式AI帶來的最大威脅並不是新的策略或技術,而是讓網路犯罪分子和駭客使用的現有方法進一步加速了。網路安全巨頭Sophos的全球技術長Chester Wisniewski表示,生成式AI讓威脅行為者「可以做他們一直在做的事情,但速度要快得多了」。

「以前一天的窗口期,現在可能只需要四小時。以前四小時的窗口期,現在可能只需要十分鐘,」Wisniewski說。他表示,過去攻擊者攻擊10萬個受害者所需的工作量,現在可能足以在同樣的時間內攻擊1,000萬個受害者。

例如,根據Sophos X-Ops的研究,攻擊者在實施所謂的「殺豬」騙局時,已經能夠使用新的AI功能來擴大範圍,以前「必須向每個受害者發送短信,然後找出哪些人會回覆並回覆他們。但是現在,“我們有證據表明ChatGPT正被用於自動化這些對話的初始階段。”

最終,「透過自動化進行的這些[攻擊] 的規模和範圍使更多的人面臨比我們在AI 出現之前看到的更多此類威脅,」Wisniewski 說。 “我的粗略計算表明,我們從一個人每天可以嘗試欺騙1,000 人,到一個人通過自動化每天可以欺騙100,000 人。”

惡意軟體更容易避免偵測

據專家稱,AI生成的程式碼大體上是現有惡意軟體的衍生品,通常會讓安全工具輕鬆檢測到。這意味著生成式AI工具在產生惡意軟體方面的用處是有限的,Wisniewski說。

同時,根據Blackpoint Cyber​​的Brown稱,生成式AI可以更有效地改進現有惡意軟體以繞過偵測。她說:「我們發現威脅行為者現在使用AI來幫助修改現有的惡意軟體,而這些惡意軟體不一定附帶簽名。如果他們可以修改簽署的顯示方式,就可以透過這種方式逃避[防毒軟體]。

攻擊行為更加個人化

專家表示,威脅行為者可以利用生成式AI來改善針對性攻擊的個人化,範圍十分廣泛。 Brown表示,生成式AI在“研究和偵察方面發揮著巨大作用,就像我們使用AI來提高效率一樣,威脅行為者也使用AI來提高效率。”

換句話說,攻擊者能夠透過網路上的個人研究減少他們需要收集的大部分信息,“他們能夠以更有效的方式做到這一點。”

Brown表示:「現在他們可以根據實際組織、產業本身來客製化攻擊。他們正在利用能夠收集到的一切信息,從而減少研究和偵察的工作量,讓初始訪問變得更快。他們知道要攻擊哪些外部系統,知道要攻擊哪些目標,知道什麼能讓他們通過社交工程進入,或者創建一些腳本和自動化,這樣他們一旦進入環境就能更快地傳播出去。

音訊偽造進一步升級

根據身分驗證供應商Regula最近的一份報告,受訪企業中有近一半表示,在過去兩年中,他們成為音訊偽造攻擊的目標,​​這表明,語音克隆攻擊已經變得如此普遍。毫無疑問,語音克隆技術已經發展到既易於使用又能夠製作令人信服的假音訊的地步,Wisniewski表示。

相比之下,「一年前的[克隆技術],如果不下功夫就不會足夠好,」Wisniewski說。然而,最近,他能夠在五分鐘內製作出令人信服的偽造音訊。

「既然現在都實現了,犯罪分子就更容易獲得它了,」Wisniewski說。

Palo Alto Networks 42號部門威脅研究技術總監Kyle Wilhoit表示,雖然這項技術還不足以即時生成深度偽造音頻,但會繼續改進。 「我想說,將來這種可能性會更大,」Wilhoit說。

更容易利用漏洞

Wisniewski也認為,生成式AI可以在幫助攻擊者開發新漏洞方面發揮作用。他指出,雖然現有工具已經可以自動產生軟體中可能被利用的漏洞,但人類仍然必須確定是否真的有可能被利用。

然而,現在生成式AI工具可以透過幫助分析潛在漏洞的變體來加快處理速度,Wisniewski說:“AI可能會說,'這是一個很有潛力的漏洞'。”

最終,“這將是我會關注的一個領域——是否存在一種服務經濟體,主要針對高端行為者的,他們可以付給某人5萬美金,讓他們完成25種不同的攻擊行為?” Wisniewski說。