网络钓鱼一直是企业网络安全方面的一个棘手问题,而最近的 AI 开发(例如 ChatGPT)使情况变得更糟。以下是应对日益复杂的网络钓鱼威胁的一些指南。
ChatGPT 等有效自然语言处理工具的出现意味着是时候开始了解如何防御人工智能网络攻击了。大型语言模型 (LLM) 的自然语言生成功能非常适合网络犯罪最重要的攻击媒介之一:网络钓鱼。网络钓鱼依赖于欺骗人们,大规模生成有效语言和其他内容的能力是黑客工具包中的主要工具。
幸运的是,有几种好方法可以减轻这种日益严重的威胁。以下是人工智能网络钓鱼时代的七个准备指南:
了解威胁
负责网络安全的领导者可以通过了解我们在机器学习 (ML) 作为黑客工具的故事中的位置来取得领先地位。目前,人工智能与网络安全最重要的相关领域是内容生成。这就是机器学习取得最大进步的地方,它非常适合利用网络钓鱼和恶意聊天机器人等媒介的黑客。任何能够访问 ChatGPT 的人都可以编写引人注目的、格式良好的文本,而这基本上是任何拥有互联网连接的人。
IT 管理公司 Flexera 的 CIO 和 CISO Conal Gallagher 表示:“寻找错误的语法和错误的拼写已成为过去,即使是 ChatGPT 之前的网络钓鱼电子邮件也变得越来越复杂。” “我们必须问:‘我们会收到电子邮件吗?发件人地址合法吗?该电子邮件是否诱使您点击链接?安全意识培训在这里仍然有一席之地。”
Gallagher 重点介绍了网络安全公司 WithSecure 的研究,该研究展示了与 ChatGPT 的一系列交互,其中人工智能生成有效的网络钓鱼电子邮件。这项研究和其他研究证实了我们自己可以确认的事情,即旨在阻止人工智能工具被用于非法目的的安全栏并不可靠,并且正在为此目的构建定制工具。
我们必须认识到,人工智能现在可以用来生成有效的内容,而且它会在这方面变得更好。LLM 工具将会改进,黑客将更容易使用它们,并且将为它们创建自定义工具。现在是开始思考并采取措施加强安全政策的好时机。
我们还必须期望网络钓鱼内容不仅变得更具吸引力,而且更有针对性,能够结合时间、地点和事件的具体情况。员工不能再依赖明显的迹象来表明电子邮件是恶意的。图像,甚至音频和视频,都可以通过内容生成技术来伪造。必须不断重申,任何意外的电子邮件都是可疑的。
心态和文化是主要防御
“如果最终用户掌握了一些关键知识,那么 90% 的网络犯罪受害者就可以轻松避免,”联邦调查局网络部门退休监督特工斯科特·奥根鲍姆 (Scott Augenbaum)告诉CSO。“我们为什么不从这里开始呢?不幸的是,其他一切都需要花钱,而且似乎不起作用。我希望有人能告诉我我错了,这样我就可以真正退休了。”
“你的第一道防线正在成为你自己的人体防火墙,”奥根鲍姆说。也就是说,人的思维是网络安全的核心。因此,在企业内部培养这种心态是关键。
KnowB4 首席执行官 Stu Sjouwerman 表示:“文化把战略当作早餐,而且总是自上而下的。” 员工的日常思维和行为是企业的底线免疫系统,持续对员工进行安全意识培训是关键。对于基于人工智能的网络钓鱼,重要的信息是电子邮件和其他通信不应因其语言的优美和复杂而受到重视。网络钓鱼者不再无法通过笑声测试,现在要求员工提高警惕。
强调正确采取行动
电子邮件和软件基础设施的其他元素提供了内置的基本安全性,这在很大程度上保证了我们在采取行动之前不会处于危险之中。这就是我们可以在我们的思维中设置绊线的地方:当我们采取行动时,我们应该高度意识到我们正在采取什么行动。直到员工发送回复、运行附件或填写表格后,敏感信息才会面临风险。我们心态中的第一道防线应该是:“我正在查看的内容是否合法,不仅基于其内部方面,而且考虑到整个背景?” 我们心态中的第二道防线必须是:“等等!我被要求在这里做一些事情。”
当用户在收到网络钓鱼尝试后进一步采取行动时,这对不良行为者来说是一个巨大的胜利:只有具备该元素,攻击才能继续进行。安全专业人员应该对自己、员工以及任何其他在提示输入信息或运行不熟悉的应用程序时听到警报的人进行培训。
当然,在进行汇款之类的事情时,应该提高警惕性。对于深度造假,甚至有员工相信上级已向他们发送汇款的合法指示。高度重要的通信应在第二个非网络钓鱼渠道中进行验证。
“每个人的第一反应应该是直接访问该组织并查找消息,而不是单击链接,”Flexera 产品管理总监 Bob Kelly 说。
运行网络钓鱼模拟
了解企业在打击网络钓鱼方面做得如何的唯一方法是运行测试。使用人工智能生成的内容开展网络钓鱼活动是应对威胁的重要组成部分。开展有效的营销活动本身就是一个话题,但好的营销活动的根源在于设定具体的目标;应使用可测量的指标来指导测试。一个很好的例子是测量网络钓鱼电子邮件的报告频率,然后在该指标上移动指针。
在开展反网络钓鱼活动时,它还将帮助人们认识到人工智能工具在实现有效内容生成方面的有用性。这将有助于加强认真对待该问题的必要性。JumpCloud 安全工程师 Trevor Duncan 告诉 CSO:“虽然 AI 具有持久性,但通过经常强化安全最佳实践并对其进行测试,您的安全性可以具有弹性。” “如果您目前没有让您的员工参与模拟社会工程攻击,那么这是一个很好的项目,可以添加到 2023 年计划中,以改善您的安全状况并为您的安全计划带来弹性。”
整合自动化 AI 检测工具
OpenAI(ChatGPT 背后的公司)和其他公司已经发布了检测 AI 生成文本的工具。此类工具将与 NLP 生成器一起继续改进,并且可以集成和自动化它们以帮助检测恶意内容。许多电子邮件扫描工具供应商开始利用人工智能来帮助微调他们在评估合法内容时理解元数据和位置等上下文的方式。以牙还牙——在这种情况下,用人工智能来对抗人工智能——是未来网络安全的重要组成部分。
网络钓鱼检测是整个网络和基础设施战略的关键部分,当人工智能辅助基础设施侦察和渗透与人工智能辅助检测和预防相结合时,网络钓鱼检测尤其有效。许多顶级安全公司正在将此类工具纳入其产品中,例如Okta和DarkTrace。
“机器人对于攻击者来说是一种有效的工具,因为它们利用人工智能和机器学习来快速适应并克服不断变化的安全态势,”Okta 客户身份首席信息安全官 Jameeka Green Aaron 告诉 CSO。“如果我们想保持领先地位,我们应该利用旨在获取实时威胁情报的自动化和自适应身份验证,这是一种根据位置、设备状态和终端等因素验证用户身份的方法。用户行为。”
人工智能检测是机器学习研究的一个活跃前沿。这项研究将继续作为对抗人工智能网络钓鱼的工具引入企业,并且应该成为我们在未来几个月密切关注的领域。
提供简单的机制来报告网络钓鱼
在处理人工智能攻击时,向安全部门发出有关网络钓鱼的警报至关重要。由于人工智能活动可以更有效地大规模生产,因此在它们展开时识别它们非常重要;它可以让您快速通知员工,并为反网络钓鱼工具和人工智能检测模型提供关键输入。
除了使提交报告变得容易之外,还要确保该机制捕获尽可能多的信息,以提高其价值并使其具有可操作性。将电子邮件转发到报告地址有利于捕获电子邮件中的所有标头和元数据,并且具有简单表单的门户有利于报告网络钓鱼网站等。各国政府越来越多地鼓励组织纳入 DMARC(基于域的消息身份验证、报告和一致性)策略,其中包括提供了许多建议的 CISA。
网络钓鱼报告是任何强大的安全基础设施的重要组成部分,有效的报告在人工智能活动的背景下变得尤为重要,因为攻击者通过自动化扩展鱼叉式网络钓鱼式攻击(包含组织内部细节的攻击)的能力得到了提高。、收集并合并此类信息。在运行网络钓鱼检测和报告系统测试时,这是一个值得关注的好方面。
纳入防网络钓鱼身份验证
基于密码的身份验证本质上很容易受到验证码等技术的网络钓鱼的影响,尤其容易受到人工智能的攻击。另一方面,有一些身份验证方法可以抵御网络钓鱼。密钥可能是最能抵御网络钓鱼的身份验证模式。这些仍在开发和部署中,但正在变得更加主流。一旦采用,它们基本上就不会被钓鱼。
多重身份验证 (MFA) 也有帮助,因为如果需要辅助身份验证器,仅在网络钓鱼站点上公开用户名、密码组合或交互不足以让黑客获得对资源的访问权限。CISA发布了防网络钓鱼 MFA 概述。
原文始发于微信公众号(祺印说信安):识别和缓解支持AI的网络钓鱼活动的7条指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论