您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[Abnormal]:CISO 诞生式 AI 攻击指南南 - 发现报告
当前位置:首页/行业研究/报告详情/

CISO 诞生式 AI 攻击指南南

信息技术2023-08-15-Abnormal何***
CISO 诞生式 AI 攻击指南南

生成性AI攻击的CISO指南 了解并防御AI生成的电子邮件攻击 10% 到2025年的数据将由成。 Gartner 53% 许多IT专业人士认为,今年将使用ChatGPT来帮助黑客制作更可信和合法的网络钓鱼电子邮件。 。 BlackBerry 65% 许多高管认为,生成式人工智能将对业务产生巨大影响。 毕马威 ,所有产生人工智能生 生成性AI攻击的CISO指南 生成AI的上升威胁 任何在2023年上网的人都可能听说过ChatGPT和GoogleBard ,这是两个更受欢迎的平台,它们利用生成人工智能(AI)来完成书面命令。在发布后的几个月里,它们对我们数字世界的各个方面产生了深远的影响。 通过利用先进的机器学习技术,生成AI使计算机能够生成原始内容,包括文本,图像,音乐和代码,这些内容与人类可以创建的内容非常相似。这项技术本身具有深远的影响,其中许多可以用于个人和职业利益。艺术家和作者可以使用它来探索新的创作方向,飞行员和医生可以使用它进行培训和现实世界的模拟,旅行社可以让它创建旅行行程-在成千上万的其他应用程序中。 但像其他任何事情一样,网络犯罪分子也可以利用这项技术。不幸的是,他们已经有了。包括ChatGPT在内的平台可用于生成逼真且令人信服的网络钓鱼电子邮件和更危险的恶意软件,而DeepFaceLab等工具可以 创建复杂的deepfake内容,包括操纵的视频和音频记录 。这可能只是开始。 为了打击生成AI的恶意应用,组织必须不断开发和实施强大的防御措施,增强检测能力,并对新出现的威胁保持警惕-在它们成为下一个受害者之前 AI生成的攻击。 ©2023异常安全公司。保留所有权利 2 如何在网络攻击中使用生成AI 凭据网络钓鱼 网络犯罪分子可能会使用生成AI技术来增强网络钓鱼电子邮件及其相应的登陆页面的复杂性和真实性,从而增加欺骗用户泄露敏感信息或输入凭据的机会。 端点利用 如果攻击者识别出在端点上运行的软件中的漏洞,则可以使用生成AI来创建自动攻击有效载荷。通过利用AI创建特定代码或命令 ,攻击者可以自动将恶意有效载荷传递到易受攻击的系统和端点。 BEC&社会工程 通过输入有关目标和/或先前对话历史的特定信息 ,生成AI可用于参与 在与用户的对话中,试图建立信任并操纵他们采取特定行动。这些模型可以生成有说服力的消息,并在整个对话中使用,以说服目标支付虚假发票, 更改银行详细信息,或提供对敏感信息的访问。 恶意软件创建 生成AI可以自动生成新的恶意软件变体的过程 ,使传统的基于签名的端点保护系统更难以有效地检测和阻止它们。 人工智能技术,攻击者可以创建多态或自我变异的恶意软件,改变其代码或行为,使其能够逃避检测并持续在受损端点上。 值得注意的是,由生成AI工具创建的网络攻击可以采取多种形式,而且经常如此。这些攻击可能是大型网络钓鱼或帐户接管计划的一部分,并可能对员工及其组织造成可怕的后果。 生成AI对网络犯罪的影响 虽然目前普遍使用的生成式AI还相对较新,影响的程度还无法确定,但有早期信号表明,这是一个我们不能简单忽视的威胁。仅ChatGPT就超过了100万用户5天有迹象表明,至少有一些人希望将其用于邪恶的目的。 几周达到100万用户 ChatGPTDALL-E副驾驶 2 4 8 10 12 14 16 18 20 22 24 26 1,000,000 750,000 500,000 250,000 0 周 Gartner预测,到2025年,生成AI将占所有数据的10%,而2021年不到1%,并且生成AI市场预计将超过14.7万亿美元到2030年,虽然生成人工智能可能主要用于合法目的,但我们会天真地相信不良行为者不会将其用于自己的恶意目的。 在黑莓(BlacBerry)2023年1月的一项研究中,78%的IT专业人员预测,两年内将发生ChatGPT的严重攻击,71%的人认为民族国家已经将其用于恶意目的。在威胁行为者可能特别利用ChatGPT的方式中,受访者最关心的是制作更可信和合法的网络钓鱼电子邮件、创建新的恶意软件以及帮助经验不足的黑客提高技术知识和发展技能的能力。 为什么生成AI攻击是一个日益严重的问题 生成的AI工具使网络犯罪分子能够快速轻松地创建各种类型的攻击。借助ChatGPT等平台,攻击者可以自动化和扩展攻击 playbooks。商业电子邮件妥协已经是全球企业最具财务破坏性的网络犯罪,自2016年以来造成了超过 430亿美元的暴露损失,而生成AI的这种演变只会使问题变得更糟。原因如下: 增加访问的便利性 世界上每个可以访问Iteret的人都可以访问ChatGPT和类似工具,从而使新的网络犯罪分子有可能开始发送攻击 ,即使没有先前的知识。生成AI的激增使几乎任何人都可以在几秒钟内成为复杂的网络罪犯,不仅提供了有关如何开始的提示,而且还提供了执行成功攻击所需的确切元素。 增加音量 随着使用生成AI进行攻击的人数的增加,攻击的数量自然也会增加。但这并不是唯一的事情。生成AI使犯罪分子能够比以往任何时候都更快地创建电子邮件-在几秒钟内编译过去需要花费数小时的邮件,从而为他们提供超级武器。 增加了复杂性 长期以来,用户一直被教导要在电子邮件中查找错别字和语法错误,以了解这是否是攻击,但生成AI可以创建看起来完全合法的精心制作的电子邮件-使员工无法从真实的电子邮件中破译攻击。也不仅仅是英语。仅ChatGPT就可以生成多种语言的文本,包括西班牙语、俄语、阿拉伯语、德语和日语。 此外,攻击者使用以前的对话历史记录的能力,通常是通过受损的电子邮件帐户访问的,可以使生成AI继续似乎来自真实用户的对话。能够引用线程中的先前信息或声音完全像模拟用户一样只会增加目标成为攻击受害者的可能性。 一个真实世界的攻击例子 尽管ChatGPT仅发布了几个月,但网络犯罪分子已经开始将其用于攻击。异常安全最近检测到许多由生成AI工具创建的攻击-主要用于凭证网络钓鱼活动。不幸的是,这些攻击几乎不可能被普通最终用户检测到。 正如你所看到的,有很多事情使这封电子邮件看起来非常合法。 收件人:MichaelBamen<mbamen@company.com>RECIPIENT 完美语法与过去的网络钓鱼电子 发件人:MetaforBusiness<facebookpagereport@outlook.com> 主题:重要通知:您的Facebook主页有被禁用的风险 邮件不同,没有 Date:2023年5月3日,美国东部时间下午1:10 这个冗长的电子邮件中的单个拼写错误的单词或语法错误。 你好, 我们很遗憾地通知您,您的Facebook主页被发现违反了我们的社区标准和政策。我们的系统检测到您主页上的内容违反了我们关于仇恨言论、骚扰或其他禁止内容的指导方针。 因此,我们暂时未发布您的网页,直至另行通知。我们非常重视这些问题,并要求所有网页遵守我们的政策,以确保为我们平台上的所有用户提供安全和尊重的体验。 如果您认为此操作是错误的,您可以通过点击下面的“确认”按钮提出上诉。REQUEST/ENGAGE我们的支持团队将审核您的上诉,并就如何解决此问题提供进一步指导。 确认可疑链接 我们的团队将尽快审核您的上诉,并向您提供页面状态的最新信息。请注意,在某些情况下,完成我们的调查可能需要长达数天的时间。 感谢您在此问题上的理解和合作。我们非常重视我们的社区标准,并感谢您遵守这些标准。最好的问候, Facebook团队 此消息是自动电子邮件。请不要回复。元平台。229ParkAveS,NewYork,NY10007 相关主题 该电子邮件已发送给该公司Facebook页面的管理员,说明该页面暂时未发布。 紧急指令电子邮件使用企业预期的 语气指出 收件人应单击包含的链接以提出上诉。 如果收件人收到此电子邮件,与此电子邮件不是由AI生成的电子邮件相比,他们更有可能单击链接。它更难被人类检测到,强调了对电子邮件安全的日益增长的需求,可以使用其他信号来检测和阻止这些写得很好和令人信服的攻击。 生成性AI攻击的CISO指南 更复杂攻击的可能性 高级网络钓鱼攻击并不是什么新鲜事,但有了生成AI,就有了更大的威胁潜力。想象一下,使用简单的指令创建攻击(大规模)是多么容易。例如,假设攻击者已获得对供应商组织的电子邮件帐户的访问权限 ,并且可以访问先前的电子邮件线程历史记录。通过了解受攻击的用户通常与谁进行通信,并了解该通信通常是什么样子,攻击者可以在几秒钟内创建非常复杂的电子邮件。 网络罪犯只需要提供像ChatGPT这样的工具三个要素创建个性化电子邮件攻击:说明,特定于攻击的信息 ,andthe电子邮件线程历史记录. 以下是您的说明和电子邮件对话。 -请给人1写一封电子邮件,要求人2用新的银行账户和路由号码更新他们的应付账款系统。 -电子邮件应该简短,听起来应该随意,真诚和个人(参考最后的信件) -一定要告诉人2,如果他们有任何问题要给你发短信 为您提供的信息: 人员1:ProliaSystems应收账款经理LuciaForeman人员2:Company.com财务部副总裁 ReneeWest 银行帐户:123 路由编号:456 1人手机号码:123-456-7890 以前的电子邮件对话: 周五,12月3日上午8:58ESTReneeWest<renee.west@company.com>写道: 嗨,露西亚,谢谢你的确认。我为延迟的反应而鼓掌,在旧金山,雨下了很多,所以我有点不舒服 。 祝你周末愉快!诚恳,蕾妮 周五,12月3日上午8:33ESTLuciaForeman<luciaforeman@proliasys-tems.com>写道: 嗨Renee, 只是想确认我们收到了您的最新付款。抱歉打嗝,一如既往,请不要犹豫,让我们知道您是否需要其他任何东西。 最好的 ,露西亚 Instructions 特定于攻击的信息 电子邮件线程历史记录 7©2023异常安全公司。保留所有权利。 生成性AI攻击的CISO指南 使用这种类型的输入,像ChatGPT这样的工具可以提供一个非常 令人信服的电子邮件,其中包含绝对零的传统妥协指标,如恶意附件或可疑链接。它甚至引用 以前的对话历史看起来是合法的。 主题:请求更新应付账款系统亲爱的蕾妮, 我希望你感觉好些了,旧金山的雨已经停了。我向你伸出援手,因为我们最近更新了我们的银行账户信息。我们的新账户号码是123,路由号码是456。 你能用这个新的信息更新你的应付账款系统,以确保顺利的付款过程向前发展吗?如果你有任何问题,请不要犹豫,在123-456-7890给我发短信。 感谢您对此事的及时关注。我们感谢您的合作伙伴关系,并希望您度过愉快的一周。最好的问候, LuciaForeman 应收账款经理 Prolia系统 使用这种方法,即使非技术攻击者也有可能自动生成成千上万的个性化攻击,与正常的业务通信无法区分。不幸的是,如果此电子邮件落在目标的收件箱中,由于信任关系和个性化内容,它很可能会起作用。 8©2023异常安全公司。保留所有权利。