在OpenAI于2022年11月30日开放ChatGPT的测试后,这款聊天机器人风靡全球。多年来,信息安全行业对于人工智能(AI)和机器学习领域基本上不令人满意的“创新”麻木不仁,而如今人们对ChatGPT的反应颇能说明问题。就像许多人为其潜力难捺兴奋一样,我认为AI终于对信息安全起到真正革命性的作用了。
这也相当发人深醒,因为已经有无数例子表明ChatGPT如何为形形色色的坏人改变游戏规则。在其中一次早期的概念验证中,纽约大学教授Brendan Dolan-Gavitt就使用ChatGPT,钻了缓冲区溢出漏洞的空子。其他例子包括快速编写恶意软件,撰写非常逼真的语法正确的钓鱼邮件。
AI在网络安全领域变成武器早已不是什么新鲜事,但ChatGPT最让我兴奋的地方是,它有望填补信息安全界的最大缺口:缺少网络安全技能的宽度和深度都很欠缺的人才。为了进一步说明这一点,下面阐述ChatGPT在2023年将改变信息安全的三个方面。
很长一段时间以来,信息安全行业追求的目标之一是成功地众包威胁情报。众包承诺的价值在于能够看到出现在某一个垂直行业内的众多公司当中的情报。遗憾的是,最大障碍在于企业之间缺乏共享情报的信任。
这也是诸多行业的众多信息共享和分析中心(ISAC)多年来一直所要解决的问题,但结果良莠不齐。将来,ISAC可能拿来拥有自然语言界面的ChatGPT模型,基于ISAC成员当中的隐式信任,为该模型馈送由ISAC成员提交的日志数据。然后,ISAC可以使用ChatGPT来关联网络连接、多个类别的恶意IP地址和域以及类似行为。结果可能会形成一系列入侵检测系统(IDS)规则,ISAC成员就可以实施这些规则,以保护自己免受威胁。ISAC还可以深入了解其所在行业的整体风险状况。
不确定的经济形势给众多企业的安全部门施加了压力,为此它们只好实施招聘冻结方案,希望利用现有资源进一步提高生产力。ChatGPT在这方面大有助益,因为它使安全分析师一个人就能够完成通常需要多个人才完成的工作。
多面手和入门级员工可以描述他们在警报和检测中看到的内容,然后让ChatGPT解读他们看到的信息,以快速启动筛查流程。一个具体的例子是帮助安全从业人员每天对可疑的恶意代码进行去混淆处理,这项工作通常至少需要花一个小时才能完成。而如今借助ChatGPT,这项工作在短短几秒钟内就能完成。
ChatGPT还有望彻底改变事件响应。安全团队可以使用现有模型和自然语言处理来馈送有关某个事件的所有可用数据,并描述潜在响应的理由。然后,ChatGPT可以立即证明这到底是不是攻击。如今,这项工作需要一名事件响应负责人、一名工程师和几名分析师花数天才能完全解决事件。将来,这个流程根本就不需要分析师!
如今,攻击者每年生成1亿个新的恶意软件样本。由于这些样本都需要手动编写,这个数量对特征检测而言仍是有限的,可以应付得过来。然而借助ChatGPT,黑客就可以说:“这是我想要实现的功能,这是我所要使用的操作系统”,它就会生成单单一个恶意软件的成千上万个迭代版本。
这将意味着必须更快地重新计算检测引擎的机器学习模型。实际情况要复杂得多,因为模型要处理的是庞大得多的数据集。幸好,ChatGPT加强了逆向工程分析能力,让反恶意软件工作有了成功的机会。
比如说,逆向工程方面的一大挑战是处理通用文件名,通用文件名并不提供样本来源方面必要的上下文信息。这就需要更多的手动工作来识别它所攻击的目标系统。二进制汇编方面的一些细微变化体现了最终结果方面的变化——比如它是为32位架构编写的还是为64位架构编写的?系统使用的是小端字节序还是大端字节序?这些答案决定了阅读机器语言的方向(向前或向后)。
如果没有上下文,所有这些工作都需要反复试错。ChatGPT能够以惊人的速度遍历这些迭代,为逆向工程师提供最终的汇编语言,并由此进行下一下处理。甚至可以让ChatGPT以自然语言告诉逆向工程师恶意程序所执行的操作。更重要的是,ChatGPT可以大规模处理所有这些事务,分析数十万个二进制样本,为分析师提供宝贵的分析结果。
ChatGPT还有助于提高攻防水平。比如说,恶意软件常常含有嵌套循环之类的反逆向工程技术,这就大大加大了逆向工程师跟踪分析发生的事情和最终状态的难度。ChatGPT可以极快地搞清楚问题,比人类快得多。它还可以分析恶意软件的遗传代码,看看哪里可能存在代码重用,以便更快地识别开发者的指纹。
每当AI领域出现新的进展,人们不可避免地会担心它是否会取代人类和人类的工作。我认为ChatGPT不会造成这一幕,而是会让我们成为更强大的信息消费者。ChatGPT的力量倍增器(force multiplier)效应会在各个层面产生深远影响。
虽然ChatGPT只是用于研究的预览技术,但我与业界同仁一样感到兴奋,因为它有望彻底改变安全从业人员的工作方式。
参考及来源:https://www.darkreading.com/vulnerabilities-threats/3-ways-chatgpt-will-change-infosec-in-2023