網路資訊安全的預測真的是變化莫測,一方面是現代網路在硬體、軟體、協議和服務的複雜度增加了攻擊面,再則網路攻擊者也在不斷更新攻擊技術與手法,這也增加了保護系統的難度。
2023年F5針對網路資訊安全預測,有些預測真的準確無誤,如API相關的安全漏洞與前一年相比,上升了三分之一以上,超過1.2億的資料在去年22次漏洞中被公開,其中大多數是由於身份驗證或授權失效引起的。其中27%的漏洞是由安全配置錯誤引起的,相較2022年增加了近4倍。開發人員通常未遵循組織已定義的標準和政策,部署了影子API,這無疑也屬於“安全配置錯誤”的範疇。
有鑑於知己知彼更能擬定周全的安全策略的信念下,在F5的安全營運工程師和威脅情報分析師的研究發現,“AI提升攻擊者的能力上產生極大的影響”。表面上來說,這並不像是一個多麼具體前瞻的預測,因為從ChatGPT首次亮相以來,全球的安全專業人員都在預測,使用大型語言模型(LLMs)來撰寫釣魚郵件的危害。
事實上,這只是開始,生成式AI將以各種方式成為威脅的增強器。釣魚攻擊的真正瓶頸不是惡意鏈接的初始點擊,而是追求經濟利益,受害者被攻擊的次數遠比可能想像的更多更複雜。
以下的威脅預測,將針對在攻擊者可以利用LLMs的超大型深度學習的一些具體方式下,將展開的行動。
受益於生成式AI,攻擊者透過社交工程學手段欺騙用戶,模擬特定人物或情境,讓詐騙者與受害者的溝通,聽起來更具說服力。F5安全情報中心研究發現,生成式語言模型(LLMs)將接管詐騙者和受害者之間的來回對話,組織犯罪團體把LLMs當作支援中心,直接翻譯被攻擊者使用的非母語,並以真實的模擬對話回應,無需招募更多的詐騙人。同時,它還會利用公開可得的個人資料,建立極為逼真的詐騙行為,進而提高社交工程攻擊的成功率。
這將使傳統釣魚網路攻擊在規模和效率上都有了巨大的轉變,生成式AI的使用,也不僅限於製作最初的電子郵件誘餌。
生成式AI工具在不久的將來將顯著改變惡意資訊操作的方式,包括建立虛假內容、自動生成的虛假訊息、有針對性的活動誤導以及規避內容審核。F5研究報告觀察發現,小規模的影響是在全球當今的國家衝突中,生成式AI產出的圖像,已經被國家和非國家行為者散播,以獲得對其一方的支持。在更大的範圍使用上,預計在2024年包括美國總統選舉和巴黎奧運會等重大世界事件之前,將會有不同的行為者利用這種技術。
同時,AI還可用於創建虛假內容,包括圖像和文字,以製作難以區分真實人類內容的虛假帳戶。這將擴展到利用AI進行政治虛假信息,並在組織犯罪中用於製造虛假帳戶以實施詐騙、憑證填充、虛假訊息和市場操縱等攻擊策略。在無需成本的情況下,生產力無法想像。
網路攻擊將採用生成式AI的即時輸入。這種做法可能會引入新的漏洞,原因在於使用AI的即時輸入,讓攻擊者能夠根據防禦措施做出即時反應。生成式AI可能會在攻擊中動態地調整程序序列,以應對防禦策略,這可能創造出新的攻擊向量或漏洞,使得現有的安全防護措施變得無法立即應對,從而增加了系統的弱點。不久的將來,可以預期LLMs將使攻擊鏈多樣化,對我們構成威脅。