تحلیلگران 8 پیش بینی امنیتی ChatGPT برای سال 2023 را به اشتراک می گذارند

از


در تاریخ 11 تا 12 ژوئیه به مدیران ارشد در سانفرانسیسکو بپیوندید تا بشنوید که چگونه رهبران سرمایه‌گذاری‌های هوش مصنوعی را برای موفقیت ادغام و بهینه می‌کنند.. بیشتر بدانید

انتشار ChatGPT-4 هفته گذشته جهان را تکان داد، اما هیئت منصفه هنوز در مورد معنای آن برای چشم انداز امنیت داده ها صحبت نمی کند. در یک روی سکه، تولید بدافزار و باج افزار آسان تر از همیشه است. از سوی دیگر، طیفی از موارد استفاده دفاعی جدید وجود دارد.

اخیراً، VentureBeat با برخی از برترین تحلیلگران امنیت سایبری جهان صحبت کرد تا پیش‌بینی‌های خود را برای ChatGPT و هوش مصنوعی مولد در سال 2023 جمع‌آوری کند. پیش‌بینی‌های کارشناسان عبارتند از:

  • ChatGPT مانع ورود جرایم سایبری را کاهش می دهد.
  • ایجاد ایمیل های فیشینگ قانع کننده آسان تر خواهد شد.
  • سازمان ها به متخصصان امنیتی با سواد هوش مصنوعی نیاز دارند.
  • شرکت ها باید خروجی هوش مصنوعی مولد را تأیید کنند.
  • هوش مصنوعی مولد تهدیدهای موجود را ارتقاء خواهد داد.
  • شرکت ها انتظاراتی را برای استفاده از ChatGPT تعریف می کنند.
  • هوش مصنوعی عنصر انسانی را تقویت خواهد کرد.
  • سازمان ها همچنان با همان تهدیدات قدیمی روبرو خواهند بود.

در زیر متن ویرایش شده از پاسخ های آنها آمده است.

1. ChatGPT مانع ورود جرایم سایبری را کاهش می دهد

«ChatGPT موانع ورود را کاهش می‌دهد، و فناوری را که به طور سنتی به افراد بسیار ماهر و بودجه قابل توجهی نیاز داشت، در دسترس هر کسی که به اینترنت دسترسی دارد، می‌کند. مهاجمان با مهارت کمتر اکنون ابزاری برای تولید کدهای مخرب به صورت انبوه دارند.

رویداد

تبدیل 2023

در 11 تا 12 جولای در سانفرانسیسکو به ما بپیوندید، جایی که مدیران ارشد نحوه ادغام و بهینه سازی سرمایه گذاری های هوش مصنوعی برای موفقیت و اجتناب از دام های رایج را به اشتراک می گذارند.

اکنون ثبت نام کنید

برای مثال، آن‌ها می‌توانند از برنامه بخواهند تا کدی بنویسد که پیام‌های متنی را برای صدها نفر تولید کند، درست مثل یک تیم بازاریابی غیر مجرم. به جای اینکه گیرنده را به یک سایت امن ببرد، آنها را به سایتی با بار مخرب هدایت می کند. کد به خودی خود مخرب نیست، اما می توان از آن برای ارائه محتوای خطرناک استفاده کرد.

مانند هر فناوری یا برنامه کاربردی جدید یا در حال ظهور، جوانب مثبت و منفی وجود دارد. ChatGPT هم توسط بازیگران خوب و هم توسط بازیگران بد استفاده خواهد شد و جامعه امنیت سایبری باید مراقب راه‌هایی باشد که می‌توان از آن بهره‌برداری کرد.»

– استیو گروبمن، معاون ارشد و مدیر ارشد فناوری McAfee

2. ایجاد ایمیل های فیشینگ قانع کننده آسان تر خواهد شد

“به طور کلی، هوش مصنوعی مولد یک ابزار است و مانند همه ابزارها، می توان از آن برای اهداف خوب یا شوم استفاده کرد. قبلاً تعدادی از موارد استفاده ذکر شده است که در آن عوامل تهدید و محققان کنجکاو ایمیل‌های فیشینگ قانع‌کننده‌تر ایجاد می‌کنند، کدهای مخرب پایه و اسکریپت‌ها را برای راه‌اندازی حملات احتمالی ایجاد می‌کنند، یا حتی فقط اطلاعات بهتر و سریع‌تری را جستجو می‌کنند.

اما برای هر مورد سوء استفاده، کنترل‌هایی برای مقابله با آن‌ها وجود خواهد داشت. این طبیعت امنیت سایبری است – مسابقه ای بی پایان برای پیشی گرفتن از حریف و غلبه بر مدافع.

مانند هر ابزاری که می‌تواند برای آسیب استفاده شود، نرده‌های محافظ و حفاظ‌هایی باید برای محافظت از مردم در برابر سوء استفاده قرار داده شوند. یک خط اخلاقی بسیار ظریف بین آزمایش و استثمار وجود دارد.»

– جاستین گریس، شریک، مک کینزی و شرکت

3. سازمان ها به متخصصان امنیتی با سواد هوش مصنوعی نیاز دارند

«ChatGPT در حال حاضر دنیا را تحت تأثیر قرار داده است، اما ما هنوز به سختی در مراحل اولیه در مورد تأثیر آن بر چشم انداز امنیت سایبری هستیم. این نشان‌دهنده آغاز دوران جدیدی برای پذیرش AI/ML در هر دو طرف خط تقسیم است، کمتر به دلیل آنچه ChatGPT می‌تواند انجام دهد و بیشتر به این دلیل که هوش مصنوعی / ML را در کانون توجه عمومی قرار داده است.

از یک طرف، ChatGPT می‌تواند به طور بالقوه برای دموکراتیزه کردن مهندسی اجتماعی مورد استفاده قرار گیرد – به عوامل تهدید بی‌تجربه این قابلیت را می‌دهد که به سرعت و آسانی کلاهبرداری‌های بهانه‌سازی را ایجاد کنند و حملات فیشینگ پیچیده را در مقیاس اجرا کنند.

از سوی دیگر، هنگامی که صحبت از ایجاد حملات یا دفاع جدید می شود، ChatGPT بسیار کمتر توانایی دارد. این یک شکست نیست، زیرا ما از آن می خواهیم کاری را انجام دهد که برای انجام آن آموزش ندیده است.

«این برای متخصصان امنیتی چه معنایی دارد؟ آیا می توانیم با خیال راحت ChatGPT را نادیده بگیریم؟ خیر. به عنوان متخصصان امنیتی، بسیاری از ما قبلا ChatGPT را آزمایش کرده‌ایم تا ببینیم چقدر می‌تواند عملکردهای اساسی را انجام دهد. آیا می تواند پیشنهادات آزمون قلم ما را بنویسد؟ بهانه فیشینگ؟ در مورد کمک به راه اندازی زیرساخت حمله و C2 چطور؟ تاکنون نتایج متفاوتی حاصل شده است.

با این حال، گفتگوی بزرگتر برای امنیت در مورد ChatGPT نیست. این در مورد این است که آیا ما امروز افرادی در نقش های امنیتی داریم که نحوه ساخت، استفاده و تفسیر فناوری های AI/ML را می دانند.

– دیوید هولزر، عضو SANS در موسسه SANS

4. شرکت ها باید خروجی هوش مصنوعی مولد را تأیید کنند

«در برخی موارد، زمانی که کارکنان امنیتی خروجی‌های آن را تأیید نمی‌کنند، ChatGPT بیش از آنکه حل کند، مشکلاتی ایجاد می‌کند. به عنوان مثال، به ناچار آسیب پذیری ها را از دست می دهد و به شرکت ها احساس امنیت کاذب می دهد.

به همین ترتیب، حملات فیشینگی را که گفته می‌شود شناسایی کند، از دست می‌دهد. اطلاعات تهدید نادرست یا قدیمی را ارائه می دهد.

بنابراین ما قطعاً در سال 2023 شاهد مواردی خواهیم بود که ChatGPT مسئول حملات و آسیب‌پذیری‌های از دست رفته است که منجر به نقض داده‌ها در سازمان‌هایی که از آن استفاده می‌کنند، خواهد بود.»

– آویوا لیتان، تحلیلگر گارتنر

5. هوش مصنوعی مولد تهدیدهای موجود را ارتقاء خواهد داد

مانند بسیاری از فناوری‌های جدید، فکر نمی‌کنم ChatGPT تهدیدات جدیدی را معرفی کند – فکر می‌کنم بزرگ‌ترین تغییری که در چشم‌انداز امنیتی ایجاد می‌کند، مقیاس‌پذیری، تسریع و افزایش تهدیدات موجود، به‌ویژه فیشینگ است.

«در سطح پایه، ChatGPT می‌تواند ایمیل‌های فیشینگ صحیح دستوری را به مهاجمان ارائه دهد، چیزی که امروزه همیشه نمی‌بینیم.

«در حالی که ChatGPT هنوز یک سرویس آفلاین است، فقط زمان زیادی است که عوامل تهدید شروع به ترکیب دسترسی به اینترنت، اتوماسیون و هوش مصنوعی برای ایجاد حملات پیشرفته مداوم کنند.

با چت‌بات‌ها، برای نوشتن فریب‌ها نیازی به هرزنامه‌نویس انسانی نخواهید داشت. در عوض، آنها می‌توانند اسکریپتی بنویسند که می‌گوید «از داده‌های اینترنتی برای آشنایی با فلان و فلان استفاده کنید و تا زمانی که روی یک پیوند کلیک کنند به ارسال پیام ادامه دهید».

فیشینگ هنوز یکی از مهمترین دلایل نقض امنیت سایبری است. داشتن یک ربات زبان طبیعی که از ابزارهای spear-phishing توزیع شده برای کار در مقیاس بر روی صدها کاربر به طور همزمان استفاده می کند، انجام وظایف تیم های امنیتی را سخت تر می کند.

– راب هیوز، افسر ارشد امنیت اطلاعات در RSA

6. شرکت ها انتظاراتی را برای استفاده از ChatGPT تعریف می کنند

همانطور که سازمان‌ها موارد استفاده ChatGPT را بررسی می‌کنند، امنیت در اولویت قرار خواهد گرفت. در زیر چند گام برای کمک به پیشی گرفتن از تبلیغات در سال 2023 آمده است:

  1. انتظارات را برای نحوه استفاده از ChatGPT و راه حل های مشابه در زمینه سازمانی تنظیم کنید. توسعه سیاست های قابل قبول استفاده؛ فهرستی از تمام راه حل های تایید شده، موارد استفاده و داده هایی را که کارکنان می توانند به آنها تکیه کنند، تعریف کنید. و مستلزم آن است که بررسی هایی برای تأیید صحت پاسخ ها ایجاد شود.
  2. ایجاد فرآیندهای داخلی برای بررسی پیامدها و تکامل مقررات مربوط به استفاده از راه حل های اتوماسیون شناختی، به ویژه مدیریت مالکیت معنوی، داده های شخصی، و گنجاندن و تنوع در صورت لزوم.
  3. اجرای کنترل‌های سایبری فنی، توجه ویژه به کد تست برای انعطاف‌پذیری عملیاتی و اسکن برای بارهای مخرب. کنترل‌های دیگر عبارتند از، اما به این موارد محدود نمی‌شوند: احراز هویت چند عاملی و امکان دسترسی فقط به کاربران مجاز. استفاده از راه حل های جلوگیری از از دست دادن داده ها؛ فرآیندهایی برای اطمینان از اینکه تمام کدهای تولید شده توسط ابزار تحت بررسی استاندارد قرار می گیرند و نمی توانند مستقیماً در محیط های تولید کپی شوند. و پیکربندی فیلترینگ وب برای ارائه هشدار هنگام دسترسی کارکنان به راه‌حل‌های تایید نشده.»

– مت میلر، مدیر خدمات امنیت سایبری، KPMG

7. هوش مصنوعی عنصر انسانی را تقویت خواهد کرد

مانند بسیاری از فناوری‌های جدید، ChatGPT منبعی برای دشمنان و مدافعان خواهد بود، با موارد استفاده متخاصم از جمله بازیابی و مدافعانی که به دنبال بهترین شیوه‌ها و همچنین بازارهای اطلاعاتی تهدید هستند. و مانند سایر موارد استفاده از ChatGPT، مسافت پیموده شده متفاوت خواهد بود زیرا کاربران صحت پاسخ‌ها را آزمایش می‌کنند زیرا سیستم بر روی مجموعه‌ای از داده‌های بزرگ و به طور مداوم در حال رشد آموزش داده می‌شود.

“در حالی که موارد استفاده در هر دو طرف معادله گسترش می یابد، به اشتراک گذاری اطلاعات تهدید برای شکار تهدید و به روز رسانی قوانین و مدل های دفاعی در میان اعضا در یک گروه امیدوار کننده است. با این حال، ChatGPT مثال دیگری از تقویت و نه جایگزینی عنصر انسانی مورد نیاز برای اعمال زمینه در هر نوع بررسی تهدید است.

– داگ کیهیل، معاون ارشد، خدمات تحلیلگر و تحلیلگر ارشد در ESG

8. سازمان ها همچنان با همان تهدیدات قدیمی روبرو خواهند بود

«در حالی که ChatGPT یک مدل قدرتمند تولید زبان است، این فناوری یک ابزار مستقل نیست و نمی‌تواند مستقل عمل کند. این به ورودی کاربر متکی است و با داده هایی که روی آن آموزش دیده است محدود می شود.

به عنوان مثال، متن فیشینگ تولید شده توسط مدل هنوز باید از یک حساب ایمیل ارسال شود و به یک وب سایت اشاره شود. این هر دو شاخص سنتی هستند که می توانند برای کمک به تشخیص تجزیه و تحلیل شوند.

اگرچه ChatGPT قابلیت نوشتن اکسپلویت ها و بارهای بارگذاری را دارد، اما آزمایشات نشان داده است که این ویژگی ها به خوبی پیشنهاد شده در ابتدا کار نمی کنند. پلتفرم همچنین می تواند بدافزار بنویسد. در حالی که این کدها در حال حاضر به صورت آنلاین در دسترس هستند و می توان آنها را در انجمن های مختلف یافت، ChatGPT آن را برای توده ها قابل دسترسی تر می کند.

با این حال، تنوع هنوز محدود است، و شناسایی چنین بدافزارها با تشخیص مبتنی بر رفتار و روش‌های دیگر ساده است. ChatGPT برای هدف قرار دادن یا بهره برداری خاص از آسیب پذیری ها طراحی نشده است. با این حال، ممکن است فرکانس پیام‌های خودکار یا جعل هویت را افزایش دهد. نوار ورود مجرمان سایبری را کاهش می‌دهد، اما روش‌های حمله کاملاً جدیدی را برای گروه‌های از قبل ایجاد شده دعوت نمی‌کند.»

– Candid Wuest، معاون تحقیقات جهانی در Acronis

ماموریت VentureBeat این است که یک میدان شهر دیجیتال برای تصمیم گیرندگان فنی باشد تا دانشی در مورد فناوری سازمانی متحول کننده کسب کنند و معامله کنند. جلسات توجیهی ما را کشف کنید.