Пейзажът на киберсигурността се развива бързо, като изкуственият интелект (AI) играе все по-значима роля. Генеративните AI модели вече са способни да създават експлойт код с забележителна скорост, драстично намалявайки прозореца на възможност за защитниците да реагират на уязвимости. Тази промяна, задвижвана от способността на AI да анализира и разбира сложен код, представлява нови предизвикателства за организациите, стремящи се да защитят своите системи.
Скоростта на експлоатация: Въпрос на часове
Традиционният времеви диапазон от разкриване на уязвимост до създаването на proof-of-concept (PoC) експлойт е значително съкратен благодарение на възможностите на генеративния AI. Това, което някога отнемаше дни или седмици, сега може да бъде постигнато за няколко часа.
Матю Кийли, експерт по сигурността в ProDefense, демонстрира тази скорост, като използва AI, за да разработи експлойт за критична уязвимост в SSH библиотеката на Erlang само за един следобед. AI моделът, използвайки код от публикуван пач, идентифицира пробивите в сигурността и разработи експлойт. Този пример подчертава как AI може да ускори процеса на експлоатация, представлявайки сериозно предизвикателство пред професионалистите по киберсигурност.
Експериментът на Кийли е вдъхновен от публикация на Horizon3.ai, в която се обсъжда лекотата на разработване на експлойт код за грешката в SSH библиотеката. Той реши да тества дали AI моделите, по-специално GPT-4 на OpenAI и Claude Sonnet 3.7 на Anthropic, могат да автоматизират процеса на създаване на експлойт.
Неговите открития бяха стряскащи. Според Кийли, GPT-4 не само разбра описанието на Common Vulnerabilities and Exposures (CVE), но също така идентифицира коммита, който въведе поправката, сравни го със стария код, локализира уязвимостта и дори написа PoC. Когато първоначалният код се провали, AI моделът го отстрани и коригира, показвайки способността си да учи и да се адаптира.
Нарастващата роля на AI в изследването на уязвимости
AI доказа своята стойност както в идентифицирането на уязвимости, така и в разработването на експлойти. Проектът OSS-Fuzz на Google използва големи езикови модели (LLMs) за откриване на пробиви в сигурността, докато изследователи от Университета на Илинойс в Урбана-Шампейн демонстрираха способността на GPT-4 да експлоатира уязвимости чрез анализ на CVE.
Скоростта, с която AI вече може да създава експлойти, подчертава спешната нужда защитниците да се адаптират към тази нова реалност. Автоматизацията на производствената линия за атаки оставя на защитниците минимално време за реакция и прилагане на необходимите мерки за сигурност.
Деконструиране на процеса на създаване на експлойт с AI
Експериментът на Кийли включваше инструктиране на GPT-4 да генерира Python скрипт, който сравнява уязвимите и пачнати кодови сегменти в Erlang/OPT SSH сървъра. Този процес, известен като ‘дифване’, позволи на AI да идентифицира конкретните промени, направени за справяне с уязвимостта.
Кийли подчерта, че кодовите дифове са от решаващо значение за GPT-4 да създаде работещ PoC. Без тях AI моделът се бореше да разработи ефективен експлойт. Първоначално GPT-4 се опита да напише фазър за пробиване на SSH сървъра, демонстрирайки способността си да изследва различни вектори на атака.
Въпреки че фазингът може да не е разкрил конкретната уязвимост, GPT-4 успешно предостави необходимите градивни елементи за създаване на лабораторна среда, включително Dockerfiles, настройка на Erlang SSH сървър на уязвимата версия и фазинг команди. Тази възможност значително намалява кривата на обучение за нападателите, позволявайки им бързо да разберат и експлоатират уязвимости.
Снабден с кодовите дифове, AI моделът генерира списък с промени, което накара Кийли да попита за причината за уязвимостта.
AI моделът точно обясни обосновката зад уязвимостта, описвайки подробно промяната в логиката, която въведе защита срещу неаутентифицирани съобщения. Това ниво на разбиране подчертава способността на AI не само да идентифицира уязвимости, но и да разбира основните им причини.
След това обяснение AI моделът предложи да генерира пълен PoC клиент, Metasploit-стил демо или пачнат SSH сървър за проследяване, показвайки своята гъвкавост и потенциални приложения в изследването на уязвимости.
Преодоляване на предизвикателствата: Отстраняване на грешки и усъвършенстване
Въпреки впечатляващите си възможности, първоначалният PoC код на GPT-4 не функционираше правилно, често срещано явление при генериран от AI код, който се простира отвъд обикновените фрагменти.
За да се справи с този проблем, Кийли се обърна към друг AI инструмент, Cursor с Claude Sonnet 3.7 на Anthropic, и го натовари с поправянето на неработещия PoC. За негова изненада, AI моделът успешно коригира кода, демонстрирайки потенциала на AI да усъвършенства и подобрява собствените си резултати.
Кийли разсъждава върху опита си, отбелязвайки, че той е превърнал първоначалното му любопитство в дълбоко изследване на това как AI революционизира изследването на уязвимости. Той подчерта, че това, което някога е изисквало специализирани познания за Erlang и обширно ръчно отстраняване на грешки, сега може да бъде постигнато за един следобед с правилните подкани.
Последиците за разпространението на заплахи
Кийли подчерта значително увеличение на скоростта, с която се разпространяват заплахите, задвижвано от способността на AI да ускори процеса на експлоатация.
Уязвимостите не само се публикуват по-често, но и се експлоатират много по-бързо, понякога в рамките на часове след като станат публични. Тази ускорена времева линия за експлоатация оставя на защитниците по-малко време за реакция и прилагане на необходимите мерки за сигурност.
Тази промяна се характеризира и с повишена координация между заплашителните актьори, като едни и същи уязвимости се използват в различни платформи, региони и индустрии за много кратко време.
Според Кийли, нивото на синхронизация между заплашителните актьори преди отнемаше седмици, но сега може да се случи за един ден. Данните показват значително увеличение на публикуваните CVE, отразяващо нарастващата сложност и скорост на ландшафта на заплахите. За защитниците това се превръща в по-кратки времеви рамки за реакция и по-голяма нужда от автоматизация, устойчивост и постоянна готовност.
Защита срещу AI-ускорени заплахи
Когато беше попитан за последиците за предприятията, които се стремят да защитят своята инфраструктура, Кийли подчерта, че основният принцип остава същият: критичните уязвимости трябва да бъдат пачнати бързо и безопасно. Това изисква модерен DevOps подход, който дава приоритет на сигурността.
Основната промяна, въведена от AI, е скоростта, с която нападателите могат да преминат от разкриване на уязвимост към работещ експлойт. Времевата линия за реакция се свива, което изисква предприятията да третират всяко издание на CVE като потенциална непосредствена заплаха. Организациите вече не могат да си позволят да чакат дни или седмици, за да реагират; те трябва да бъдат подготвени да реагират в момента, в който подробностите станат публични.
Адаптиране към новия пейзаж на киберсигурността
За да се защитят ефективно срещу AI-ускорени заплахи, организациите трябва да приемат проактивна и адаптивна позиция за сигурност. Това включва:
- Приоритизиране на управлението на уязвимости: Приложете стабилна програма за управление на уязвимости, която включва редовно сканиране, приоритизиране и пачване на уязвимости.
- Автоматизиране на процесите за сигурност: Използвайте автоматизация, за да рационализирате процесите за сигурност, като сканиране на уязвимости, реакция при инциденти и анализ на разузнавателни данни за заплахи.
- Инвестиране в разузнавателни данни за заплахи: Бъдете информирани за последните заплахи и уязвимости, като инвестирате в емисии за разузнавателни данни за заплахи и участвате в общности за споделяне на информация.
- Подобряване на обучението за осведоменост относно сигурността: Обучете служителите за рисковете от фишинг, злонамерен софтуер и други киберзаплахи.
- Прилагане на архитектура с нулев доверие: Приемете модел за сигурност с нулев доверие, който приема, че никой потребител или устройство не е надежден по подразбиране.
- Използване на AI за защита: Проучете използването на инструменти за сигурност, задвижвани от AI, за откриване и реагиране на заплахи в реално време.
- Непрекъснато наблюдение и подобрение: Непрекъснато наблюдавайте контролите и процесите за сигурност и правете корекции според нуждите, за да останете пред развиващите се заплахи.
- Планиране на реакция при инциденти: Разработете и редовно тествайте планове за реакция при инциденти, за да осигурите бърза и ефективна реакция на инциденти със сигурността.
- Сътрудничество и споделяне на информация: Насърчавайте сътрудничеството и споделянето на информация с други организации и индустриални групи, за да подобрите колективната сигурност.
- Проактивно търсене на заплахи: Провеждайте проактивно търсене на заплахи, за да идентифицирате и смекчите потенциални заплахи, преди да причинят щети.
- Приемане на DevSecOps: Интегрирайте сигурността в жизнения цикъл на разработка на софтуер, за да идентифицирате и отстранявате уязвимостите в ранен етап.
- Редовни одити на сигурността и тестове за проникване: Провеждайте редовни одити на сигурността и тестове за проникване, за да идентифицирате слабости в системите и приложенията.
Бъдещето на киберсигурността в епохата на AI
Възходът на AI в киберсигурността представлява както възможности, така и предизвикателства. Докато AI може да се използва за ускоряване на атаките, той може да се използва и за подобряване на защитата. Организациите, които възприемат AI и адаптират своите стратегии за сигурност, ще бъдат в най-добра позиция да се защитят срещу развиващия се пейзаж на заплахите.
Тъй като AI продължава да се развива, от решаващо значение е професионалистите по киберсигурност да бъдат информирани за последните развития и да адаптират своите умения и стратегии съответно. Бъдещето на киберсигурността ще бъде определено от продължаващата битка между нападатели, задвижвани от AI, и защитници, задвижвани от AI.