Landskap keselamatan siber berkembang pesat, dengan kecerdasan buatan (AI) memainkan peranan yang semakin penting. Model AI generatif kini mampu menghasilkan kod eksploitasi pada kelajuan yang luar biasa, mengurangkan secara drastik peluang bagi pertahanan untuk bertindak balas terhadap kelemahan. Peralihan ini, didorong oleh keupayaan AI untuk menganalisis dan memahami kod yang kompleks, menimbulkan cabaran baharu bagi organisasi yang berusaha melindungi sistem mereka.
Kelajuan Eksploitasi: Perkara Jam
Garis masa tradisional dari pendedahan kelemahan kepada penciptaan bukti konsep (PoC) eksploitasi telah dikurangkan dengan ketara berkat keupayaan AI generatif. Apa yang dahulunya mengambil masa beberapa hari atau minggu kini boleh dicapai dalam masa beberapa jam.
Matthew Keely, seorang pakar keselamatan di ProDefense, menunjukkan kelajuan ini dengan menggunakan AI untuk membangunkan eksploitasi bagi kelemahan kritikal dalam pustaka SSH Erlang dalam masa satu petang sahaja. Model AI, memanfaatkan kod daripada tampung yang diterbitkan, mengenal pasti lubang keselamatan dan menghasilkan eksploitasi. Contoh ini menyoroti bagaimana AI boleh mempercepatkan proses eksploitasi, memberikan cabaran yang hebat kepada profesional keselamatan siber.
Eksperimen Keely diilhamkan oleh catatan daripada Horizon3.ai, yang membincangkan kemudahan membangunkan kod eksploitasi untuk pepijat pustaka SSH. Beliau memutuskan untuk menguji sama ada model AI, khususnya GPT-4 OpenAI dan Claude Sonnet 3.7 Anthropic, boleh mengautomasikan proses penciptaan eksploitasi.
Penemuannya sangat mengejutkan. Menurut Keely, GPT-4 bukan sahaja memahami perihalan Kerentanan dan Pendedahan Umum (CVE) tetapi juga mengenal pasti komit yang memperkenalkan pembetulan, membandingkannya dengan kod yang lebih lama, mengesan kelemahan dan juga menulis PoC. Apabila kod awal gagal, model AI menyahpepijat dan membetulkannya, mempamerkan keupayaannya untuk belajar dan menyesuaikan diri.
Peranan AI yang Semakin Meningkat dalam Penyelidikan Kerentanan
AI telah membuktikan nilainya dalam kedua-dua mengenal pasti kelemahan dan membangunkan eksploitasi. Projek OSS-Fuzz Google menggunakan model bahasa besar (LLM) untuk menemui lubang keselamatan, manakala penyelidik di Universiti Illinois Urbana-Champaign telah menunjukkan keupayaan GPT-4 untuk mengeksploitasi kelemahan dengan menganalisis CVE.
Kelajuan AI kini boleh mencipta eksploitasi menggariskan keperluan mendesak bagi pertahanan untuk menyesuaikan diri dengan realiti baharu ini. Pengautomatan saluran pengeluaran serangan meninggalkan pertahanan dengan masa yang minimum untuk bertindak balas dan melaksanakan langkah keselamatan yang diperlukan.
Menyusun Semula Proses Penciptaan Eksploitasi dengan AI
Eksperimen Keely melibatkan pengarahan GPT-4 untuk menjana skrip Python yang membandingkan segmen kod terdedah dan ditampal dalam pelayan Erlang/OPT SSH. Proses ini, yang dikenali sebagai ‘diffing’, membenarkan AI mengenal pasti perubahan khusus yang dibuat untuk menangani kelemahan tersebut.
Keely menekankan bahawa kod diff adalah penting untuk GPT-4 mencipta PoC yang berfungsi. Tanpa mereka, model AI bergelut untuk membangunkan eksploitasi yang berkesan. Pada mulanya, GPT-4 cuba menulis fuzzer untuk meninjau pelayan SSH, menunjukkan keupayaannya untuk meneroka vektor serangan yang berbeza.
Walaupun fuzzing mungkin tidak menemui kelemahan tertentu, GPT-4 berjaya menyediakan blok binaan yang diperlukan untuk mewujudkan persekitaran makmal, termasuk Dockerfiles, persediaan pelayan Erlang SSH pada versi yang terdedah dan arahan fuzzing. Keupayaan ini mengurangkan lengkung pembelajaran untuk penyerang dengan ketara, membolehkan mereka memahami dan mengeksploitasi kelemahan dengan cepat.
Berbekalkan kod diff, model AI menghasilkan senarai perubahan, mendorong Keely untuk bertanya tentang punca kelemahan tersebut.
Model AI menjelaskan dengan tepat rasional di sebalik kelemahan tersebut, memperincikan perubahan dalam logik yang memperkenalkan perlindungan terhadap mesej yang tidak disahkan. Tahap pemahaman ini menyerlahkan keupayaan AI untuk bukan sahaja mengenal pasti kelemahan tetapi juga memahami punca asasnya.
Berikutan penjelasan ini, model AI menawarkan untuk menjana pelanggan PoC penuh, demo gaya Metasploit atau pelayan SSH yang ditampal untuk pengesanan, mempamerkan kepelbagaian dan potensi aplikasinya dalam penyelidikan kelemahan.
Mengatasi Cabaran: Penyahpepijatan dan Penambahbaikan
Walaupun keupayaannya yang mengagumkan, kod PoC awal GPT-4 tidak berfungsi dengan betul, kejadian biasa dengan kod yang dijana AI yang melangkaui coretan ringkas.
Untuk menangani isu ini, Keely beralih kepada alat AI lain, Kursor dengan Claude Sonnet 3.7 Anthropic, dan menugaskannya untuk membetulkan PoC yang tidak berfungsi. Beliau terkejut, model AI berjaya membetulkan kod tersebut, menunjukkan potensi AI untuk memperhalusi dan menambah baik outputnya sendiri.
Keely merenungkan pengalamannya, sambil menyatakan bahawa ia mengubah rasa ingin tahunya yang awal menjadi penerokaan mendalam tentang bagaimana AI merevolusikan penyelidikan kelemahan. Beliau menekankan bahawa apa yang dahulunya memerlukan pengetahuan Erlang khusus dan penyahpepijatan manual yang meluas kini boleh dicapai dalam masa satu petang dengan gesaan yang betul.
Implikasi untuk Penyebaran Ancaman
Keely menyerlahkan peningkatan ketara dalam kelajuan ancaman disebarkan, didorong oleh keupayaan AI untuk mempercepatkan proses eksploitasi.
Kelemahan bukan sahaja diterbitkan dengan lebih kerap tetapi juga dieksploitasi dengan lebih cepat, kadang-kadang dalam masa beberapa jam selepas menjadi awam. Garis masa eksploitasi yang dipercepatkan ini menyebabkan pertahanan mempunyai masa yang kurang untuk bertindak balas dan melaksanakan langkah keselamatan yang diperlukan.
Peralihan ini juga dicirikan oleh peningkatan penyelarasan antara pelaku ancaman, dengan kelemahan yang sama digunakan merentas platform, rantau dan industri yang berbeza dalam masa yang sangat singkat.
Menurut Keely, tahap penyegerakan antara pelaku ancaman yang dahulunya mengambil masa beberapa minggu kini boleh berlaku dalam satu hari. Data menunjukkan peningkatan ketara dalam CVE yang diterbitkan, mencerminkan kerumitan dan kelajuan landskap ancaman yang semakin meningkat. Bagi pertahanan, ini diterjemahkan kepada tetingkap tindak balas yang lebih pendek dan keperluan yang lebih besar untuk automasi, daya tahan dan kesediaan yang berterusan.
Mempertahankan Terhadap Ancaman yang Dipercepatkan AI
Apabila ditanya tentang implikasi untuk perusahaan yang ingin mempertahankan infrastruktur mereka, Keely menekankan bahawa prinsip teras kekal sama: kelemahan kritikal mesti ditampal dengan cepat dan selamat. Ini memerlukan pendekatan DevOps moden yang mengutamakan keselamatan.
Perubahan utama yang diperkenalkan oleh AI ialah kelajuan penyerang boleh beralih daripada pendedahan kelemahan kepada eksploitasi yang berfungsi. Garis masa tindak balas semakin mengecil, memerlukan perusahaan menganggap setiap keluaran CVE sebagai potensi ancaman segera. Organisasi tidak lagi mampu menunggu berhari-hari atau berminggu-minggu untuk bertindak balas; mereka mesti bersedia untuk bertindak balas sebaik sahaja butiran didedahkan kepada umum.
Menyesuaikan Diri dengan Landskap Keselamatan Siber Baharu
Untuk mempertahankan diri dengan berkesan terhadap ancaman yang dipercepatkan AI, organisasi mesti menerima pakai postur keselamatan yang proaktif dan adaptif. Ini termasuk:
- Mengutamakan Pengurusan Kelemahan: Laksanakan program pengurusan kelemahan yang teguh yang merangkumi pengimbasan, pengutamaan dan penampalan kelemahan yang kerap.
- Mengautomasikan Proses Keselamatan: Manfaatkan automasi untuk menyelaraskan proses keselamatan, seperti pengimbasan kelemahan, tindak balas insiden dan analisis perisikan ancaman.
- Melabur dalam Perisikan Ancaman: Kekal dimaklumkan tentang ancaman dan kelemahan terkini dengan melabur dalam suapan perisikan ancaman dan mengambil bahagian dalam komuniti perkongsian maklumat.
- Meningkatkan Latihan Kesedaran Keselamatan: Mendidik pekerja tentang risiko pancingan data, perisian hasad dan ancaman siber yang lain.
- Melaksanakan Seni Bina Sifar Kepercayaan: Gunakan model keselamatan sifar kepercayaan yang menganggap tiada pengguna atau peranti dipercayai secara lalai.
- Memanfaatkan AI untuk Pertahanan: Terokai penggunaan alat keselamatan berkuasa AI untuk mengesan dan bertindak balas terhadap ancaman dalam masa nyata.
- Pemantauan dan Penambahbaikan Berterusan: Sentiasa memantau kawalan dan proses keselamatan, dan buat pelarasan mengikut keperluan untuk kekal mendahului ancaman yang berkembang.
- Perancangan Tindak Balas Insiden: Bangunkan dan uji rancangan tindak balas insiden dengan kerap untuk memastikan tindak balas yang pantas dan berkesan terhadap insiden keselamatan.
- Kerjasama dan Perkongsian Maklumat: Memupuk kerjasama dan perkongsian maklumat dengan organisasi dan kumpulan industri lain untuk meningkatkan keselamatan kolektif.
- Pemburuan Ancaman Proaktif: Menjalankan pemburuan ancaman proaktif untuk mengenal pasti dan mengurangkan potensi ancaman sebelum ia boleh menyebabkan kerosakan.
- Mengguna Pakai DevSecOps: Mengintegrasikan keselamatan ke dalam kitaran hayat pembangunan perisian untuk mengenal pasti dan menangani kelemahan di peringkat awal.
- Audit Keselamatan dan Ujian Penembusan Berkala: Menjalankan audit keselamatan dan ujian penembusan berkala untuk mengenal pasti kelemahan dalam sistem dan aplikasi.
Masa Depan Keselamatan Siber dalam Era AI
Kebangkitan AI dalam keselamatan siber membentangkan kedua-dua peluang dan cabaran. Walaupun AI boleh digunakan untuk mempercepatkan serangan, ia juga boleh digunakan untuk meningkatkan pertahanan. Organisasi yang menerima AI dan menyesuaikan strategi keselamatan mereka akan berada dalam kedudukan terbaik untuk melindungi diri mereka daripada landskap ancaman yang berkembang.
Memandangkan AI terus berkembang, adalah penting bagi profesional keselamatan siber untuk terus dimaklumkan tentang perkembangan terkini dan menyesuaikan kemahiran dan strategi mereka dengan sewajarnya. Masa depan keselamatan siber akan ditakrifkan oleh pertempuran berterusan antara penyerang berkuasa AI dan pertahanan berkuasa AI.