Cảnh quan an ninh mạng đang phát triển nhanh chóng, với trí tuệ nhân tạo (AI) đóng vai trò ngày càng quan trọng. Các mô hình AI tạo sinh hiện có khả năng tạo ra mã khai thác với tốc độ đáng kinh ngạc, giảm đáng kể cơ hội cho những người bảo vệ phản ứng với các lỗ hổng. Sự thay đổi này, được thúc đẩy bởi khả năng phân tích và hiểu mã phức tạp của AI, đặt ra những thách thức mới cho các tổ chức đang nỗ lực bảo vệ hệ thống của họ.
Tốc độ khai thác: Vấn đề thời gian
Dòng thời gian truyền thống từ việc tiết lộ lỗ hổng đến việc tạo ra một khai thác chứng minh khái niệm (PoC) đã được rút ngắn đáng kể nhờ khả năng của AI tạo sinh. Những gì từng mất vài ngày hoặc vài tuần giờ có thể được thực hiện chỉ trong vài giờ.
Matthew Keely, một chuyên gia bảo mật tại ProDefense, đã chứng minh tốc độ này bằng cách sử dụng AI để phát triển một khai thác cho một lỗ hổng nghiêm trọng trong thư viện SSH của Erlang chỉ trong một buổi chiều. Mô hình AI, tận dụng mã từ một bản vá đã được công bố, đã xác định các lỗ hổng bảo mật và đưa ra một khai thác. Ví dụ này làm nổi bật cách AI có thể tăng tốc quá trình khai thác, đặt ra một thách thức ghê gớm cho các chuyên gia an ninh mạng.
Thí nghiệm của Keely được lấy cảm hứng từ một bài đăng từ Horizon3.ai, trong đó thảo luận về sự dễ dàng phát triển mã khai thác cho lỗi thư viện SSH. Ông quyết định kiểm tra xem liệu các mô hình AI, đặc biệt là GPT-4 của OpenAI và Claude Sonnet 3.7 của Anthropic, có thể tự động hóa quá trình tạo khai thác hay không.
Những phát hiện của ông thật đáng kinh ngạc. Theo Keely, GPT-4 không chỉ hiểu mô tả về Các Lỗ hổng và Điểm yếu Chung (CVE) mà còn xác định commit đã giới thiệu bản sửa lỗi, so sánh nó với mã cũ hơn, xác định vị trí lỗ hổng và thậm chí viết một PoC. Khi mã ban đầu không thành công, mô hình AI đã gỡ lỗi và sửa nó, thể hiện khả năng học hỏi và thích ứng của nó.
Vai trò ngày càng tăng của AI trong Nghiên cứu lỗ hổng
AI đã chứng minh giá trị của nó trong cả việc xác định lỗ hổng và phát triển khai thác. Dự án OSS-Fuzz của Google sử dụng các mô hình ngôn ngữ lớn (LLM) để khám phá các lỗ hổng bảo mật, trong khi các nhà nghiên cứu tại Đại học Illinois Urbana-Champaign đã chứng minh khả năng khai thác các lỗ hổng của GPT-4 bằng cách phân tích CVE.
Tốc độ mà AI hiện có thể tạo ra khai thác nhấn mạnh sự cần thiết cấp bách cho những người bảo vệ phải thích ứng với thực tế mới này. Việc tự động hóa đường ống sản xuất tấn công khiến những người bảo vệ có rất ít thời gian để phản ứng và thực hiện các biện pháp bảo mật cần thiết.
Phân tích quá trình tạo khai thác với AI
Thí nghiệm của Keely bao gồm việc hướng dẫn GPT-4 tạo ra một tập lệnh Python so sánh các phân đoạn mã dễ bị tấn công và đã vá trong máy chủ Erlang/OPT SSH. Quá trình này, được gọi là “diffing”, cho phép AI xác định các thay đổi cụ thể được thực hiện để giải quyết lỗ hổng.
Keely nhấn mạnh rằng các diff mã rất quan trọng để GPT-4 tạo ra một PoC hoạt động. Nếu không có chúng, mô hình AI đã phải vật lộn để phát triển một khai thác hiệu quả. Ban đầu, GPT-4 đã cố gắng viết một trình fuzz để thăm dò máy chủ SSH, thể hiện khả năng khám phá các vectơ tấn công khác nhau của nó.
Mặc dù fuzzing có thể không khám phá ra lỗ hổng cụ thể, nhưng GPT-4 đã cung cấp thành công các khối xây dựng cần thiết để tạo ra một môi trường phòng thí nghiệm, bao gồm Dockerfile, thiết lập máy chủ Erlang SSH trên phiên bản dễ bị tấn công và các lệnh fuzzing. Khả năng này làm giảm đáng kể đường cong học tập cho những kẻ tấn công, cho phép họ nhanh chóng hiểu và khai thác các lỗ hổng.
Được trang bị các diff mã, mô hình AI đã đưa ra một danh sách các thay đổi, thúc đẩy Keely hỏi về nguyên nhân gây ra lỗ hổng.
Mô hình AI đã giải thích chính xác lý do đằng sau lỗ hổng, trình bày chi tiết sự thay đổi trong logic đã giới thiệu khả năng bảo vệ chống lại các tin nhắn chưa được xác thực. Mức độ hiểu biết này làm nổi bật khả năng của AI không chỉ xác định các lỗ hổng mà còn hiểu các nguyên nhân cơ bản của chúng.
Sau lời giải thích này, mô hình AI đã đề nghị tạo ra một máy khách PoC đầy đủ, một bản demo kiểu Metasploit hoặc một máy chủ SSH đã vá để theo dõi, thể hiện tính linh hoạt và các ứng dụng tiềm năng của nó trong nghiên cứu lỗ hổng.
Vượt qua các thách thức: Gỡ lỗi và tinh chỉnh
Mặc dù có những khả năng ấn tượng, nhưng mã PoC ban đầu của GPT-4 đã không hoạt động chính xác, một sự cố phổ biến với mã do AI tạo ra vượt ra ngoài các đoạn mã đơn giản.
Để giải quyết vấn đề này, Keely đã chuyển sang một công cụ AI khác, Cursor với Claude Sonnet 3.7 của Anthropic và giao nhiệm vụ sửa PoC không hoạt động cho nó. Điều đáng ngạc nhiên là mô hình AI đã sửa mã thành công, thể hiện tiềm năng của AI để tinh chỉnh và cải thiện các kết quả đầu ra của chính nó.
Keely suy ngẫm về kinh nghiệm của mình, lưu ý rằng nó đã biến sự tò mò ban đầu của ông thành một khám phá sâu sắc về cách AI đang cách mạng hóa nghiên cứu lỗ hổng. Ông nhấn mạnh rằng những gì từng yêu cầu kiến thức Erlang chuyên biệt và gỡ lỗi thủ công rộng rãi giờ có thể được thực hiện trong một buổi chiều với các lời nhắc phù hợp.
Ý nghĩa đối với sự lan truyền mối đe dọa
Keely nhấn mạnh sự gia tăng đáng kể về tốc độ lan truyền các mối đe dọa, được thúc đẩy bởi khả năng của AI để tăng tốc quá trình khai thác.
Các lỗ hổng không chỉ được công bố thường xuyên hơn mà còn bị khai thác nhanh hơn nhiều, đôi khi chỉ trong vòng vài giờ sau khi được công khai. Thời gian khai thác tăng tốc này khiến những người bảo vệ có ít thời gian hơn để phản ứng và thực hiện các biện pháp bảo mật cần thiết.
Sự thay đổi này cũng được đặc trưng bởi sự phối hợp tăng cường giữa các tác nhân đe dọa, với cùng một lỗ hổng được sử dụng trên các nền tảng, khu vực và ngành khác nhau trong một thời gian rất ngắn.
Theo Keely, mức độ đồng bộ hóa giữa các tác nhân đe dọa từng mất vài tuần nhưng giờ có thể xảy ra trong một ngày duy nhất. Dữ liệu chỉ ra sự gia tăng đáng kể về số lượng CVE được công bố, phản ánh sự phức tạp và tốc độ ngày càng tăng của bối cảnh mối đe dọa. Đối với những người bảo vệ, điều này có nghĩa là thời gian phản hồi ngắn hơn và nhu cầu lớn hơn về tự động hóa, khả năng phục hồi và sẵn sàng liên tục.
Phòng thủ chống lại các mối đe dọa do AI tăng tốc
Khi được hỏi về ý nghĩa đối với các doanh nghiệp đang tìm cách bảo vệ cơ sở hạ tầng của họ, Keely nhấn mạnh rằng nguyên tắc cốt lõi vẫn giữ nguyên: các lỗ hổng nghiêm trọng phải được vá nhanh chóng và an toàn. Điều này đòi hỏi một phương pháp DevOps hiện đại ưu tiên bảo mật.
Sự thay đổi chính do AI giới thiệu là tốc độ mà kẻ tấn công có thể chuyển từ việc tiết lộ lỗ hổng sang một khai thác đang hoạt động. Thời gian phản hồi đang thu hẹp lại, đòi hỏi các doanh nghiệp phải coi mọi bản phát hành CVE là một mối đe dọa tiềm ẩn ngay lập tức. Các tổ chức không còn đủ khả năng để chờ đợi vài ngày hoặc vài tuần để phản ứng; họ phải chuẩn bị để phản hồi ngay khi chi tiết được công khai.
Thích ứng với bối cảnh an ninh mạng mới
Để bảo vệ hiệu quả trước các mối đe dọa do AI tăng tốc, các tổ chức phải áp dụng tư thế bảo mật chủ động và thích ứng. Điều này bao gồm:
- Ưu tiên Quản lý Lỗ hổng: Thực hiện một chương trình quản lý lỗ hổng mạnh mẽ bao gồm quét, ưu tiên và vá các lỗ hổng thường xuyên.
- Tự động hóa các Quy trình Bảo mật: Tận dụng tự động hóa để hợp lý hóa các quy trình bảo mật, chẳng hạn như quét lỗ hổng, ứng phó sự cố và phân tích thông tin tình báo về mối đe dọa.
- Đầu tư vào Thông tin Tình báo về Mối đe dọa: Luôn cập nhật thông tin về các mối đe dọa và lỗ hổng mới nhất bằng cách đầu tư vào các nguồn cấp thông tin tình báo về mối đe dọa và tham gia vào các cộng đồng chia sẻ thông tin.
- Nâng cao Đào tạo Nhận thức về An ninh: Giáo dục nhân viên về những rủi ro của lừa đảo, phần mềm độc hại và các mối đe dọa mạng khác.
- Thực hiện Kiến trúc Không Tin cậy: Áp dụng mô hình bảo mật không tin cậy giả định rằng không có người dùng hoặc thiết bị nào được tin cậy theo mặc định.
- Tận dụng AI cho Phòng thủ: Khám phá việc sử dụng các công cụ bảo mật được hỗ trợ bởi AI để phát hiện và ứng phó với các mối đe dọa trong thời gian thực.
- Giám sát và Cải tiến Liên tục: Liên tục giám sát các biện pháp kiểm soát và quy trình bảo mật, đồng thời thực hiện các điều chỉnh khi cần thiết để luôn dẫn đầu các mối đe dọa đang phát triển.
- Lập kế hoạch Ứng phó Sự cố: Phát triển và thường xuyên kiểm tra các kế hoạch ứng phó sự cố để đảm bảo phản ứng nhanh chóng và hiệu quả đối với các sự cố bảo mật.
- Hợp tác và Chia sẻ Thông tin: Thúc đẩy sự hợp tác và chia sẻ thông tin với các tổ chức và nhóm ngành khác để cải thiện an ninh tập thể.
- Săn Tìm Mối đe dọa Chủ động: Tiến hành săn tìm mối đe dọa chủ động để xác định và giảm thiểu các mối đe dọa tiềm ẩn trước khi chúng có thể gây ra thiệt hại.
- Áp dụng DevSecOps: Tích hợp bảo mật vào vòng đời phát triển phần mềm để xác định và giải quyết các lỗ hổng sớm.
- Kiểm tra An ninh và Kiểm tra Thâm nhập Thường xuyên: Tiến hành kiểm tra an ninh và kiểm tra thâm nhập thường xuyên để xác định các điểm yếu trong hệ thống và ứng dụng.
Tương lai của An ninh mạng trong Kỷ nguyên AI
Sự trỗi dậy của AI trong an ninh mạng mang đến cả cơ hội và thách thức. Mặc dù AI có thể được sử dụng để tăng tốc các cuộc tấn công, nhưng nó cũng có thể được sử dụng để tăng cường phòng thủ. Các tổ chức chấp nhận AI và điều chỉnh các chiến lược bảo mật của họ sẽ có vị thế tốt nhất để bảo vệ bản thân trước bối cảnh mối đe dọa đang phát triển.
Khi AI tiếp tục phát triển, điều quan trọng là các chuyên gia an ninh mạng phải luôn cập nhật thông tin về những phát triển mới nhất và điều chỉnh các kỹ năng và chiến lược của họ cho phù hợp. Tương lai của an ninh mạng sẽ được xác định bởi cuộc chiến đang diễn ra giữa những kẻ tấn công được hỗ trợ bởi AI và những người bảo vệ được hỗ trợ bởi AI.