人工智能(AI)在网络安全领域扮演着日益重要的角色,网络安全的格局正在迅速演变。生成式AI模型现在能够以惊人的速度创建漏洞利用代码,从而大大缩短了防御者响应漏洞的时间窗口。这种转变是由AI分析和理解复杂代码的能力驱动的,给那些努力保护其系统的组织带来了新的挑战。
利用速度:以小时计
由于生成式AI的功能,从漏洞披露到概念验证(PoC)漏洞利用创建的传统时间表已大大缩短。曾经需要几天或几周才能完成的事情现在可以在几个小时内完成。
ProDefense的安全专家Matthew Keely通过使用AI在短短一个下午的时间内为Erlang的SSH库中的一个关键漏洞开发了一个漏洞利用程序,证明了这种速度。AI模型利用已发布的补丁中的代码,识别出安全漏洞并设计出漏洞利用程序。这个例子突显了AI如何加速漏洞利用过程,从而对网络安全专业人员构成了严峻的挑战。
Keely的实验受到了Horizon3.ai的一篇文章的启发,该文章讨论了为SSH库错误开发漏洞利用代码的简易性。他决定测试AI模型,特别是OpenAI的GPT-4和Anthropic的Claude Sonnet 3.7,是否可以自动执行漏洞利用创建过程。
他的发现令人震惊。根据Keely的说法,GPT-4不仅理解了常见漏洞和披露(CVE)的描述,而且还识别出了引入修复程序的提交,将其与旧代码进行了比较,找到了漏洞,甚至编写了PoC。当初始代码失败时,AI模型会对其进行调试和更正,从而展示了其学习和适应能力。
AI在漏洞研究中日益增长的作用
AI已证明其在识别漏洞和开发漏洞利用方面的价值。Google的OSS-Fuzz项目使用大型语言模型(LLM)来发现安全漏洞,而伊利诺伊大学厄巴纳-香槟分校的研究人员已经证明了GPT-4通过分析CVE来利用漏洞的能力。
AI现在可以创建漏洞利用的速度凸显了防御者迫切需要适应这一新现实。攻击生产管道的自动化使防御者只有很少的时间来做出反应并实施必要的安全措施。
使用AI解构漏洞利用创建过程
Keely的实验涉及指示GPT-4生成一个Python脚本,该脚本比较Erlang / OPT SSH服务器中易受攻击和已修补的代码段。此过程称为“差异”,使AI可以识别为解决该漏洞而进行的特定更改。
Keely强调说,代码差异对于GPT-4创建可用的PoC至关重要。没有它们,AI模型很难开发出有效的漏洞利用程序。最初,GPT-4尝试编写一个模糊器来探测SSH服务器,从而展示了其探索不同攻击向量的能力。
尽管模糊测试可能没有发现特定的漏洞,但GPT-4成功提供了创建实验室环境的必要构建块,包括Dockerfile,在易受攻击的版本上设置Erlang SSH服务器以及模糊测试命令。此功能大大降低了攻击者的学习曲线,使他们能够快速理解和利用漏洞。
有了代码差异,AI模型生成了一个更改列表,促使Keely询问该漏洞的原因。
AI模型准确地解释了该漏洞背后的原理,详细说明了引入针对未经身份验证的消息进行保护的逻辑更改。这种理解程度突显了AI不仅识别漏洞而且还了解其根本原因的能力。
在此解释之后,AI模型提供了生成完整的PoC客户端,Metasploit样式的演示或用于跟踪的已修补SSH服务器,从而展示了其在漏洞研究中的多功能性和潜在应用。
克服挑战:调试和完善
尽管GPT-4具有令人印象深刻的功能,但其最初的PoC代码无法正常运行,这是AI生成的代码的常见现象,超出了简单的代码段。
为了解决这个问题,Keely转向了另一个AI工具,即带有Anthropic的Claude Sonnet 3.7的Cursor,并要求它修复无法正常运行的PoC。令他惊讶的是,AI模型成功地纠正了代码,从而证明了AI具有完善和改进自身输出的潜力。
Keely回顾了他的经验,指出它将他最初的好奇心变成了对AI如何彻底改变漏洞研究的深入探索。他强调,曾经需要专门的Erlang知识和大量的手动调试才能完成的事情,现在只需在下午使用正确的提示即可完成。
对威胁传播的影响
Keely强调,由于AI加速了漏洞利用过程,因此威胁传播的速度显着提高。
漏洞不仅发布得越来越频繁,而且利用的速度也越来越快,有时在公开后的几个小时内就被利用。这种加速的漏洞利用时间表使防御者几乎没有时间做出反应并实施必要的安全措施。
这种转变的另一个特征是威胁参与者之间的协调增加,相同的漏洞在不同的平台、地区和行业中以非常短的时间内被使用。
根据Keely的说法,威胁参与者之间的同步水平过去需要数周的时间,但现在可以在一天之内发生。数据表明已发布的CVE数量大幅增加,反映了威胁环境日益增长的复杂性和速度。对于防御者而言,这意味着更短的响应时间以及对自动化,弹性和持续准备的更大需求。
防御AI加速的威胁
当被问及寻求保护其基础设施的企业的影响时,Keely强调说,核心原则仍然相同:必须快速安全地修补关键漏洞。这需要一种优先考虑安全性的现代DevOps方法。
AI引入的关键变化是攻击者从漏洞披露过渡到可用的漏洞利用的速度。响应时间表正在缩短,要求企业将每个CVE版本视为潜在的直接威胁。组织再也无法承受等待数天或数周才能做出反应的后果;他们必须做好在细节公开的那一刻做出反应的准备。
适应新的网络安全格局
为了有效防御AI加速的威胁,组织必须采取积极主动和适应性强的安全姿态。这包括:
- 优先考虑漏洞管理: 实施强大的漏洞管理程序,包括定期扫描,优先级排序和修补漏洞。
- 自动化安全流程: 利用自动化来简化安全流程,例如漏洞扫描,事件响应和威胁情报分析。
- 投资威胁情报: 通过投资威胁情报源和参与信息共享社区,随时了解最新的威胁和漏洞。
- 加强安全意识培训: 对员工进行关于网络钓鱼,恶意软件和其他网络威胁的风险教育。
- 实施零信任架构: 采用零信任安全模型,该模型假定默认情况下不信任任何用户或设备。
- 利用AI进行防御: 探索使用AI驱动的安全工具来实时检测和响应威胁。
- 持续监控和改进: 持续监控安全控制和流程,并根据需要进行调整,以领先于不断演变的威胁。
- 事件响应计划: 制定并定期测试事件响应计划,以确保对安全事件做出快速有效的响应。
- 协作和信息共享: 促进与其他组织和行业团体之间的协作和信息共享,以提高集体安全性。
- 主动威胁搜寻: 进行主动威胁搜寻,以识别和减轻潜在威胁,然后才造成损害。
- 采用DevSecOps: 将安全性集成到软件开发生命周期中,以尽早识别和解决漏洞。
- 定期安全审核和渗透测试: 进行定期安全审核和渗透测试,以识别系统和应用程序中的弱点。
AI时代的网络安全未来
AI在网络安全领域的崛起带来了机遇和挑战。虽然AI可以用来加速攻击,但也可以用来增强防御。那些拥抱AI并调整其安全策略的组织将能够最好地保护自己免受不断演变的威胁环境的侵害。
随着AI的不断发展,网络安全专业人员必须随时了解最新发展并相应地调整其技能和策略。网络安全的未来将由AI驱动的攻击者和AI驱动的防御者之间的持续斗争来定义。