資安領域正快速演進,人工智慧(AI)扮演的角色日益重要。生成式AI模型現在能夠以驚人的速度產生漏洞利用程式碼,大幅縮短防禦者對漏洞做出反應的時間。這種轉變源於AI分析和理解複雜程式碼的能力,為致力於保護其系統的組織帶來了新的挑戰。
漏洞利用的速度:分秒必爭
由於生成式AI的能力,從漏洞揭露到建立概念驗證(PoC)漏洞利用的傳統時間軸已大幅縮短。過去需要數天或數週才能完成的事情,現在只需幾個小時即可完成。
ProDefense的安全專家Matthew Keely透過使用AI在一個下午的時間內,為Erlang SSH函式庫中的一個嚴重漏洞開發了一個漏洞利用,證明了這種速度。該AI模型利用已發佈的修補程式中的程式碼,識別了安全漏洞並設計了一個漏洞利用。這個例子突顯了AI如何加速漏洞利用過程,對資安專業人員構成了巨大的挑戰。
Keely的實驗靈感來自Horizon3.ai的一篇文章,該文章討論了開發SSH函式庫錯誤的漏洞利用程式碼的容易程度。他決定測試AI模型,特別是OpenAI的GPT-4和Anthropic的Claude Sonnet 3.7,是否可以自動化漏洞利用建立過程。
他的發現令人震驚。根據Keely的說法,GPT-4不僅理解了常見漏洞和暴露(CVE)描述,還識別了引入修復的提交,將其與舊程式碼進行比較,定位了漏洞,甚至編寫了一個PoC。當初始程式碼失敗時,AI模型會進行偵錯和更正,展示了其學習和適應的能力。
AI在漏洞研究中日益重要的作用
AI已證明其在識別漏洞和開發漏洞利用方面的價值。Google的OSS-Fuzz專案使用大型語言模型(LLM)來發現安全漏洞,而伊利諾大學厄巴納-香檳分校的研究人員已經展示了GPT-4透過分析CVE來利用漏洞的能力。
AI現在可以創建漏洞利用的速度突顯了防禦者迫切需要適應這種新現實。攻擊生產管道的自動化使防禦者幾乎沒有時間做出反應並實施必要的安全措施。
使用AI解構漏洞利用建立過程
Keely的實驗包括指示GPT-4產生一個Python腳本,該腳本比較Erlang/OPT SSH伺服器中易受攻擊和修補的程式碼區段。這個過程稱為’diffing’,它允許AI識別為了解決漏洞而進行的特定變更。
Keely強調,程式碼差異對於GPT-4建立可運作的PoC至關重要。如果沒有它們,AI模型很難開發出有效的漏洞利用。最初,GPT-4嘗試編寫一個模糊器來探測SSH伺服器,展示了它探索不同攻擊向量的能力。
雖然模糊測試可能沒有發現特定的漏洞,但GPT-4成功提供了建立實驗室環境的必要構建模組,包括Dockerfile、在易受攻擊版本上設定Erlang SSH伺服器和模糊測試命令。這種能力大大降低了攻擊者的學習曲線,使他們能夠快速理解和利用漏洞。
有了程式碼差異,AI模型產生了一系列變更,促使Keely詢問漏洞的原因。
AI模型準確地解釋了漏洞背後的基本原理,詳細說明了引入針對未驗證訊息的保護的邏輯變更。這種理解程度突顯了AI不僅能夠識別漏洞,還能理解其根本原因。
在做出此解釋後,AI模型主動提出產生完整的PoC用戶端、Metasploit風格的演示或用於追蹤的修補SSH伺服器,展示了其多功能性和在漏洞研究中的潛在應用。
克服挑戰:偵錯和完善
儘管GPT-4具有令人印象深刻的功能,但其最初的PoC程式碼無法正常運作,這是AI產生的程式碼的常見情況,這種程式碼不僅僅是簡單的程式碼片段。
為了解決這個問題,Keely求助於另一個AI工具Cursor和Anthropic的Claude Sonnet 3.7,並要求它修復無法運作的PoC。令他驚訝的是,AI模型成功更正了程式碼,展示了AI完善和改進自身輸出的潛力。
Keely回顧了他的經驗,他指出,它將他最初的好奇心轉變為對AI如何徹底改變漏洞研究的深入探索。他強調,過去需要專業的Erlang知識和廣泛的手動偵錯才能完成的事情,現在只需在下午透過正確的提示即可完成。
對威脅傳播的影響
Keely強調,在AI加速漏洞利用過程的推動下,威脅傳播的速度顯著提高。
漏洞不僅發佈得更頻繁,而且利用得也更快,有時在公開後幾個小時內就會被利用。這種加速的漏洞利用時間表讓防禦者沒有足夠的時間做出反應並實施必要的安全措施。
這種轉變的另一個特點是威脅行為者之間的協調性增強,相同的漏洞在不同的平台、地區和行業中以非常短的時間內被使用。
根據Keely的說法,威脅行為者之間的同步等級過去需要數週,但現在可以在一天之內發生。數據顯示,已發佈的CVE數量大幅增加,反映了威脅形勢日益複雜和快速。對於防禦者而言,這意味著更短的反應時間和對自動化、復原能力和持續準備的更大需求。
防禦AI加速的威脅
當被問及企業如何防禦其基礎設施時,Keely強調,核心原則仍然相同:必須快速且安全地修補關鍵漏洞。這需要一種優先考慮安全性的現代DevOps方法。
AI引入的關鍵變化是攻擊者從漏洞揭露到可運作的漏洞利用的過渡速度。反應時間正在縮短,要求企業將每個CVE發布視為潛在的直接威脅。組織再也無法承受等待數天或數週才能做出反應;他們必須準備好在詳細資訊公開的那一刻做出反應。
適應新的資安形勢
為了有效防禦AI加速的威脅,組織必須採取主動和適應性強的安全姿態。這包括:
- 優先考慮漏洞管理: 實施健全的漏洞管理計畫,包括定期掃描、優先排序和修補漏洞。
- 自動化安全流程: 利用自動化來簡化安全流程,例如漏洞掃描、事件回應和威脅情報分析。
- 投資威脅情報: 透過投資威脅情報來源和參與資訊共享社群,隨時掌握最新的威脅和漏洞。
- 加強安全意識培訓: 教育員工有關網路釣魚、惡意軟體和其他網路威脅的風險。
- 實施零信任架構: 採用零信任安全模型,該模型預設不信任任何使用者或裝置。
- 利用AI進行防禦: 探索使用AI驅動的安全工具來即時檢測和回應威脅。
- 持續監控和改進: 持續監控安全控制和流程,並根據需要進行調整,以領先於不斷演變的威脅。
- 事件回應計畫: 制定並定期測試事件回應計畫,以確保對安全事件做出迅速而有效的回應。
- 協作和資訊共享: 促進與其他組織和行業團體的協作和資訊共享,以提高集體安全性。
- 主動威脅獵捕: 進行主動威脅獵捕,以在潛在威脅造成損害之前識別並減輕它們。
- 採用DevSecOps: 將安全性整合到軟體開發生命週期中,以儘早識別和解決漏洞。
- 定期安全稽核和滲透測試: 進行定期安全稽核和滲透測試,以識別系統和應用程式中的弱點。
AI時代資安的未來
AI在資安領域的興起帶來了機遇和挑戰。雖然AI可用於加速攻擊,但它也可用於加強防禦。擁抱AI並調整其安全策略的組織將最能保護自己免受不斷演變的威脅形勢的影響。
隨著AI的持續發展,資安專業人員必須隨時掌握最新發展並相應地調整其技能和策略。資安的未來將由AI驅動的攻擊者和AI驅動的防禦者之間持續的戰鬥來定義。