Líders del pensament
IA generativa en ciberseguretat: el camp de batalla, l'amenaça i ara la defensa
El camp de batalla
El que va començar com una il·lusió per les capacitats de l'IA generativa s'ha convertit ràpidament en preocupació. Les eines d'IA generativa com ara ChatGPT, Google Bard, Dall-E, etc. continuen sent els titulars per problemes de seguretat i privadesa. Fins i tot porta a qüestionar-se què és real i què no. La IA generativa pot generar contingut altament plausible i, per tant, convincent. Tant és així que en acabar un segment recent de 60 minuts sobre IA, l'amfitrió Scott Pelley va deixar als espectadors aquesta declaració; "Acabarem amb una nota que mai ha aparegut a 60 Minutes, però una, en la revolució de la IA, potser escolteu sovint: l'anterior es va crear amb contingut 100% humà".
La guerra cibernètica de la IA generativa comença amb aquest contingut convincent i de la vida real i el camp de batalla és on els pirates informàtics estan aprofitant la IA generativa, utilitzant eines com ChatGPT, etc. És extremadament fàcil per als ciberdelinqüents, especialment aquells amb recursos limitats i sense coneixements tècnics. per dur a terme els seus delictes mitjançant atacs d'enginyeria social, phishing i suplantació d'identitat.
L’amenaça
La IA generativa té el poder d'alimentar ciberatacs cada cop més sofisticats.
Com que la tecnologia pot produir contingut tan convincent i semblant a un humà amb facilitat, els equips de seguretat són més difícils de detectar fàcilment les noves estafes cibernètiques que aprofiten la IA. Les estafes generades per IA poden venir en forma d'atacs d'enginyeria social, com ara atacs de pesca multicanal realitzats per correu electrònic i aplicacions de missatgeria. Un exemple real podria ser un correu electrònic o un missatge que contingui un document que s'envia a un executiu corporatiu d'un proveïdor extern mitjançant Outlook (correu electrònic) o Slack (aplicació de missatgeria). El correu electrònic o missatge els dirigeix a fer-hi clic per veure una factura. Amb la IA generativa, pot ser gairebé impossible distingir entre un correu electrònic o missatge real i fals. Per això és tan perillós.
Un dels exemples més alarmants, però, és que amb la IA generativa, els ciberdelinqüents poden produir atacs en diversos idiomes, independentment de si el pirata informàtic parla realment l'idioma. L'objectiu és llançar una xarxa àmplia i els ciberdelinqüents no discriminen les víctimes per llenguatge.
L'avenç de la IA generativa indica que l'escala i l'eficiència d'aquests atacs seguiran augmentant.
La Defensa
La ciberdefensa per a la IA generativa ha estat notòriament la peça que faltava al trencaclosques. Fins ara. Utilitzant el combat màquina a màquina o fixant la IA contra la IA, podem defensar-nos d'aquesta nova i creixent amenaça. Però, com s'ha de definir aquesta estratègia i com es veu?
En primer lloc, la indústria ha d'actuar per fixar l'ordinador contra l'ordinador en lloc d'ésser humà contra ordinador. Per seguir aquest esforç, hem de tenir en compte plataformes de detecció avançades que puguin detectar amenaces generades per IA, reduir el temps que es triga a marcar i el temps que es triga a resoldre un atac d'enginyeria social originat de la IA generativa. Una cosa que un humà és incapaç de fer.
Recentment hem fet una prova de com es pot veure això. Vam fer que ChatGPT preparés un correu electrònic de pesca de trucada basat en un idioma en diversos idiomes per veure si una plataforma de comprensió del llenguatge natural o una plataforma de detecció avançada podia detectar-ho. Vam donar a ChatGPT la sol·licitud: "Escriu un correu electrònic urgent exhortant algú a trucar sobre un avís final sobre un contracte de llicència de programari". També li vam encarregar que l'escrigués en anglès i japonès.
La plataforma de detecció avançada va poder marcar immediatament els correus electrònics com un atac d'enginyeria social. PERÒ, els controls de correu electrònic natius, com ara la plataforma de detecció de pesca d'Outlook, no podien. Fins i tot abans del llançament de ChatGPT, l'enginyeria social realitzada a través d'atacs conversacionals basats en l'idioma va tenir èxit perquè podien esquivar els controls tradicionals, aterrant a les safates d'entrada sense enllaç ni càrrega útil. Així que sí, cal combatre màquina contra màquina per defensar-se, però també hem d'assegurar-nos que estem utilitzant artilleria eficaç, com una plataforma de detecció avançada. Qualsevol persona amb aquestes eines a la seva disposició té un avantatge en la lluita contra la IA generativa.
Quan es tracta de l'escala i la plausibilitat dels atacs d'enginyeria social que ofereix ChatGPT i altres formes d'IA generativa, la defensa de màquina a màquina també es pot perfeccionar. Per exemple, aquesta defensa es pot desplegar en diversos idiomes. A més, no només s'ha de limitar a la seguretat del correu electrònic, sinó que es pot utilitzar per a altres canals de comunicació com ara aplicacions com Slack, WhatsApp, Teams, etc.
Estigueu vigilants
Quan es desplaçava per LinkedIn, un dels nostres empleats es va trobar amb un intent d'enginyeria social d'IA generativa. Va aparèixer un estrany anunci de baixada de "llibre blanc" amb el que només es pot descriure generosament com a creativitat publicitària "estranya". Després d'una inspecció més propera, l'empleat va veure un patró de color revelador a la cantonada inferior dreta estampat en imatges produïdes per Dall-E, un model d'IA que genera imatges a partir d'indicacions basades en text.
Trobar-se amb aquest fals anunci de LinkedIn va ser un recordatori important dels nous perills d'enginyeria social que ara apareixen quan es combina amb l'IA generativa. És més crític que mai estar alerta i desconfiat.
L'era de la IA generativa que s'utilitza per a la ciberdelinqüència és aquí, i hem de mantenir-nos vigilants i estar preparats per lluitar amb totes les eines al nostre abast.
