사이버 보안의 생성 AI: 전쟁터, 위협, 이제 방어

전장

제너레이티브 AI의 기능에 대한 흥분으로 시작된 것은 곧 우려로 바뀌었습니다. ChatGPT, Google Bard, Dall-E 등과 같은 생성 AI 도구는 보안 및 개인 정보 보호 문제로 인해 계속해서 헤드라인을 장식하고 있습니다. 그것은 심지어 무엇이 진짜이고 무엇이 아닌지에 대한 질문으로 이어집니다. Generative AI는 매우 타당하고 따라서 설득력 있는 콘텐츠를 끌어낼 수 있습니다. AI에 관한 최근 60분짜리 세그먼트의 결론에서 호스트 스콧 펠리(Scott Pelley)는 시청자에게 다음과 같은 말을 남겼습니다. "60 Minutes에 한 번도 나오지 않은 메모로 마무리하겠습니다. 하지만 AI 혁명에서 자주 들을 수 있는 메모가 있습니다. 앞의 내용은 100% 인간 콘텐츠로 만들어졌습니다."

Generative AI 사이버 전쟁은 이 설득력 있고 실제적인 콘텐츠로 시작되며 전장은 해커가 ChatGPT 등과 같은 도구를 사용하여 Generative AI를 활용하는 곳입니다. 사회 공학, 피싱 및 사칭 공격을 통해 범죄를 수행합니다.

위협

제너레이티브 AI는 점점 더 정교해지는 사이버 공격을 부추길 수 있는 힘을 가지고 있습니다.

이 기술은 설득력 있고 인간과 유사한 콘텐츠를 쉽게 생성할 수 있기 때문에 AI를 활용하는 새로운 사이버 사기는 보안 팀이 쉽게 발견하기 어렵습니다. AI로 생성된 사기는 이메일 및 메시징 앱을 통해 수행되는 다중 채널 피싱 공격과 같은 사회 공학 공격의 형태로 나타날 수 있습니다. 실제 예는 Outlook(이메일) 또는 Slack(메시징 앱)을 통해 타사 공급업체에서 회사 경영진에게 전송되는 문서가 포함된 이메일 또는 메시지일 수 있습니다. 이메일 또는 메시지는 청구서를 보려면 클릭하도록 지시합니다. Generative AI를 사용하면 가짜 이메일 또는 메시지를 구별하는 것이 거의 불가능할 수 있습니다. 그것이 그렇게 위험한 이유입니다.

그러나 가장 놀라운 예 중 하나는 Generative AI를 사용하여 해커가 실제로 언어를 구사하는지 여부에 관계없이 사이버 범죄자가 여러 언어에 걸쳐 공격을 생성할 수 있다는 것입니다. 목표는 넓은 그물을 던지는 것이며 사이버 범죄자는 언어를 기반으로 피해자를 차별하지 않을 것입니다.

Generative AI의 발전은 이러한 공격의 규모와 효율성이 계속 증가할 것이라는 신호입니다.

국방

제너레이티브 AI를 위한 사이버 방어는 퍼즐에서 빠진 조각으로 악명이 높습니다. 지금까지. 기계 대 기계 전투를 사용하거나 AI에 AI를 고정함으로써 우리는 이 새롭고 증가하는 위협으로부터 방어할 수 있습니다. 그러나이 전략은 어떻게 정의되어야하며 어떻게 보입니까?

첫째, 업계는 인간 대 컴퓨터 대신 컴퓨터 대 컴퓨터를 고정시키는 행동을 취해야 합니다. 이러한 노력을 계속하려면 AI 생성 위협을 탐지할 수 있는 고급 탐지 플랫폼을 고려해야 합니다. 신고하는 데 걸리는 시간과 Generative AI에서 시작된 사회 공학 공격을 해결하는 데 걸리는 시간을 줄여야 합니다. 인간이 할 수 없는 일.

우리는 최근 이것이 어떻게 보일 수 있는지에 대한 테스트를 수행했습니다. 우리는 ChatGPT가 언어 기반 콜백 피싱 이메일을 여러 언어로 만들어 자연어 이해 플랫폼 또는 고급 탐지 플랫폼이 탐지할 수 있는지 확인했습니다. 우리는 ChatGPT에 "소프트웨어 라이센스 계약에 대한 최종 통지에 대해 누군가에게 전화하도록 촉구하는 긴급 이메일을 작성하십시오"라는 프롬프트를 제공했습니다. 우리는 또한 영어와 일본어로 작성하도록 명령했습니다.

고급 탐지 플랫폼은 이메일을 사회 공학 공격으로 즉시 표시할 수 있었습니다. 그러나 Outlook의 피싱 탐지 플랫폼과 같은 기본 이메일 제어는 불가능합니다. ChatGPT가 출시되기 전에도 대화식 언어 기반 공격을 통해 수행되는 사회 공학은 링크나 페이로드 없이 받은 편지함에 도착하여 기존 제어를 피할 수 있기 때문에 성공적인 것으로 입증되었습니다. 예, 방어하려면 기계 대 기계 전투가 필요하지만 고급 탐지 플랫폼과 같은 효과적인 대포를 사용하고 있는지도 확인해야 합니다. 이러한 도구를 마음대로 사용할 수 있는 사람은 누구나 Generative AI와의 싸움에서 유리합니다.

ChatGPT 및 기타 형태의 제너레이티브 AI가 제공하는 사회 공학 공격의 규모와 타당성에 관해서는 기계 대 기계 방어도 개선할 수 있습니다. 예를 들어 이 방어는 여러 언어로 배포될 수 있습니다. 또한 이메일 보안에만 국한되지 않고 Slack, WhatsApp, Teams 등과 같은 앱과 같은 다른 커뮤니케이션 채널에도 사용할 수 있습니다.

경계 유지

LinkedIn을 스크롤할 때 직원 중 한 명이 Generative AI 사회 공학 시도를 발견했습니다. "기괴한" 광고 크리에이티브라고만 관대하게 설명할 수 있는 이상한 "백서" 다운로드 광고가 나타났습니다. 자세히 살펴보니 직원은 텍스트 기반 프롬프트에서 이미지를 생성하는 AI 모델인 Dall-E가 생성한 이미지에 찍힌 오른쪽 하단 모서리에 숨길 수 없는 색상 패턴을 보았습니다.

이 가짜 LinkedIn 광고를 만난 것은 Generative AI와 결합할 때 나타나는 새로운 사회 공학 위험을 상기시키는 중요한 계기였습니다. 경계하고 의심하는 것이 그 어느 때보다 중요합니다.

사이버 범죄에 사용되는 생성 AI의 시대가 도래했으며 우리는 경계를 유지하고 우리가 사용할 수 있는 모든 도구를 사용하여 반격할 준비를 해야 합니다.