FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
本文重点思考在企业安全攻防、安全运营、事件响应领域如何与GPT进行结合,提升效率。
未来已来,AI可期。
ChatGPT是一个由OpenAI开发的聊天机器人模型,使用了神经网络和自然语言处理技术,可以生成流畅、连贯、富有逻辑的对话,GPT是“GenerativePre-trainedTransformer”的缩写,是一种自然语言处理模型,被训练出来可以在文本数据中预测下一个可能的单词或字符。
ChatGPT所基于的InstructGPT模型仍属于自然语言处理(NLP)领域的单模态模型,擅长理解和生成文本,但不支持从文本生成图片、音频、视频等功能
ChatGPT的基础是GPT模型,是一种基于Transformer架构的预训练语言模型,通过训练大量的无标注文本数据来学习语言的结构和规律。
GPT训练过程主要包括以下几个步骤:
GPT系列模型自2018年发布以来,就以提供通用的NLP能力为核心。该系列模型通过改进模型结构、增加可训练参数、增加训练样本等方式持续演进,提供更加准确与稳定的NLP能力,GPT-1模型、GPT-2模型、GPT-3模型的演进如下:
2022年11月30日,OpenAI推出ChatGPT模型,并提供试用,全网火爆。
可以根据不同的数据集进行微调和训练,以适应不同的应用场景
chatGPT模型结构可以通过增加层数、节点、参数等方式进行扩展,提高模型的性能和表现力
生成的自然语言响应能够提供流畅、自然的对话体验,提高了用户的参与度和体验,增强的上下文关联,更增强的信息的准确性
chatGPT是大型深度学习模型,需要大量的训练数据和计算资源进行训练,部署和应用成本高
chatGPT是黑盒模型,导致自然语言响应的结果存在一些不可预见的结果或偏差
黑产在钓鱼邮件、恶意代码生成、网络欺诈、虚假新闻方面进行应用对互联网整体安全造成一定影响,降低了攻击的门槛。
智能客服、聊天机器人、语音助手、文档总结、方案输出等等,目前在互联网各大平台上的应用场景来看,只有想不到没有做不到的,只是效果大部分还处于初级阶段,但是以目前GPT的发展速度和ChatGPT支持联网插件集成的功能完善来看,发展趋势会远超人们的想象。
大家对GPT的基础和使用场景都有了一定的了解,我们现在聚焦到企业安全事件响应、安全运营、内部红蓝对抗/攻防演练这些场景下来分析看ChatGPT等AIGC能不能对我们的工作有效率和价值的提升。
ChatGPT+SOAR+CTI+CMDB在事件响应分析时会大大提升分析人员的效率
我提供给GPT3.5一条防火墙告警日志,先让它帮提取出关键信息,然后针对IP信息进行查询,在了解漏洞的基本原理,日志排查时需要注意哪些特征,最后是如何进行修复
从整体上来看GPT在基础信息方面表现还是不错的,但是还是因为是通用人工智能模型的原因,类似日志中的具体攻击特征信息是无法给出来的,只能给一个大概的描述,但是基本够用了。
止损、修复建议这些不够专业,但是比较全面,可以做一个参考,避免人为出现遗漏,如果前期通过训练学习应急响应预案、特定类型事件应急手册等专业知识库信息的话,我相信这块表现会更好一些。
这个是在深信服XDR+GPT的演示中看到的,是GPT进行任务拆解后调用SOAR去XDR平台全量日志中进行检索后在汇总展示出来的,这个在攻击研判时很有用,从多个安全设备或数据源中都检测到攻击行为的话,真实攻击性会更大。
联动内部系统进行恶意hash、ip、domain封禁
GPT能给SOAR联动后,这些人员需要封禁的动作,都可以直接在聊天对话中让GPT去直接执行封禁、终端隔离等之前需要人工操作的动作了。
这个预测我觉得对于事件响应、安全运营人员会有比较大的帮助,让我们可以快速了解监控、检测的重点在哪里。避免事态的扩大,经过不同问题的提问,发现问的越具体之后的回答会更有针对性和参考价值。
现在chatGPT可以通过plugin插件实现联网了,在联网状态下,可以通过plugins插件去调用威胁情报数据查询,不能说这个价值有多大,和人工正常去威胁情报平台查询的步骤和流程是一样的,主要是chatGPT获取插件返回的查询结果后,是否可以分析总结给出精准的结论,这个是考验chatGPT模型的关键。
这个和钓鱼网站查询类似,都是去互联网查询已知特征信息、行为来辅助人员进行分析
在chatGPT插件联网后这个可以实现,本次暂未测试。
漏洞预警文案编写,联动资产平台,BOT方式给业务发送修复通知
协助安全分析、安全运营人员快速进行信息检索和分析,类似使用场景如下:
可以帮忙将告警中的加密信息进行解密,并且GPT会自动去分析判断代码是否恶意的。
周期性的安全运营指标统计和趋势预测,深信服的XDR+GPT中有一个场景就是通过GPT来自动生成安全运营周报/月报等内容
安全宣传培训的文案、图片、视频制作,结合虚拟数字主持人可以举办线上安全讲座或培训
现在网络直播、视频制作都使用上这些组合方法了,那内部安全培训、宣讲,甚至是线上安全技术交流等都可以通过此实现。
先用chatGPT生成文案,在用Midjourney生成对应图片,再将chatGPT生成的文案用mindshow等自动创建成PPT格式,1个人就可以轻松搞定文案、图片等工作了。
客服类的问题解答、找人服务,可以通过在企业内部部署类chatGPT的模型对本地知识库、内部规范文档、流程等资料进行训练后生成本地知识库,接入IT安全小助手对用户的问题进行自动解答,提升小助手自动应答效率和回复的精准度,更符合企业员工的日常问题解答。
并且可以保证文档内容更新一次性解决固定类问题解答的术语问题。langchain+chatGLM构建本地知识库问答机器人去了解一下。
渗透测试中最重要的就是前期做信息收集,信息收集的越全面,后续渗透成功的机率越高。我们以子域名枚举探测作为示例,让chatGPT来帮我们生成一个可以用于子域名枚举的bash脚本。
很神奇吧,chatGPT还会考虑到如果没有安装sublist3r需要如何安装。
资产信息收集完以后,就需要对资产进行全面的漏洞检测,一般会去检测最新的安全漏洞、典型的高危安全漏洞,这时候我使用chatGPT让写一份检测SMB漏洞的扫描脚本。
渗透是希望在不触发任何告警的情况下,悄悄的拿下目标,那就需要针对目标制定一份详细的攻击路径技术方案,方案会根据不同的网络情况、目标系统的属性等信息来评估。
将基础信息和需求输入给chatGPT,让他给出一个详细的攻击技术方案,但是这个方案还是比较通用。
突破了网络边界进入到内网后,首先做的是权限的维持,保证这个入口能长期使用,一般会用CS、MSF等来进行权限的维持和控制,对于不了解MSF的人,可以直接让chatGPT来给生成一下使用方法
CS马免杀都可以给出指导和对应代码,有兴趣的可以按照方法生成加密马去VT、微步等平台查杀试一下。
我模拟的场景是centos7服务器,admin账号,tomcat中间件,渗透完成后需要完整清除痕迹,chatGPT给出的建议中会包含超出预期的内存信息、ssh密钥信息等
chatGPT核心是知识问答,在不联网情况下是基于已知知识进行的学习和推理,给出看似合理的解答,未来chatGPT接入互联网可以实时从互联网获取到最新的信息的话,那在信息安全行业的应用场景会更加丰富,威力会呈指数级上升。包括和威胁情报、病毒库、行为沙箱等已知行为特征平台结合进行分析研判,并且可以通过获取互联网最新的知识来训练完善自我模型,实现自我成长和知识丰富、纠正,最后产生自我意识和思维。。。。。。
chatGPT可以帮攻击者生成钓鱼邮件内容,包括附件文档和宏,同时chatGPT也可以协助安全分析人员进行恶意附件的识别和检测,作为邮件沙箱的增强能力。钓鱼网站识别,检测域名、URL、IP、文件hash等内容来识别攻击者
主要应用在交易风控场景中,识别虚假交易、洗钱、身份盗用等情况
现在很多IDE编辑器都集成了chatGPT插件,在代码编写时进行自动检测错误
最近的一个新闻特别火,AI换脸视频诈骗,黑产永远走在技术应用的最前线,但是破解骗局也是很容易的。
结合EASM、网络空间探测等对互联网资产脆弱性进行分析,给出有针对性的攻击方案
企业、个人的信息安全知识问答是第一步,结合个人的互联网浏览记录、使用习惯,在有风险的环境下给出指导建议,预防网络钓鱼、水坑攻击等
给出反序列化漏洞的原理、全部漏洞分析,给最新版本的weblogic等应用进行自动漏洞挖掘
恶意域名生成,利用LSTM算法和GAN构建模型,生成的域名与正常网站域名非常相似