各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 242期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息(文末有帮会福利)。
话题抢先看
1. AI在HVV会发挥哪些作用,比如HVV的进攻方,把防守方信息输入AI获得更多信息,用AI分析漏洞?
2. AI会不会为HVV带来新的不确定性的问题,比如AI写的代码中有BUG ,产生新的学习成本、防守方也会建假ChatGPT去引诱防守方?
3. 未来的AI发展会不会改变HVV的方向?
4. AI发展到一定程度,HVV还需要人为值守吗?
话题: AI在HVV会发挥哪些作用,比如HVV的进攻方,把防守方信息输入AI获得更多信息,用AI分析漏洞?
A1:
我感觉AI在攻击方向上前景无限,所以如果是用来搞自己人锻炼一下,挺不错的。
A2:
在防守上,生成式AI可以对日志分析提供很好的帮助。
A3:
首先就是情报收集 ,也是最关键的, 收集情报 AI可以整合和分析大量的公开信息、社交媒体、新闻报道等,为攻击方提供目标组织的详细背景信息。然后, AI能够根据已知的漏洞信息,自动生成或选择合适的攻击载荷进行利用。
A4:
如果只是表面的信息查找交互,那就太看不起AI了,还不如搜索引擎来搞。
A5:
1. SOAR的闭环里面,处理误报,收敛告警;
2. 分析样本、分析漏洞利用POC是否为真,可疑程度。
A6:
应对复杂环境
进攻方:在面对复杂和高度防御的目标系统时,AI可以帮助分析多层防御架构,识别不易察觉的漏洞,或提出复杂的多阶段攻击计划。
防守方:AI能够帮助防守方在复杂环境中更好地理解攻击者行为,并通过自适应学习快速调整防御策略。
A7:
AI当前在渗透方面的功能限制很大,进DAN模式越来越难,动辄就是法规禁止。对进攻方来说目前可能只能进行一些辅助性、侧面的利用,比如说漏扫过一轮存活端口之后让AI过一下每个端口可能的服务,或者一些格式调整输出。
A8:
个人认为AI 通过前期搜集的情报进行分类梳理,起到一个信息汇总提炼或降噪的作用为宜。目前出于伦理问题, 不宜将AI 用于任何自动化渗透的目的。
A9:
渗透方面的全向AI怕是还遥遥无期,但是针对某个特定方面的AI应该是有可能的,比如说邮件系统、域、Web或者更细分化的XSS。
A10:
参考目前护网攻击,通过AI分析能够极大提升防守方的分析效率,针对重复的攻击进行判断,也对0Day漏洞的防守上,能够做到一定的检出告警。针对钓鱼场景,AI的融入能够自动化实现对钓鱼邮件的分析并告警,极大节省了人工分析的过程。
A11:
AI分析漏洞不太现实,很多0Day,靠各厂商给力研发挖掘和训练了。
A12:
问AI发挥作用,感觉很狭隘,像是基于需求做规则。什么XX的神经网络学习,不也能自动学习、收集、安全攻防态势的信息么。
A13:
在人工之外,AI可以补充更全面,减少遗漏之处。但是AI的防护建议不一定对,有时候AI给的是错误建议。
A14:
用AI获取攻方团队信息,贿赂意志薄弱成员,反渗透并打穿红方服务器,篡改攻击得分。
A15:
上面这个有点难吧,我觉得现在AI在现在攻防演练中用处不大,唯一用来比较合适就是研判威胁还有生成代码之类的作用。
A16:
对于红队来说,是不是可以输入目标,告诉AI想要怎么攻击,AI自动调取对应POC攻击进行攻击,并给出攻击结果,减少了人工操作。
A17:
这个比较难,一般生成的内容还需要你来调试,而且POC啥得,GPT也不是神什么都知道,还有伦理限制,辅助代码生成和优化还是可以的。
A18:
而且你要做RAG的话,也容易被反打,通过提示词找出你的漏洞,新注入。而且这个你是自己做整个大模型训练平台IaaS、PaaS那种还是直接调用类似SaaS,这方面的管控也是一个问题。
A19:
AI最大的好处是快速的定位以前只有专家才能获取的信息,相当于一个相当全的安全大脑。但是对于HVV也只能在通用的信息上有所帮助。对于才发生的情报信息,因为AI没法及时学习,另外HVV信息也比较封闭,所以帮助有限。但是长远看HVV使用AI的场景肯定越来越多,对于安服提高效率作用明显。
A20:
AI在HVV的时候应该可以解决多个值班班次的不用攻击去关联不足的问题,上下文关联性应该是安服仔无法满足的。
另一个就是知识库的能力,比如把外部情报,内部FAQ等集合,通过关键字会话快速辅助研判及响应,如果对接机器人,直接下发下一步指令,常见问题自动处置。
Q:AI会不会为HVV带来新的不确定性的问题,比如AI写的代码中有BUG ,产生新的学习成本、防守方也会建假ChatGPT去引诱防守方?
A21:
肯定会有,近期发现很多AI的训练数据里有不少假数据,这样训练出来的AI肯定不行。
A22:
AI如果造成源码泄露后果不堪设想,攻击队一览无余。
A23:
首先就是代码BUG, 机器也会犯错误的,就像群里几个大佬用的Gemini出来的答案都不一样;第二就是增加了学习成本,攻击者和防守者都需要学习如何有效地使用和对抗AI系统,这涉及到新的技能培训和知识更新;第三就是大量的假ChatGPT,太多了,这种假ChatGPT就是收集信息;最后就是当AI系统导致安全事件时,责任的归属可能会变得模糊。
A24:
GPT和大数据一样也有一个致命的问题就是可以根据你的提问内容生成你的用户画像。
A25:
AI本身就是一个变量,自然会增加太多的不确定性;所以AI作为攻击方的辅助工具,可以快速、大量生产各种攻击脚本和工具,进行无差别的狂轰滥炸、APT攻击。
A26:
好像某厂有个帮助写代码的插件式AI, 基于你已写的一些猜测你要写的,但实际写完是否会有更多BUG这个也是看它自身代码库的完善度,对于一些新手可能辅助写的会更干净,但是对于安全而言如果训练库里很多脏东西 (类似于供应链投毒了)那就会比较麻烦,而且有些时候未必常用的代码扫描工具能扫出来(一些企业用这个的情况下就是在降本,扫描工具也是降本后的工具)。
Q:未来的AI发展会不会改变HVV的方向?
A27:
会改变,技术在进步,接入网络的方式也会改变,但是目前的AI还是有局限性,在非常专业的方面,AI无法给出有效的建议。
A28:
今年就已经有这个趋势了 ,各个厂商也搞AI。
A29:
未来的趋势肯定是向攻防自动化去发展,包括利用深度学习模型实施更隐蔽的攻击,基于实网流量识别恶意IP、模式识别防御之类。
A30:
AI在攻防演练中的广泛应用可能会引发新的法律问题,如AI系统的责任归属(出了问题是谁负责)。
Q:AI发展到一定程度,HVV还需要人为值守吗?
A31:
有没有一种可能,是HVV期间,AI的算力不够,需要人来补。
A32:
不仅需要人为值守,而且加大了技术难度,AI对红队的作用我感觉是大于蓝队的。
A33:
不论发展到任何阶段,都需要人值守的,攻击本来就是比脑洞,AI常规漏洞辅助可以,超出他理解范围的还是需要人,现阶段的AI大部分还是基于矢量模型推理,离类人思考还远呢。
A34:
看这个程度有多高了,真到了某个阶段,HVV可能就不存在了,攻防每天都在高强度进行,AI的处置分析能力比人准确且更贴合业务实际的时候,是不需要人值守的。至于背锅不一定是值守的人背,是负责人背。
A35:
就算技术层面没问题,客户也要求24*7,客户花钱了你说AI他也不乐意。你看看现在的智能回复客服,有时候还是能回答问题的,但是你还是想要人工客服给你回复。
A36:
AI改变HW的方向, 这个太过了, 我认为任何技术都不会改事情的发展方向的,改变方向的东西,一个是政策,一个是枪杆子。AI对于当前HW的影响,只能是在工具上的小打小闹,毕竟用AI的还是人,我们的生产实体都是依赖人,AI作为一个工具,不会改变方向。
A37:
首先看现在,AI目前的发展给红蓝队都起到了很好的专家知识库、加快分析判别和进攻绕过的效率,对生成Shell脚本、注入代码和分析研判、脚本EXP等都起到了一定的效果,但目前也仅限于对专业人士的辅助和提高效率。再说未来,如果AI发展能改变HW这种专业化极强的工作,那什么行业不会被取代、改变和颠覆呢。HW如果大量靠AI去做了,大家在这个AI浪潮下也都无法幸免被淘汰了。
本周话题总结
AI在HVV中的作用潜力巨大,可用于情报收集与分析、漏洞利用辅助、防御策略优化及自动化研判等方面,但在自动化渗透等更加进阶的技术方面仍有较大局限性。关于AI在HVV中带来的不确定性问题,主要聚焦在AI本身可能存在的BUG以及责任归属模糊等问题。随着AI技术不断发展,未来可能改变HVV的某些方面,如提升自动化程度和攻防效率,在可预见的未来,HVV可能仍需要人为值守,因为AI可能在技术上能够与人媲美,但在复杂决策和判断上面仍需要人工参与。
近期群内答疑解惑
Q:市面上成熟的数据分级分类产品或方案有哪些?要求能覆盖到SAP HANA和Oracle,且支持动态或定期更新,并产出报表。
A1:
上SAP的时候先要做主数据治理,就是要对数据分类分级,从元数据改造做起。针对ERP的数据分级分类当然得德勤之类的实施方。
方案不一定是产品,可能是流程制度,存量数据不断标准化,增量数据完全标准化。
A2:
一般国内分类分级厂商都支持Oracle 和国产数据库等等,但HANA这种数据仓库是否支持不好说,需要跟厂商沟通下Scope,安华美创等都有产品,是否支持动态定期更新,需要配置计划任务去做。
Q:物理应急预案出现计划外的情况很常见,安全事件的应急预案,大家都制定了哪些具体场景?
A1:
一般就勒索、DDoS、数据泄露。
A2:
我们就定义几个级别.level 1 - 6,不同的影响(应用不可用,数据库被加密等等)。然后每年一次演练,不过只演练数据中心还在的情况,不演练数据中心被毁。2019年俄罗斯不是演练了一次全国断网么,我们老板说,如果我们发生这种情况,应该怎么应对。
A3:
看你们家业务在哪了,再说全国没电,网络都没,恢复自己数据中心的运行也没啥用;在云上面也要看数据放哪里。
Q:金融行业对于重要数据相关的网络设备和安全产品,选购的时候有什么要求么?
A1:
行业的+国家的+涉密的,从三个层面去分析。
A2:
如果你不是关基,能符合等保要求就行了。
A3:
等保远远不够。如果你的数据是行业前几名的,等同于关基 ,在产品、设备、技术、能力、算法、版权等方面需要参考关基的要求;如果你的数据量超出一定的数量,也等同于关基;如果你的数据出境量到一定程度,也等同于关基;如果你的算法属于国密级别,也等同于关基。这时候重要数据的定义就不一样了。
A4:
主要还是看监管定义你是啥级别,就按照监管要求做就是了。
A5:
看你怎么定义直接关基还是间接关基,你自己可能不是关基(不是关基业务、没有关基数据、没有关基人员),但是你为关基行业、关基用户、关基数据、关基能力、关基人员服务,那你也算。
Q:等保测评报告是否涉密?对外提供的时候有没有限制?
A1:
可以不提供,除非是监管部门或者客户要求。就算提供也是提供报告,不提供具体信息。
A2:
提供过大致的问题和方向,不提供细节,比如哪个环节有具体的问题。
A3:
一般只给总结页,不给细节。
A4:
的确是报告内含很多敏感信息,如果有客户尽职调研要求提供的,你们怎么处理?
A5:
脱敏。
Q:有没有遇到过AD域突然大范围密码过期的情况?很多刚改没多久又过期了
A1:
那是不是之前统一改过一次密码,并设了多少天强制改密码。差不多时间到了呢?可以看下那个密码到底是什么时候到期,如果到期时间是还有一段时间,但又说密码过期,那是有问题。
A2:
第一种情况是自己做的批量改;第二种是AD同步有问题;第三种是AD时间有问题;第四种是域策略有问题,一个个排除吧。
本期甲方群急招岗位
甲方群最新动态
上期话题回顾:
如何防范HVV供应链攻击;数据安全管理岗的归属问题活动预告:
议题征集开启 | FCIS 2024网络安全创新大会·十周年
活动回顾:
近期热点资讯
特朗普和马斯克直播遭网络攻击,公开枪击案细节
英国要发起一场“国家规模”的蜜罐计划
AWS多项服务存在漏洞,能让攻击者完全控制账户
微软披露Office最新零日漏洞,可能导致数据泄露
GitHub Actions 遭利用,14个热门开源项目令牌泄露风险激增
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
扫码添加FB运营小助手微信,进群即可领取FreeBuf 企业安全俱乐部·北京站演讲嘉宾PPT!
9.9元(季卡)解锁FreeBuf知识大陆App甲方群帮会3000+内容干货
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1500+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。