大家好,我是某個(gè)不方便透露名號(hào)的頭部大企業(yè)的信息安全工程師。實(shí)不相瞞,自從干了這一行,提心吊膽就成了家常便飯。
你說(shuō)甲方單位的安全那么難做嗎?那倒也不是,畢竟現(xiàn)在各種安全設(shè)備齊齊整整,安全服務(wù)無(wú)微不至,一般小嘍啰也打不進(jìn)我們這銅墻鐵壁。但我最怕的,還是釣魚(yú)。為什么怕釣魚(yú)?因?yàn)槲覀內(nèi)颂嗔?
著名黑客凱文·米特尼克在《反欺騙的藝術(shù)》中曾提到,人為因素才是安全的軟肋。我們集團(tuán)大幾萬(wàn)人,無(wú)論舉辦多少場(chǎng)安全培訓(xùn),也沒(méi)法防住哪位兄弟姐妹一時(shí)疏忽上當(dāng)。
好了,再吐槽就不禮貌了,說(shuō)說(shuō)我現(xiàn)在為什么半夜三點(diǎn)驚醒,原來(lái)是安全GPT檢測(cè)到了一個(gè)釣魚(yú)攻擊。
想到領(lǐng)導(dǎo)和我說(shuō)安全GPT在高社工、高對(duì)抗的釣魚(yú)攻擊測(cè)試中,在傳統(tǒng)檢測(cè)引擎僅檢出15.7%的情況下,檢出率竟高達(dá)91.4%,誤報(bào)率也更低,只有0.046%,我還有點(diǎn)不相信,沒(méi)想到真有效果。擦掉我的冷汗,我決定明天再研究這件事。
故事始末:由“租房補(bǔ)貼”引發(fā)的釣魚(yú)事件
第二天一早,我就直奔工位,研究起了到底是誰(shuí),半夜三點(diǎn)還在虎視眈眈我司。
點(diǎn)開(kāi)aES后臺(tái)的安全GPT分析,原來(lái)是員工小王收到了一封《公司年度租房補(bǔ)貼申請(qǐng)》的郵件通知,發(fā)件人是高仿的公司郵箱,正文是催促他盡快掃碼填信息申請(qǐng)補(bǔ)貼,過(guò)期不候。
但安全GPT從發(fā)件人、正文內(nèi)容、二維碼頁(yè)面和二維碼鏈接判斷出這封郵件就是釣魚(yú)郵件。由于我之前設(shè)置了自動(dòng)化處置,安全GPT直接進(jìn)行了處置,并給我發(fā)了信息。
不得不說(shuō),攻擊者時(shí)機(jī)把握得非常精準(zhǔn),最近我們公司就在收集年度租房補(bǔ)貼的信息,如果我是一名普通員工,說(shuō)不定也就相信了。
沒(méi)等我感慨完,后臺(tái)又出現(xiàn)了一條安全告警。果不其然,另一位員工疑似收到了“公司HR”給他發(fā)送的補(bǔ)貼申請(qǐng)文件,他沒(méi)有多想就打開(kāi)了。而安全GPT卻發(fā)現(xiàn),文件解壓后,除了釋放申請(qǐng)說(shuō)明的word文檔,還拉起了后臺(tái)其他進(jìn)程。
這妥妥又是一個(gè)文件釣魚(yú)攻擊事件!
我心下驚喜,這安全GPT還怪好的嘞。才用上沒(méi)幾天,立刻就攔住了這么典型的事件,就這么解決了我的心頭之患?
本著活到老學(xué)到老的精神,我找到了深信服的研發(fā)進(jìn)行一番深入交流。
釣魚(yú)難題:人性弱點(diǎn)+強(qiáng)對(duì)抗VS規(guī)則防御
簡(jiǎn)單的寒暄之后,我直切主題:“這是怎么做到的?”
深信服研發(fā)老哥靦腆一笑,說(shuō):“我們有這么高速運(yùn)轉(zhuǎn)的安全GPT進(jìn)入網(wǎng)安行業(yè)……”
我急了,“你說(shuō)人話。”
“好的,最主要是兩個(gè)點(diǎn),原諒我先賣個(gè)關(guān)子。首先讓我們回想一下,在防釣魚(yú)這條路上,以往是不是主要依靠殺毒軟件、郵件安全網(wǎng)關(guān)設(shè)置的規(guī)則來(lái)防御?但規(guī)則有上限嗎?沒(méi)有的,攻擊者可以偽造的場(chǎng)景和文件特征是無(wú)限的,總有能引人上當(dāng)?shù)男禄印!?/p>
這可真是戳中我的痛處了,無(wú)數(shù)個(gè)寒風(fēng)徹骨的加班夜,我們部門都在那人工判斷海量的靠規(guī)則隔離的郵件和文件……我佯裝淡定說(shuō)道,“有道理,你繼續(xù)。”
“第二個(gè)難點(diǎn),攻擊者也不傻,他們知道安全設(shè)備是怎么進(jìn)行檢測(cè)的,加密加殼混淆,甚至干脆把文件做成一個(gè)下載器,這樣一操作,惡意特征少,再加上變種多,識(shí)別難度就大大提高了。靠殺毒軟件、規(guī)則檢測(cè)技術(shù)甚至AI小模型都難以防御。”
“我懂,正是因?yàn)槲叶?我才好奇你是怎么解決的。”
“所以,我們要靠大模型來(lái)解決問(wèn)題。接下來(lái)我就要講講安全GPT+aES探針?lè)泪烎~(yú)最重要的兩個(gè)能力了。”
安全GPT+aES探針=智能靈敏的防釣魚(yú)安全專家
“深信服安全GPT通過(guò)強(qiáng)大的自然語(yǔ)言處理能力、釣魚(yú)攻擊推理能力和海量安全知識(shí)儲(chǔ)備,借助aES探針在端側(cè)的郵件數(shù)據(jù)、文件信息和行為數(shù)據(jù)采集,不僅能夠理解攻擊意圖,更能關(guān)聯(lián)起完整且隱蔽的攻擊鏈,像安置在每位員工身邊的王者級(jí)防釣魚(yú)專家一樣。
區(qū)別于傳統(tǒng)檢測(cè)技術(shù)的兩個(gè)能力就在于攻擊意圖識(shí)別和全鏈條行為關(guān)聯(lián)分析。
精準(zhǔn)識(shí)別攻擊意圖,識(shí)破偽裝欺騙手法
再縝密的防御規(guī)則,也難以把利用人性弱點(diǎn)的釣魚(yú)攻擊一網(wǎng)打盡,以往基于規(guī)則和AI小模型的檢測(cè)技術(shù)都無(wú)法真正防住釣魚(yú)攻擊。
安全GPT“另辟蹊徑”,基于大模型推理分析,把判斷的核心放在攻擊意圖的分析上,像思維縝密的安全專家一樣透過(guò)表面看本質(zhì)。
場(chǎng)景一:火眼金睛識(shí)套路,社工欺騙別沾邊
企業(yè)HR給員工發(fā)補(bǔ)貼申請(qǐng)郵件、銀行給個(gè)人發(fā)重置密碼郵件、工作伙伴給你發(fā)來(lái)說(shuō)明文件……從發(fā)件人到內(nèi)容,攻擊者偽造無(wú)限個(gè)”官方郵箱“或”無(wú)害人設(shè)“,模擬無(wú)限個(gè)日常工作生活場(chǎng)景,讓人應(yīng)接不暇。
安全GPT內(nèi)嵌了很多海量知識(shí),如安全常識(shí)、情緒誘導(dǎo)等,同時(shí),能夠理解自然語(yǔ)言,像人一樣理解背后的意圖,火眼金睛識(shí)別攻擊者的偽裝欺騙套路。
場(chǎng)景二:主動(dòng)踩坑辨真?zhèn)?高仿網(wǎng)頁(yè)秒識(shí)別
二維碼中間加上官方LOGO,視覺(jué)上做到無(wú)害,一定程度上也讓員工放下戒心,更加難以識(shí)別掃碼后的高仿網(wǎng)頁(yè)欺騙性。
安全GPT會(huì)像安全專家一樣使用二維碼提取、網(wǎng)頁(yè)爬取等工具,分析二維碼內(nèi)容,看接收地址是不是官方地址、頁(yè)面代碼是否存在克隆痕跡等,還會(huì)主動(dòng)查詢威脅情報(bào)做對(duì)比域名歸屬地和注冊(cè)信息等,即使二維碼快速變化也能精準(zhǔn)識(shí)別。
全鏈條行為關(guān)聯(lián)分析,免殺、加密無(wú)處遁形
說(shuō)一個(gè)紅隊(duì)常用的釣魚(yú)手法:首先通過(guò)“網(wǎng)絡(luò)異常”“咨詢業(yè)務(wù)”“需要客服服務(wù)”等借口騙取IT運(yùn)維人員、客服服務(wù)人員的信任,隨后發(fā)送看似正常、卻帶了木馬的加密壓縮包,一旦下載并打開(kāi),受害者的電腦就會(huì)被遠(yuǎn)程控制,進(jìn)行下一步惡意行為。
這樣的高對(duì)抗手段,傳統(tǒng)的檢測(cè)引擎無(wú)從查起,甚至在產(chǎn)生嚴(yán)重后果后也無(wú)法溯源。
安全GPT借助aES探針對(duì)文件名稱、文件后綴以及終端行為數(shù)據(jù)進(jìn)行全量采集和關(guān)聯(lián),再加上大模型進(jìn)行推理分析和意圖識(shí)別,不從文件特征出發(fā),而是基于文件名稱、后綴等信息去推理文件落盤后的正常行為,再去對(duì)比實(shí)際行為看是否發(fā)生偏離,從而定性攻擊。
例如,下圖攻擊者利用“企業(yè)稅收稽查”文件進(jìn)行的釣魚(yú)攻擊,GPT識(shí)別到它的文件名字和后綴,推理這個(gè)文件的正常行為應(yīng)該只釋放一個(gè)word文件,實(shí)際卻同時(shí)釋放了其他文件或拉起了其他進(jìn)程等后滲透行為,安全GPT經(jīng)過(guò)推理和對(duì)比分析判斷出此為釣魚(yú)攻擊,精準(zhǔn)檢測(cè)。
通過(guò)3萬(wàn)高對(duì)抗釣魚(yú)樣本與100萬(wàn)白樣本測(cè)試驗(yàn)證,對(duì)比傳統(tǒng)方案,安全GPT+aES探針的檢出率從15.7%飛升至91.4%,誤報(bào)率從0.15%降低至0.046%。
2023年APT釣魚(yú)攻擊模擬演練的7條攻擊鏈,當(dāng)前無(wú)論是傳統(tǒng)還是國(guó)際的檢測(cè)產(chǎn)品,都只能檢出1~3條,而安全GPT依靠更高維度的檢測(cè)能力能夠全部檢出,檢測(cè)效果和攻擊鏈完整還原度遠(yuǎn)超其他檢測(cè)產(chǎn)品。
除了能精準(zhǔn)檢測(cè),我們也同時(shí)支持自動(dòng)化及手動(dòng)下發(fā)兩種處置形式,有效閉環(huán)釣魚(yú)事件。”
“有點(diǎn)意思,搞得我對(duì)我的工作更有信心了呢。”
“必須有信心,安全GPT從去年國(guó)內(nèi)首發(fā)并落地到現(xiàn)在,已經(jīng)迭代演進(jìn)到3.0版本了,累計(jì)已在金融、能源、政府機(jī)關(guān)等130多家企業(yè)真實(shí)環(huán)境測(cè)試和應(yīng)用。在真實(shí)場(chǎng)景下應(yīng)用形成的海量?jī)?yōu)質(zhì)數(shù)據(jù),又會(huì)促進(jìn)安全GPT防釣魚(yú)數(shù)據(jù)飛輪,讓防釣魚(yú)的能力越來(lái)越強(qiáng)。未來(lái)也還會(huì)有更多場(chǎng)景的應(yīng)用。”
“那以后就靠你們了。”想到以后不需要為釣魚(yú)攻擊掉頭發(fā),我的心情不禁好了很多。
