大家好,我是某個不方便透露名號的頭部大企業的信息安全工程師。實不相瞞,自從干了這一行,提心吊膽就成了家常便飯。
你說甲方單位的安全那么難做嗎?那倒也不是,畢竟現在各種安全設備齊齊整整,安全服務無微不至,一般小嘍啰也打不進我們這銅墻鐵壁。但我最怕的,還是釣魚。為什么怕釣魚?因為我們人太多了!
著名黑客凱文·米特尼克在《反欺騙的藝術》中曾提到,人為因素才是安全的軟肋。我們集團大幾萬人,無論舉辦多少場安全培訓,也沒法防住哪位兄弟姐妹一時疏忽上當。
好了,再吐槽就不禮貌了,說說我現在為什么半夜三點驚醒,原來是安全GPT檢測到了一個釣魚攻擊。
想到領導和我說安全GPT在高社工、高對抗的釣魚攻擊測試中,在傳統檢測引擎僅檢出15.7%的情況下,檢出率竟高達91.4%,誤報率也更低,只有0.046%,我還有點不相信,沒想到真有效果。擦掉我的冷汗,我決定明天再研究這件事。
故事始末:由“租房補貼”引發的釣魚事件
第二天一早,我就直奔工位,研究起了到底是誰,半夜三點還在虎視眈眈我司。
點開aES后臺的安全GPT分析,原來是員工小王收到了一封《公司年度租房補貼申請》的郵件通知,發件人是高仿的公司郵箱,正文是催促他盡快掃碼填信息申請補貼,過期不候。
但安全GPT從發件人、正文內容、二維碼頁面和二維碼鏈接判斷出這封郵件就是釣魚郵件。由于我之前設置了自動化處置,安全GPT直接進行了處置,并給我發了信息。
不得不說,攻擊者時機把握得非常精準,最近我們公司就在收集年度租房補貼的信息,如果我是一名普通員工,說不定也就相信了。
沒等我感慨完,后臺又出現了一條安全告警。果不其然,另一位員工疑似收到了“公司HR”給他發送的補貼申請文件,他沒有多想就打開了。而安全GPT卻發現,文件解壓后,除了釋放申請說明的word文檔,還拉起了后臺其他進程。
這妥妥又是一個文件釣魚攻擊事件!
我心下驚喜,這安全GPT還怪好的嘞。才用上沒幾天,立刻就攔住了這么典型的事件,就這么解決了我的心頭之患?
本著活到老學到老的精神,我找到了深信服的研發進行一番深入交流。
釣魚難題:人性弱點+強對抗VS規則防御
簡單的寒暄之后,我直切主題:“這是怎么做到的?”
深信服研發老哥靦腆一笑,說:“我們有這么高速運轉的安全GPT進入網安行業……”
我急了,“你說人話。”
“好的,最主要是兩個點,原諒我先賣個關子。首先讓我們回想一下,在防釣魚這條路上,以往是不是主要依靠殺毒軟件、郵件安全網關設置的規則來防御?但規則有上限嗎?沒有的,攻擊者可以偽造的場景和文件特征是無限的,總有能引人上當的新花樣。”
這可真是戳中我的痛處了,無數個寒風徹骨的加班夜,我們部門都在那人工判斷海量的靠規則隔離的郵件和文件……我佯裝淡定說道,“有道理,你繼續。”
“第二個難點,攻擊者也不傻,他們知道安全設備是怎么進行檢測的,加密加殼混淆,甚至干脆把文件做成一個下載器,這樣一操作,惡意特征少,再加上變種多,識別難度就大大提高了。靠殺毒軟件、規則檢測技術甚至AI小模型都難以防御。”
“我懂,正是因為我懂,我才好奇你是怎么解決的。”
“所以,我們要靠大模型來解決問題。接下來我就要講講安全GPT+aES探針防釣魚最重要的兩個能力了。”
安全GPT+aES探針=智能靈敏的防釣魚安全專家
“深信服安全GPT通過強大的自然語言處理能力、釣魚攻擊推理能力和海量安全知識儲備,借助aES探針在端側的郵件數據、文件信息和行為數據采集,不僅能夠理解攻擊意圖,更能關聯起完整且隱蔽的攻擊鏈,像安置在每位員工身邊的王者級防釣魚專家一樣。
區別于傳統檢測技術的兩個能力就在于攻擊意圖識別和全鏈條行為關聯分析。
精準識別攻擊意圖 識破偽裝欺騙手法
再縝密的防御規則,也難以把利用人性弱點的釣魚攻擊一網打盡,以往基于規則和AI小模型的檢測技術都無法真正防住釣魚攻擊。
安全GPT“另辟蹊徑”,基于大模型推理分析,把判斷的核心放在攻擊意圖的分析上,像思維縝密的安全專家一樣透過表面看本質。
- 場景一:火眼金睛識套路,社工欺騙別沾邊
企業HR給員工發補貼申請郵件、銀行給個人發重置密碼郵件、工作伙伴給你發來說明文件……從發件人到內容,攻擊者偽造無限個”官方郵箱“或”無害人設“,模擬無限個日常工作生活場景,讓人應接不暇。
安全GPT內嵌了很多海量知識,如安全常識、情緒誘導等,同時,能夠理解自然語言,像人一樣理解背后的意圖,火眼金睛識別攻擊者的偽裝欺騙套路。
- 場景二:主動踩坑辨真偽,高仿網頁秒識別
二維碼中間加上官方LOGO,視覺上做到無害,一定程度上也讓員工放下戒心,更加難以識別掃碼后的高仿網頁欺騙性。
安全GPT會像安全專家一樣使用二維碼提取、網頁爬取等工具,分析二維碼內容,看接收地址是不是官方地址、頁面代碼是否存在克隆痕跡等,還會主動查詢威脅情報做對比域名歸屬地和注冊信息等,即使二維碼快速變化也能精準識別。
全鏈條行為關聯分析 免殺、加密無處遁形
說一個紅隊常用的釣魚手法:首先通過“網絡異常”“咨詢業務”“需要客服服務”等借口騙取IT運維人員、客服服務人員的信任,隨后發送看似正常、卻帶了木馬的加密壓縮包,一旦下載并打開,受害者的電腦就會被遠程控制,進行下一步惡意行為。
這樣的高對抗手段,傳統的檢測引擎無從查起,甚至在產生嚴重后果后也無法溯源。
安全GPT借助aES探針對文件名稱、文件后綴以及終端行為數據進行全量采集和關聯,再加上大模型進行推理分析和意圖識別,不從文件特征出發,而是基于文件名稱、后綴等信息去推理文件落盤后的正常行為,再去對比實際行為看是否發生偏離,從而定性攻擊。
例如,下圖攻擊者利用“企業稅收稽查”文件進行的釣魚攻擊,GPT識別到它的文件名字和后綴,推理這個文件的正常行為應該只釋放一個word文件,實際卻同時釋放了其他文件或拉起了其他進程等后滲透行為,安全GPT經過推理和對比分析判斷出此為釣魚攻擊,精準檢測。
通過3萬高對抗釣魚樣本與100萬白樣本測試驗證,對比傳統方案,安全GPT+aES探針的檢出率從15.7%飛升至91.4%,誤報率從0.15%降低至0.046%。
2023年APT釣魚攻擊模擬演練的7條攻擊鏈,當前無論是傳統還是國際的檢測產品,都只能檢出1~3條,而安全GPT依靠更高維度的檢測能力能夠全部檢出,檢測效果和攻擊鏈完整還原度遠超其他檢測產品。
除了能精準檢測,我們也同時支持自動化及手動下發兩種處置形式,有效閉環釣魚事件。”
“有點意思,搞得我對我的工作更有信心了呢。”
“必須有信心,安全GPT從去年國內首發并落地到現在,已經迭代演進到3.0版本了,累計已在金融、能源、政府機關等130多家企業真實環境測試和應用。在真實場景下應用形成的海量優質數據,又會促進安全GPT防釣魚數據飛輪,讓防釣魚的能力越來越強。未來也還會有更多場景的應用。”
“那以后就靠你們了。”想到以后不需要為釣魚攻擊掉頭發,我的心情不禁好了很多。
如果你們也有興趣的話,可以點擊查看:深信服安全GPT+aES探針的實操效果演示。