企业高社工、高对抗的钓鱼攻击，安全大模型何解？

大家好,我是某个不方便透露名号的头部大企业的信息安全工程师。实不相瞒,自从干了这一行,提心吊胆就成了家常便饭。

你说甲方单位的安全那么难做吗?那倒也不是,毕竟现在各种安全设备齐齐整整,安全服务无微不至,一般小喽啰也打不进我们这铜墙铁壁。但我最怕的,还是钓鱼。为什么怕钓鱼?因为我们人太多了!

著名黑客凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。我们集团大几万人,无论举办多少场安全培训,也没法防住哪位兄弟姐妹一时疏忽上当。

好了,再吐槽就不礼貌了,说说我现在为什么半夜三点惊醒,原来是安全GPT检测到了一个钓鱼攻击。

想到领导和我说安全GPT在高社工、高对抗的钓鱼攻击测试中,在传统检测引擎仅检出15.7%的情况下,检出率竟高达91.4%,误报率也更低,只有0.046%,我还有点不相信,没想到真有效果。擦掉我的冷汗,我决定明天再研究这件事。

故事始末:由“租房补贴”引发的钓鱼事件

第二天一早,我就直奔工位,研究起了到底是谁,半夜三点还在虎视眈眈我司。

点开aES后台的安全GPT分析,原来是员工小王收到了一封《公司年度租房补贴申请》的邮件通知,发件人是高仿的公司邮箱,正文是催促他尽快扫码填信息申请补贴,过期不候。

但安全GPT从发件人、正文内容、二维码页面和二维码链接判断出这封邮件就是钓鱼邮件。由于我之前设置了自动化处置,安全GPT直接进行了处置,并给我发了信息。

不得不说,攻击者时机把握得非常精准,最近我们公司就在收集年度租房补贴的信息,如果我是一名普通员工,说不定也就相信了。

没等我感慨完,后台又出现了一条安全告警。果不其然,另一位员工疑似收到了“公司HR”给他发送的补贴申请文件,他没有多想就打开了。而安全GPT却发现,文件解压后,除了释放申请说明的word文档,还拉起了后台其他进程。

这妥妥又是一个文件钓鱼攻击事件!

我心下惊喜,这安全GPT还怪好的嘞。才用上没几天,立刻就拦住了这么典型的事件,就这么解决了我的心头之患?

本着活到老学到老的精神,我找到了深信服的研发进行一番深入交流。

钓鱼难题:人性弱点+强对抗VS规则防御

简单的寒暄之后,我直切主题:“这是怎么做到的?”

深信服研发老哥腼腆一笑,说:“我们有这么高速运转的安全GPT进入网安行业……”

我急了,“你说人话。”

“好的,最主要是两个点,原谅我先卖个关子。首先让我们回想一下,在防钓鱼这条路上,以往是不是主要依靠杀毒软件、邮件安全网关设置的规则来防御?但规则有上限吗?没有的,攻击者可以伪造的场景和文件特征是无限的,总有能引人上当的新花样。”

这可真是戳中我的痛处了,无数个寒风彻骨的加班夜,我们部门都在那人工判断海量的靠规则隔离的邮件和文件……我佯装淡定说道,“有道理,你继续。”

“第二个难点,攻击者也不傻,他们知道安全设备是怎么进行检测的,加密加壳混淆,甚至干脆把文件做成一个下载器,这样一操作,恶意特征少,再加上变种多,识别难度就大大提高了。靠杀毒软件、规则检测技术甚至AI小模型都难以防御。”

“我懂,正是因为我懂,我才好奇你是怎么解决的。”

“所以,我们要靠大模型来解决问题。接下来我就要讲讲安全GPT+aES探针防钓鱼最重要的两个能力了。”

安全GPT+aES探针=智能灵敏的防钓鱼安全专家

“深信服安全GPT通过强大的自然语言处理能力、钓鱼攻击推理能力和海量安全知识储备,借助aES探针在端侧的邮件数据、文件信息和行为数据采集,不仅能够理解攻击意图,更能关联起完整且隐蔽的攻击链,像安置在每位员工身边的王者级防钓鱼专家一样。

区别于传统检测技术的两个能力就在于攻击意图识别和全链条行为关联分析。

精准识别攻击意图,识破伪装欺骗手法

再缜密的防御规则,也难以把利用人性弱点的钓鱼攻击一网打尽,以往基于规则和AI小模型的检测技术都无法真正防住钓鱼攻击。

安全GPT“另辟蹊径”,基于大模型推理分析,把判断的核心放在攻击意图的分析上,像思维缜密的安全专家一样透过表面看本质。

场景一:火眼金睛识套路,社工欺骗别沾边

企业HR给员工发补贴申请邮件、银行给个人发重置密码邮件、工作伙伴给你发来说明文件……从发件人到内容,攻击者伪造无限个”官方邮箱“或”无害人设“,模拟无限个日常工作生活场景,让人应接不暇。

安全GPT内嵌了很多海量知识,如安全常识、情绪诱导等,同时,能够理解自然语言,像人一样理解背后的意图,火眼金睛识别攻击者的伪装欺骗套路。

场景二:主动踩坑辨真伪,高仿网页秒识别

二维码中间加上官方LOGO,视觉上做到无害,一定程度上也让员工放下戒心,更加难以识别扫码后的高仿网页欺骗性。

安全GPT会像安全专家一样使用二维码提取、网页爬取等工具,分析二维码内容,看接收地址是不是官方地址、页面代码是否存在克隆痕迹等,还会主动查询威胁情报做对比域名归属地和注册信息等,即使二维码快速变化也能精准识别。

全链条行为关联分析,免杀、加密无处遁形

说一个红队常用的钓鱼手法:首先通过“网络异常”“咨询业务”“需要客服服务”等借口骗取IT运维人员、客服服务人员的信任,随后发送看似正常、却带了木马的加密压缩包,一旦下载并打开,受害者的电脑就会被远程控制,进行下一步恶意行为。

这样的高对抗手段,传统的检测引擎无从查起,甚至在产生严重后果后也无法溯源。

安全GPT借助aES探针对文件名称、文件后缀以及终端行为数据进行全量采集和关联,再加上大模型进行推理分析和意图识别,不从文件特征出发,而是基于文件名称、后缀等信息去推理文件落盘后的正常行为,再去对比实际行为看是否发生偏离,从而定性攻击。

例如,下图攻击者利用“企业税收稽查”文件进行的钓鱼攻击,GPT识别到它的文件名字和后缀,推理这个文件的正常行为应该只释放一个word文件,实际却同时释放了其他文件或拉起了其他进程等后渗透行为,安全GPT经过推理和对比分析判断出此为钓鱼攻击,精准检测。

通过3万高对抗钓鱼样本与100万白样本测试验证,对比传统方案,安全GPT+aES探针的检出率从15.7%飞升至91.4%,误报率从0.15%降低至0.046%。

2023年APT钓鱼攻击模拟演练的7条攻击链,当前无论是传统还是国际的检测产品,都只能检出1~3条,而安全GPT依靠更高维度的检测能力能够全部检出,检测效果和攻击链完整还原度远超其他检测产品。

除了能精准检测,我们也同时支持自动化及手动下发两种处置形式,有效闭环钓鱼事件。”

“有点意思,搞得我对我的工作更有信心了呢。”

“必须有信心,安全GPT从去年国内首发并落地到现在,已经迭代演进到3.0版本了,累计已在金融、能源、政府机关等130多家企业真实环境测试和应用。在真实场景下应用形成的海量优质数据,又会促进安全GPT防钓鱼数据飞轮,让防钓鱼的能力越来越强。未来也还会有更多场景的应用。”

“那以后就靠你们了。”想到以后不需要为钓鱼攻击掉头发,我的心情不禁好了很多。