欺骗式防御迎来AI革命

突飞猛进的人工智能技术正在引发欺骗式防御的颠覆式创新,仅AMTD就可能在十年内缓解大多数零日漏洞。

3月份发布的GPT-4掀起了企业网络安全市场的一场技术革命。虽然黑客可以通过越狱手段让GPT生成恶意代码,但企业安全团队和网络安全厂商们也纷纷开始尝试生成式AI的检测功能。最近,安全研究人员为ChatGPT开发了一个欺骗式防御的创新用例:AI蜜罐。  

欺骗即服务提供商Lupovis的首席执行官Xavier Bellekens近日发布了一篇博客文章,分享了他如何使用ChatGPT创建一个打印机蜜罐来诱骗黑客攻击一个不存在的系统,并展示了生成AI在欺骗式网络安全方面的作用。

欺骗如今是网络安全市场中非常流行的威胁检测技术,安全团队通过使用虚假资产(或蜜罐)来“欺骗”攻击者,同时深入了解攻击者使用的技术。欺骗式防御通常使用自动映射来收集带有MITRE ATT&CK等安全框架的情报。 

用ChatGPT愚弄黑客

“我开始做一个快速的概念验证,大概花了两三个小时。简单来说就是开发一种诱饵蜜罐引诱对手,而不是让他们漫游到企业的网络中。”Bellekens说道。

作为实验的一部分,Bellekens引导ChatGPT开发了中型交互打印机的说明和代码,该打印机(蜜罐)支持打印机的所有功能,响应扫描并识别为打印机,其登录页面的用户名为“admin”,密码为“password”。

仅用10分钟,Bellekens就用GPT开发出了能用的诱饵打印机,其代码运行“相对较好”。接下来,Bellekens在Vultr上托管“打印机”,使用ChatGPT记录传入连接并将其发送到数据库。新创建的打印机立即开始引起网络中游荡的攻击者的兴趣。

“几分钟内就开始有传入的连接,人们试图暴力破解它。”

为了更好地分析攻击流量,Bellekens使用名为Prowl的Lupovis工具交叉引用连接的IP地址,该工具能提供有关IP地址的邮政编码,城市和国家的信息,并确认它是机器还是人类实体。

分析显示,连接到打印机的不仅仅是机器人(bot)。在一个实例中,Bellekens发现有真人登录了打印机(点击了几个按钮试图更改设置)这种情况往往需要安全团队立刻开展详细调查。

AI蜜罐实验为何意义重大?

AI蜜罐的“实弹演习”表明,ChatGPT这样的生成AI工具在欺骗式网络安全领域能够发挥重大作用。 

“这可能是我迄今为止见过的最酷的项目,”威胁情报提供商Cybersixgill的高级情报分析师Michael-Angelo Zummo说道,“创建一个蜜罐通过ChatGPT检测攻击者的实验开辟了一个充满机遇的世界。这个实验虽然只涉及一台打印机,仍然成功地吸引了好奇的攻击者登录并按下按钮。”

Gartner高级分析师恩里克·特谢拉(Henrique Teixeira)则表示,该实验是LLM(大型语言模型)帮助增强人类执行困难任务的一个绝佳案例。在该案例中,大语言模型高效率完成了最困难的Python编程工作。该案例也证明AI确实能够极大提高普通开发人员的效率。

虽然现在说ChatGPT将彻底改变欺骗式网络安全防御还为时过早,但这个实验确实表明,生成式人工智能有可能大大简化欺骗技术市场中诱饵的开发工作。根据ResearchAndMarkets的预测,欺骗式防御技术的市场规模将从2020年的19亿美元增长到2026年的42亿美元。

使用生成式AI创建单个虚拟打印机打开了一个突破口,如果将场景扩展到模拟整个企业网络,那么安全团队的防御工作将会更有针对性和高效。

毫无疑问,突飞猛进的人工智能技术正在引发欺骗式防御的颠覆式创新,Gartner的一份报告称之为自动移动目标防御(AMTD)策略,即企业使用自动化技术实时移动或更改攻击面。

所谓的AMTD策略,简单来说就是企业识别目标资产并设置计时间隔以自动移动、重新配置、变形或加密以欺骗攻击者。利用生成式人工智能技术大规模生成诱饵会极大增强企业的AMTD欺骗式防御策略。

Gartner预测:仅AMTD就可能在十年内缓解大多数零日漏洞;到2025年,25%的云应用将利用AMTD功能和概念作为内置预防方法的一部分。

随着ChatGPT等人工智能驱动的网络安全解决方案和工具的不断发展,企业将迎来宝贵的演练欺骗式网络安全防御的机会,对攻击者发动反攻。

参考链接:

https://cyberdeception.substack.com/p/building-a-honeypot-with-chatgpt

前一篇周刊 | 网安大事回顾(2023.5.15—2023.5.21)
后一篇冒牌剪映官网暗藏大量恶意软件