欺騙式防御迎來AI革命

突飛猛進的人工智能技術正在引發欺騙式防御的顛覆式創新，僅AMTD就可能在十年內緩解大多數零日漏洞。

3月份發布的GPT-4掀起了企業網絡安全市場的一場技術革命。雖然黑客可以通過越獄手段讓GPT生成惡意代碼，但企業安全團隊和網絡安全廠商們也紛紛開始嘗試生成式AI的檢測功能。最近，安全研究人員為ChatGPT開發了一個欺騙式防御的創新用例：AI蜜罐。  

欺騙即服務提供商Lupovis的首席執行官Xavier Bellekens近日發布了一篇博客文章，分享了他如何使用ChatGPT創建一個打印機蜜罐來誘騙黑客攻擊一個不存在的系統，并展示了生成AI在欺騙式網絡安全方面的作用。

欺騙如今是網絡安全市場中非常流行的威脅檢測技術，安全團隊通過使用虛假資產（或蜜罐）來“欺騙”攻擊者，同時深入了解攻擊者使用的技術。欺騙式防御通常使用自動映射來收集帶有MITRE ATT&CK等安全框架的情報。 

用ChatGPT愚弄黑客

“我開始做一個快速的概念驗證，大概花了兩三個小時。簡單來說就是開發一種誘餌蜜罐引誘對手，而不是讓他們漫游到企業的網絡中。”Bellekens說道。

作為實驗的一部分，Bellekens引導ChatGPT開發了中型交互打印機的說明和代碼，該打印機（蜜罐）支持打印機的所有功能，響應掃描并識別為打印機，其登錄頁面的用戶名為“admin”，密碼為“password”。

僅用10分鐘，Bellekens就用GPT開發出了能用的誘餌打印機，其代碼運行“相對較好”。接下來，Bellekens在Vultr上托管“打印機”，使用ChatGPT記錄傳入連接并將其發送到數據庫。新創建的打印機立即開始引起網絡中游蕩的攻擊者的興趣。

“幾分鐘內就開始有傳入的連接，人們試圖暴力破解它。”

為了更好地分析攻擊流量，Bellekens使用名為Prowl的Lupovis工具交叉引用連接的IP地址，該工具能提供有關IP地址的郵政編碼，城市和國家的信息，并確認它是機器還是人類實體。

分析顯示，連接到打印機的不僅僅是機器人（bot）。在一個實例中，Bellekens發現有真人登錄了打印機（點擊了幾個按鈕試圖更改設置）這種情況往往需要安全團隊立刻開展詳細調查。

AI蜜罐實驗為何意義重大？

AI蜜罐的“實彈演習”表明，ChatGPT這樣的生成AI工具在欺騙式網絡安全領域能夠發揮重大作用。 

“這可能是我迄今為止見過的最酷的項目，”威脅情報提供商Cybersixgill的高級情報分析師Michael-Angelo Zummo說道，“創建一個蜜罐通過ChatGPT檢測攻擊者的實驗開辟了一個充滿機遇的世界。這個實驗雖然只涉及一臺打印機，仍然成功地吸引了好奇的攻擊者登錄并按下按鈕。”

Gartner高級分析師恩里克·特謝拉（Henrique Teixeira）則表示，該實驗是LLM（大型語言模型）幫助增強人類執行困難任務的一個絕佳案例。在該案例中，大語言模型高效率完成了最困難的Python編程工作。該案例也證明AI確實能夠極大提高普通開發人員的效率。

雖然現在說ChatGPT將徹底改變欺騙式網絡安全防御還為時過早，但這個實驗確實表明，生成式人工智能有可能大大簡化欺騙技術市場中誘餌的開發工作。根據ResearchAndMarkets的預測，欺騙式防御技術的市場規模將從2020年的19億美元增長到2026年的42億美元。

使用生成式AI創建單個虛擬打印機打開了一個突破口，如果將場景擴展到模擬整個企業網絡，那么安全團隊的防御工作將會更有針對性和高效。

毫無疑問，突飛猛進的人工智能技術正在引發欺騙式防御的顛覆式創新，Gartner的一份報告稱之為自動移動目標防御（AMTD）策略，即企業使用自動化技術實時移動或更改攻擊面。

所謂的AMTD策略，簡單來說就是企業識別目標資產并設置計時間隔以自動移動、重新配置、變形或加密以欺騙攻擊者。利用生成式人工智能技術大規模生成誘餌會極大增強企業的AMTD欺騙式防御策略。

Gartner預測：僅AMTD就可能在十年內緩解大多數零日漏洞；到2025年，25%的云應用將利用AMTD功能和概念作為內置預防方法的一部分。

隨著ChatGPT等人工智能驅動的網絡安全解決方案和工具的不斷發展，企業將迎來寶貴的演練欺騙式網絡安全防御的機會，對攻擊者發動反攻。