欺骗式防御迎来AI革命

突飞猛进的人工智能技术正在引发欺骗式防御的颠覆式创新，仅AMTD就可能在十年内缓解大多数零日漏洞。

3月份发布的GPT-4掀起了企业网络安全市场的一场技术革命。虽然黑客可以通过越狱手段让GPT生成恶意代码，但企业安全团队和网络安全厂商们也纷纷开始尝试生成式AI的检测功能。最近，安全研究人员为ChatGPT开发了一个欺骗式防御的创新用例：AI蜜罐。  

欺骗即服务提供商Lupovis的首席执行官Xavier Bellekens近日发布了一篇博客文章，分享了他如何使用ChatGPT创建一个打印机蜜罐来诱骗黑客攻击一个不存在的系统，并展示了生成AI在欺骗式网络安全方面的作用。

欺骗如今是网络安全市场中非常流行的威胁检测技术，安全团队通过使用虚假资产（或蜜罐）来“欺骗”攻击者，同时深入了解攻击者使用的技术。欺骗式防御通常使用自动映射来收集带有MITRE ATT&CK等安全框架的情报。 

用ChatGPT愚弄黑客

“我开始做一个快速的概念验证，大概花了两三个小时。简单来说就是开发一种诱饵蜜罐引诱对手，而不是让他们漫游到企业的网络中。”Bellekens说道。

作为实验的一部分，Bellekens引导ChatGPT开发了中型交互打印机的说明和代码，该打印机（蜜罐）支持打印机的所有功能，响应扫描并识别为打印机，其登录页面的用户名为“admin”，密码为“password”。

仅用10分钟，Bellekens就用GPT开发出了能用的诱饵打印机，其代码运行“相对较好”。接下来，Bellekens在Vultr上托管“打印机”，使用ChatGPT记录传入连接并将其发送到数据库。新创建的打印机立即开始引起网络中游荡的攻击者的兴趣。

“几分钟内就开始有传入的连接，人们试图暴力破解它。”

为了更好地分析攻击流量，Bellekens使用名为Prowl的Lupovis工具交叉引用连接的IP地址，该工具能提供有关IP地址的邮政编码，城市和国家的信息，并确认它是机器还是人类实体。

分析显示，连接到打印机的不仅仅是机器人（bot）。在一个实例中，Bellekens发现有真人登录了打印机（点击了几个按钮试图更改设置）这种情况往往需要安全团队立刻开展详细调查。

AI蜜罐实验为何意义重大？

AI蜜罐的“实弹演习”表明，ChatGPT这样的生成AI工具在欺骗式网络安全领域能够发挥重大作用。 

“这可能是我迄今为止见过的最酷的项目，”威胁情报提供商Cybersixgill的高级情报分析师Michael-Angelo Zummo说道，“创建一个蜜罐通过ChatGPT检测攻击者的实验开辟了一个充满机遇的世界。这个实验虽然只涉及一台打印机，仍然成功地吸引了好奇的攻击者登录并按下按钮。”

Gartner高级分析师恩里克·特谢拉（Henrique Teixeira）则表示，该实验是LLM（大型语言模型）帮助增强人类执行困难任务的一个绝佳案例。在该案例中，大语言模型高效率完成了最困难的Python编程工作。该案例也证明AI确实能够极大提高普通开发人员的效率。

虽然现在说ChatGPT将彻底改变欺骗式网络安全防御还为时过早，但这个实验确实表明，生成式人工智能有可能大大简化欺骗技术市场中诱饵的开发工作。根据ResearchAndMarkets的预测，欺骗式防御技术的市场规模将从2020年的19亿美元增长到2026年的42亿美元。

使用生成式AI创建单个虚拟打印机打开了一个突破口，如果将场景扩展到模拟整个企业网络，那么安全团队的防御工作将会更有针对性和高效。

毫无疑问，突飞猛进的人工智能技术正在引发欺骗式防御的颠覆式创新，Gartner的一份报告称之为自动移动目标防御（AMTD）策略，即企业使用自动化技术实时移动或更改攻击面。

所谓的AMTD策略，简单来说就是企业识别目标资产并设置计时间隔以自动移动、重新配置、变形或加密以欺骗攻击者。利用生成式人工智能技术大规模生成诱饵会极大增强企业的AMTD欺骗式防御策略。

Gartner预测：仅AMTD就可能在十年内缓解大多数零日漏洞；到2025年，25%的云应用将利用AMTD功能和概念作为内置预防方法的一部分。

随着ChatGPT等人工智能驱动的网络安全解决方案和工具的不断发展，企业将迎来宝贵的演练欺骗式网络安全防御的机会，对攻击者发动反攻。