Siber güvenlikte, bal tuzağı, siber saldırıları çekmek ve analiz etmek için özel olarak tasarlanmış, potansiyel saldırganlar için bir tuzak görevi gören bir yem sistemidir.
Bal tuzakları, meşru hedefleri taklit ederek tehdit aktörlerini gerçek varlıklardan uzaklaştırırken, onların yöntemleri ve davranışları hakkında istihbarat toplar.
Albany Üniversitesi Acil Durum Hazırlığı, İç Güvenlik ve Siber Güvenlik Fakültesi Bilgi Bilimi ve Teknolojisi Bölümü’nden siber güvenlik analistleri Hakan T. Otal ve M. Abdullah Canbaz, yakın zamanda karmaşık tehdit aktörleriyle etkileşime girmek için bir yapay zeka bal tuzağı geliştirdiler.
AI Honeypot ve Saldırganlar
Bal tuzakları, temel ağ hizmetlerini simüle eden düşük etkileşimli bal tuzaklarından, tüm ağ altyapılarını taklit eden yüksek etkileşimli bal tuzaklarına kadar çeşitlilik gösterir.
Aşağıda bunların tüm önemli türlerinden bahsettik:
- Sunucu bal tuzakları (Ağ hizmetlerini açığa çıkarma)
- İstemci bal tuzakları (Kötü amaçlı sunucular tarafından saldırıya uğramak üzere tasarlanmıştır)
- Kötü amaçlı yazılım bal tuzakları (Kötü amaçlı yazılımları yakalayın ve analiz edin)
- Veritabanı bal tuzakları (Hassas veri depolarını koruyun)
Geleneksel bal tuzakları etkili olmalarına rağmen, bal tuzağı parmak izine karşı savunmasızlık ve sınırlı etkileşim yetenekleri gibi sınırlamalarla karşı karşıyadır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Daha gelişmiş bal tuzakları yaratmak için “Llama3”, “Phi 3”, “CodeLlama” ve “Codestral” gibi LLM’ler son gelişmeler sayesinde aktif olarak entegre edildi.
Ancak, hesaplama yükünü azaltırken performansı artırmak için tüm bu LLM tabanlı bal tuzakları öncelikle “Denetlenen İnce Ayar (SFT)”, “hızlı mühendislik”, “Düşük Dereceli Uyarlama (LoRA)” ve “Kantitize Edilmiş Düşük Dereceli Bağdaştırıcılar (QLoRA)” gibi teknikleri kullanır.
Ayrıca düzenleme için NEFTune gürültüsünü ve uzun dizilerin verimli işlenmesi için Flash Attention 2’yi kullanıyorlar.
Araştırmada, genellikle AWS, Google Cloud ve Azure gibi bulut platformlarında konuşlandırıldığı, bunun dışında tüm bu honeypot’ların Paramiko gibi kütüphaneler kullanılarak özel SSH sunucularıyla birleştirildiği belirtiliyor.
LLM, saldırgan komutlarını IP (3. Katman) düzeyinde işler ve bu da gerçek sistemin davranışını taklit eden bağlamsal olarak uygun yanıtlar üretilmesine yardımcı olur.
Değerlendirme ölçütleri arasında, modelin çıktısını beklenen yanıtlarla karşılaştırmak için ‘kosinüs benzerliği’, ‘Jaro-Winkler benzerliği’ ve ‘Levenshtein uzaklığı’ yer alır.
Bu yaklaşım, bal tuzağının saldırganları ikna edici bir şekilde etkileme yeteneğini önemli ölçüde artırıyor, tehdit tespitini iyileştiriyor ve ayrıca istihbarat toplanmasına olanak tanıyor.
Ancak burada hesaplama verimliliği, gelişmiş tehdit aktörleri tarafından tespitten kaçınma ve gerçekçi davranışın sürdürülmesi arasında denge kurma konusunda zorluklar devam ediyor.
Bu modellerin ince ayarlarını yapmak için Hugging Face gibi platformlar aracılığıyla herkesin erişimine açık hale getirilebilen LlamaFactory gibi Framework’ler kullanılıyor.
LLM’lerin honeypot teknolojisine entegrasyonu, gelişen siber tehditlere karşı daha dinamik ve uyarlanabilir savunmalar sunan siber güvenlikte önemli bir ilerlemeyi temsil ediyor.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin