Veri Analizi ve Siber Güvenlik Çözümlerinde lider olan Splunk, Allowive adlı çığır açan bir konsept kanıtı hanzepot sistemi tanıttı (değerlendirici entegre doğrulama motoru ile aldatma).
Bu AI destekli araç, asgari kurulum çabasıyla yüksek etkileşim sistemlerini simüle etmek için tasarlanmıştır, bu da kuruluşlara saldırgan davranışını izlemek ve potansiyel tehditler hakkında bilgi edinmek için yenilikçi bir yol sunmaktadır.
YENİ BİR BÜYÜK DAYISI
Geleneksel balkospotlar genellikle kullanıcı verileri, uygulamalar ve konfigürasyonlarla tohumlama da dahil olmak üzere gerçekçi ortamlar kurmak için kapsamlı manuel çaba gerektirir.
Aldatma, gerçekçi sistem ortamlarını özelleştirilebilir istemlere göre dinamik olarak simüle etmek için büyük dil modellerinden (LLMS) yararlanarak bu zorluğu ortadan kaldırır.
Bu, siber güvenlik profesyonellerinin kapsamlı manuel müdahaleye ihtiyaç duymadan ikna edici tuzak sistemlerini dağıtmalarını sağlar.
Saldırganlara gerçek sistemlere erişim sağlayan geleneksel yüksek etkileşim balayaklarının aksine, Aldatma, yanıtları ve etkileşimleri taklit etmek için AI arka ucuna dayanır.
Bu, saldırgan taktikleri, teknikleri ve prosedürleri (TTP’ler) için değerli zeka yakalarken gerçek bir sistemin tehlikeye atılmamasını sağlar.
Aldatmanın temel özellikleri
Yapay zeka odaklı sistem simülasyonu: Kullanıcılar, basit bir hızlı dosyayı düzenleyerek taklit etmek istedikleri sistem türünü yapılandırabilir:
- “Gerçekçi kaynak kodu ve varlıkları olan bir video oyunu geliştiricisinin sistemisiniz.”
- Yararlı olabileceğine inandığınız daha fazla bilgi eklemekte özgürsünüz. Örneğin:
- “Simüle edilmiş e -postalar ve kullanıcı hesapları barındıran bigschool.edu için posta sunucusunuz.”
SSH Protokol Desteği: Aldative’in mevcut sürümü, SSH aracılığıyla erişilebilen bir Linux sunucusunu emülasyon yapar. Tüm kullanıcı girişlerini, AI tarafından oluşturulan çıkışları ve oturum özetlerini günlüğe kaydeder.
Oturum Analizi: Her seanstan sonra, Aldak, etkinliği iyi huylu, şüpheli veya kötü niyetli olarak kategorize eden bir özet sağlar. Örneğin:
İyi huylu bir oturum, PWD (Baskı Çalışma Dizini) veya çıkış gibi temel komutları içerebilir. Şüpheli veya kötü niyetli oturumlar keşif komutlarını veya ayrıcalık artış girişimlerini içerebilir.
Otomatik Günlük: Tüm etkileşimler kolay analiz için JSON çizgileri formatında kaydedilir. Her günlük girişi, zaman damgaları (UTC’de), kaynak IP adresleri, kullanıcı girişleri (Base64 kodlu) ve LLM yanıtları gibi ayrıntıları içerir.
Platformlar arası uyumluluk: Öncelikle MacOS 15 (Sequoia) üzerinde geliştirilirken, Aldatıcı, Linux ve Windows (Linux için Windows alt sistemi aracılığıyla) dahil olmak üzere Python 3’ü çalıştıran herhangi bir UNIX benzeri sistemle uyumludur.
Aldatma ile başlamak
- Github’dan depoyu klonlayın:
git clone https://github.com/splunk/DECEIVE
cd DECEIVE
pip3 install -r requirements.txt
- SSH ana bilgisayar anahtarı oluşturun:
ssh-keygen -t rsa -b 4096 -f SSH/ssh_host_key
SSH/Config.ini ve SSH/Send.txt’i düzenleyerek Honeypot’u yapılandırın, taklit sistemin özelliklerini tanımlamak için.
- Honeypot sunucusunu başlatın:
export OPENAI_API_KEY=""
python3 ./ssh_server.py
- Bir SSH istemcisi kullanarak kurulumu test edin:
ssh guest@localhost -p 8022
Splunk, aldatmanın üretime hazır değil bir kavram kanıtı projesi olduğunu vurgular. Saldırgan davranışları hakkında değerli bilgiler sunarken, kullanıcılara kapsamlı test ve güvenceler olmadan canlı ortamlarda dağıtılmasına karşı tavsiye edilir.
Ayrıca, aldatmak, analiz amaçları için kullanıcı adları ve şifreler gibi hassas bilgileri kaydettiğinden, kuruluşlar gizlilik ihlallerinden kaçınmak için bu günlükleri sorumlu bir şekilde ele almalıdır.
AI’nın üretken yeteneklerini geleneksel siber güvenlik araçlarıyla birleştirerek Aldatma, aldatma teknolojisinde önemli bir sıçrama temsil ediyor.
Kuruluşlara, kurulum çabalarını ve risklerini en aza indirirken, kontrollü ortamlarda saldırgan davranışlarını incelemelerini sağlar.
SPLUNK, Aldatıcı’nın yeteneklerini daha da geliştirmek için açık kaynaklı topluluğun katkılarını teşvik eder.
Siber tehditler gelişmeye devam ettikçe, Aldatma gibi araçlar, yapay zekanın, rakiplere karşı eyleme geçirilebilir zeka sağlarken örgütsel savunmaları güçlendirmede nasıl önemli bir rol oynayabileceğini gösteriyor.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri