Site icon Kiber.ba

Splunk predstavlja novi Honeypot baziran na AI “DECEIVE”

Splunk predstavlja novi Honeypot baziran na AI "DECEIVE"-Kiber.ba

Splunk predstavlja novi Honeypot baziran na AI "DECEIVE"-Kiber.ba

Splunk, lider u analitici podataka i rješenjima za cyber sigurnost, predstavio je revolucionarni proof-of-concept honeypot sistem pod nazivom DECEIVE (DECeption with Evaluative Integrated Validation Engine). 

Ovaj alat koji pokreće AI dizajniran je da simulira sisteme visoke interakcije uz minimalan napor pri postavljanju, nudeći organizacijama inovativan način za praćenje ponašanja napadača i sticanje uvida u potencijalne prijetnje.

Nova era Honeypot-a

Tradicionalni honeypotovi često zahtijevaju opsežan ručni napor za postavljanje realističnih okruženja, uključujući njihovo popunjavanje korisničkim podacima, aplikacijama i konfiguracijama. 

DECEIVE eliminiše ovaj izazov koristeći velike jezičke modele (LLM) za dinamičku simulaciju realističnih sistemskih okruženja zasnovanih na prilagodljivim upitima. 

Ovo omogućava profesionalcima za sajber sigurnost da implementiraju uvjerljive sisteme mamaca bez potrebe za opsežnom ručnom intervencijom.

Za razliku od konvencionalnih honeypotova visoke interakcije koji napadačima pružaju pristup stvarnim sistemima, DECEIVE se oslanja na svoju AI pozadinu da oponaša odgovore i interakcije. 

Ovo osigurava da nijedan stvarni sistem nije narušen, a da i dalje prikuplja vrijedne obavještajne podatke o taktikama, tehnikama i procedurama napadača (TTP).

Ključne karakteristike DECEIVE

Simulacija sistema vođena vještačkom inteligencijom: Korisnici mogu da konfigurišu tip sistema koji žele da emuliraju uređivanjem jednostavne prompt datoteke kao što je:

Podrška za SSH protokol: Trenutna verzija DECEIVE emulira Linux server kojem se može pristupiti putem SSH-a. Zapisuje sve korisničke unose, AI generisane izlaze i sažetke sesija.

Analiza sesije: Nakon svake sesije, DECEIVE daje sažetak kategorizirajući aktivnost kao benignu, sumnjivu ili malicioznu. na primjer:

Dobroćudna sesija može uključivati ​​osnovne komande poput pwd (ispis radnog direktorija) ili exit. Sumnjive ili maliciozne sesije mogu uključivati ​​naredbe za izviđanje ili pokušaje eskalacije privilegija .

Automatsko evidentiranje: Sve interakcije se evidentiraju u formatu JSON linija radi jednostavne analize. Svaki unos dnevnika uključuje detalje kao što su vremenske oznake (u UTC), izvorne IP adrese, korisnički ulazi (kodirani base64) i LLM odgovori.

Kompatibilnost među platformama: Iako je primarno razvijen na macOS-u 15 (Sequoia), DECEIVE je kompatibilan sa bilo kojim sistemom sličnim UNIX-u koji pokreće Python 3, uključujući Linux i Windows (preko Windows podsistema za Linux).

Početak rada sa DECEIVE

git klon https://github.com/splunk/DECEIVE 
cd DECEIVE
pip3 install -r zahtjevi.txt
ssh-keygen -t rsa -b 4096 -f SSH/ssh_host_key

Konfigurišite honeypot uređujući SSH/config.ini i SSH/prompt.txt da biste definisali karakteristike emuliranog sistema.

izvoz OPENAI_API_KEY="<vaš tajni API ključ>" 
python3 ./ssh_server.py
ssh gost@localhost -p 8022

Splunk naglašava da je DECEIVE projekat sa dokazom koncepta i nije spreman za proizvodnju. Iako nudi vrijedan uvid u ponašanje napadača, korisnicima se savjetuje da ga ne koriste u živim okruženjima bez temeljnog testiranja i zaštite.

Osim toga, budući da DECEIVE evidentira osjetljive informacije kao što su korisnička imena i lozinke u svrhu analize, organizacije moraju odgovorno rukovati tim zapisnicima kako bi izbjegli kršenje privatnosti.

Kombinovanjem generativnih sposobnosti vještačke inteligencije sa tradicionalnim alatima za sajber bezbjednost, DECEIVE predstavlja značajan iskorak u tehnologiji obmane. 

Omogućuje organizacijama da proučavaju ponašanje napadača u kontrolisanim okruženjima dok minimiziraju napore i rizike pri postavljanju.

Splunk ohrabruje doprinose zajednice otvorenog koda kako bi se dodatno poboljšale mogućnosti DECEIVE-a. 

Kako sajber prijetnje nastavljaju da se razvijaju, alati kao što je DECEIVE pokazuju kako vještačka inteligencija može igrati ključnu ulogu u jačanju organizacijske odbrane, istovremeno pružajući djelotvornu inteligenciju protiv protivnika.

Izvor: CyberSecurityNews

Exit mobile version