CISOsがAIハニーポットを採用すべき理由

悪夢は、私たちの主人公が企業のファイルにアクセスする方法を見つけようとしているが、すべてのドアがしっかり閉ざされているところから始まる。その後、彼らはバックエントランスを見つけ、中に入り、最初はゆっくり歩き、それから一つの廊下を走り、また別の廊下、そしてまた別の廊下を走り、そのファイルと長年夢見てきた報酬にますます近づいていると感じている。しかし何かおかしい。廊下はどうやら次々と廊下に通じているだけのようだ。初めて、私たちの主人公は自分が監視されていると感じる。そして、彼らは逃げる。

これは世界中の企業で数分ごとに展開される悪夢である：サイバー犯罪者は企業の露出したサーバーだと思われるものにpingを送るが、それが送り返す一見機密情報は実はそうではないことを発見する。それは、彼らが実際に遭遇したのがハニーポットサーバーだからである。このサーバーは、脅威行為者をおびき寄せ、企業に侵入しようとする際の動きをキャプチャするために組織が使用するデジタルかごである。

理論的には、これは彼らが侵入することを許可し、彼らが残した被害から何かを学ぶよりもはるかに安全である。しかし実際には、ハニーポットの有効性は歴史的に、プログラマーが環境を攻撃者にとって現実的に見えるようにするのに費やした努力の程度に依存してきた。そのようなサーバーは月に数万ドルの維持費がかかることを考えると、通常はそれほど多くはない。しかし、大規模言語モデル（LLM）とハニーポットの最近のペアリングは、これらのサーバーがコストのほんの一部で説得力のある環境を生成することを可能にし、個々の組織とサイバーセキュリティコミュニティ全体の脅威インテリジェンス取得を加速させている。

ハニーポットがどのように使用されてきたか

ハニーポット自体は1986年から存在している。その時、天文学者からコンピュータシステムマネージャーに転身したクリフ・ストール博士が、ARPANET接続を通じてUS軍事機密を盗もうとするKGBスパイを捕えた。ストールの革新は最終的に古典的なハニーポットサーバーに影響を与えることになった。

「研究者たちはそれらを愛しています[なぜなら]それらは実世界の攻撃者のTTPを収集し、新しいマルウェアキャンペーンを発見するための最良の方法の1つだからです」とサイバーセキュリティ研究者でBeelzebubの創設者であるマリオ・カンデラ氏は述べています。一方、SOCチームはハニーポットの展開と維持が難しく高額であること、プレミアムバージョンは月に数千ドルとエンジニアリング時間を費やすこと、そしてより洗練された危険な脅威がそれらを特定するのがいかに速いかを考えると、それらを「あると良い」ものと見なす傾向がありました。

2010年代後半のLLMの出現は、学術研究者によるハニーポットへのAI組み合わせの最初の実験につながりました。M・アブドッラー・キャンバズ博士はこの時期をよく覚えています。ニューヨーク州立大学オルバニ校の情報科学技術の助教授である彼は、LLMをハニーポットに取り付けるというアイデアが彼の学生の一人から来たことを覚えています。このペアは独自のLLMを構築し、トラフィックデータを解析し、膨大な種類のLinuxコマンドを処理するために訓練しました。これにより、キャンバズは説明します。最も洗練されたハッカーにも対処することができました。結果として生じた論文は2024年に発表されたもので、AI駆動型ハニーポットに対する学問的関心が全盛期にあります。「それ以来、とても多くの電話をもらいました」とキャンバズは述べており、しばしば「私たちの論文を持ち込んで、それをスタートアップビジネスに変えたい」と言う人からの電話です。

多くがそうしています。学問的な運動からほど遠いことで、AI駆動型ハニーポットは現在、大小の組織によって構築されています。小さい方の端ではBeelzebubは、悪魔的な有効性の評判を獲得した低コード、オープンソースのAI駆動型ハニーポットです。「主要な建築的飛躍は、LLMを欺瞞層に直接統合することでした」とカンデラは述べています。「静的なルールベースのハニーポットの代わりに、攻撃者に動的に応答でき、より長く彼らを従事させ、より豊かなインテリジェンスをキャプチャできる高相互作用的でLLM駆動の欺瞞環境を構築しました。」

洗練された攻撃者はおそらく最終的に気づくでしょう。しかし、サイバーセキュリティチームの利益はそれを試す価値があります。彼らは「最終的に微妙な矛盾に気づくかもしれません：おそらく実際のシステムと異なる応答遅延パターン、または『クリーン』すぎるファイルシステム、または実際の侵害の特定の予想される副作用を示さないシステム」とカンデラは述べています。しかし「攻撃者が自分たちが欺瞞環境にいることを疑い始めるころには、私たちはすでに彼らのツール、TTP、および意図をキャプチャしています。」

CISOsがハニーポットを検討すべき理由

AI ハニーポットスペースの別のプレイヤーはドイツテレコム（DT）です。同社は、無料のオープンソースプラットフォーム「T-Pot」を通じて、AI駆動型ハニーポットのユーザーおよび供給者の両方です。これらの罠の使用の最も明らかな利点は、脅威分析と軽減のDTのリードであるマルコ・オックスが説明しており、それらの前任者と比較して、これらの罠の設定と実行にかかるコストがいかに低いかにあります。「実際的には、AIは欺瞞の経済学を変えます」とオックスは述べています。「[組織が]通常の[コストと複雑性]なしに信じられるインタラクションをスケーリングすることを可能にします。」

しかし、それは複雑性の代償で来ていません。DTのチーフセキュリティオフィサーであるトーマス・チェルセリッヒは付け加えます。ハニーポットの背後にあるエンジニアに関する限り、古典的なものとAI駆動型のもの間の違いは、バックロットやCGIで構築された複雑な木製セットを使用して映画シーンを撮影することに似ています。両方とも外観ですが、後者は丹念に合板で構築された偽の城通りとほぼ区別がつかないほど安価です。さらに良いことに、AI駆動型ハニーポットはハッカーの要求にリアルタイムで適応でき、彼らが最初のところで自分たちが罠にいることに気付かずに、より長い期間罠にとどまる可能性が高くなります。最後に、チェルセリッヒは述べています。高い投資と関連付けられることなく、脅威行為者とのインタラクションの真正性を上げることができます。

これは、脅威行為者がすでにシステムにアクセスするための有効な認証情報を取得した状態で始まる組織への攻撃の急増の中で、より重要になっています。このシナリオでは、カンデラは述べており、防御者は「攻撃者がネットワーク内に入った場合、盲目です。」AIハニーポットを従来の攻撃ポイントでより長く脅威行為者を占有させ、APIやAIエージェント内などの従来でない場所に展開することで、カンデラは述べており、組織は彼らの対手に対して優位を占めることができます。

では、この大規模なAI駆動型ネットの展開から私たちは皆何を学んでいるのでしょうか。大きな発展は、カンデラが説明しており、サイバー犯罪者自身によるAIの使用です。これは「攻撃を民主化している」脅威行為者は現在、コーディングアシスタントを使用して、迅速に大規模でエクスプロイトコードを生成・展開するだけでなく、AIを使用してターゲットシステムの脆弱性を自動的に調査しています。「オープンソースAIレッドチームツールは、自律エージェントが人間の入力なしでスキャン、エクスプロイト、適応できるようになることを意味します」とカンデラは述べています。

このパラダイムにはリスクがあります。LLM出力は、結局のところ、本質的には非常に高レベルのパターン認識の産物です。このようなAIにサイバーセキュリティを譲歩する、キャンバズは述べており、攻撃面を非正統的で、したがって予期しないキャンペーンをマウントするサイバー犯罪者による搾取に広く開いたままにするリスクがあります。この将来では、彼は続けます。「攻撃者の明確な定義がありません。」

攻撃者がハニーポットトラップに対抗する方法

カンデラはこれらの懸念を共有し、「欺瞞検出-as-a-service」プロバイダーの出現を想定しており、違反試行に先立つ企業内のAI駆動型ハニーポットを排除するためのサイバー犯罪組織からの需要に応えます。さらに、「洗練された行為者はハニーポットデータを中毒したり、欺瞞層を操作したりしようとするかもしれません」とカンデラは述べており、Beelzebub独自の欺瞞環境が隔離されている重要な理由です。

ハッカーがハニーポットと対話しているかどうかわからず、万が一監視されている場合に備えて、悪質なビジネスをできるだけ迅速かつ効率的に実行することを目指しているため、サイバー攻撃の速度も増加する可能性があります。「これは実際には欺瞞をより価値あるものにします。少なくない」とカンデラは述べており、「スピード重視の攻撃者は、急速な横方向の動きの間により適切に配置されたハニーポットと相互作用する可能性があります。」

では、古典的なハニーポットにさようならを言う時でしょうか。必ずしもそうではありません。チェルセリッヒは議論しています。「低相互作用、中相互作用、または高相互作用センサーなどの静的ハニーポット展開は置き換えられませんが、高度に自動化されたAI駆動型の脅威環境に対応するためにAI駆動型ハニーポットで補完されるでしょう」と彼は述べています。それでも、サイバーセキュリティの風景は急速に変わっており、攻撃と防御の責任はますます機械によって引き受けられています。AI駆動型ハニーポットは、おそらく、その将来への橋—良いと悪いの両方のために。