苏奇·鲁德拉是一位撰稿人,其作品曾发表于《纽约时报》、BBC和Vice等出版物。
术语“蜜罐”起源于间谍世界,但如今,数字蜜罐已成为一种有用的网络安全工具。网络蜜罐通过模拟服务器、数据库、网站或应用程序等合法目标来吸引黑客。
“这些系统被故意配置为看似易受攻击,以引诱对手。一旦网络犯罪分子与蜜罐交互,安全团队就可以监控其行为,收集有关其方法和工具的情报,并利用这些信息加强防御或将其从关键资产上转移开,”新研究论文《面向动态网络威胁的AI驱动自适应蜜罐》的合著者拉姆·钱德拉·萨钦表示。
在针对医疗机构的网络攻击持续上升的情况下,这一策略与IT管理员应采取的“不是是否,而是何时”的网络安全思维相一致。
自20世纪80年代蜜罐出现以来,这些诱饵系统已不断发展,如今对加强网络安全防御至关重要。2018年,一个模拟医疗系统的蜜罐遭到超过20,000次攻击。但一种新型改进版本正在兴起:AI增强型蜜罐。
“利用攻击者生成的命令和响应数据集,这些模型被训练为能令人信服地模拟服务器行为。监督微调、提示工程和低秩适应等技术有助于为特定任务定制这些模型,”纽约州立大学奥尔巴尼分校信息科学与技术系的博士生哈坎·T·奥塔尔解释道。
AI驱动的蜜罐利用自然语言处理和机器学习的进展,例如微调的大型语言模型(LLMs),来创建高度交互和逼真的系统。
AI驱动的蜜罐如何使医疗机构受益?
据奥塔尔称,AI增强型蜜罐可以作为针对日益增多的网络攻击的早期预警系统,并将攻击者从用于存储和维护敏感数据的关键系统上转移开,从而降低成功入侵的可能性。
“该系统还可以检测和记录恶意活动,为改善网络安全提供可操作的见解,”奥塔尔解释道。
这一独特的安全功能还具有教育价值;萨钦指出,蜜罐可用于帮助教育IT人员了解网络安全风险和防御措施。
AI驱动蜜罐的优缺点
用人工智能增强蜜罐可实现与攻击者的动态和逼真互动,提高所收集数据的质量。模型可以通过强化学习进化以应对新兴攻击战术。
萨钦指出,创建AI蜜罐还可以实现更快的部署;部署成本大幅降低;以及更逼真且极具说服力的蜜罐,能够模拟真实的网络活动、流量模式和日志。利用AI进行蜜罐维护可以提高威胁检测的准确性,并基于新攻击方法使蜜罐不断进化和适应,使其更难被黑客识别。
奥塔尔表示,使用AI驱动的蜜罐仍存在挑战,包括静态行为和可预测的模式,这些可能使它们被攻击者识别。
此外,尽管部署成本可能降低,但AI模型的微调和维护仍需要在硬件、软件、许可证和雇佣熟练AI专业人员方面进行大量投资。
1983
研究人员尝试将黑客诱入首个有记录的网络蜜罐
来源:metallic.io,《蜜罐:回忆之旅》,2021年7月7日
如果AI驱动的蜜罐过于昂贵该怎么办
奥塔尔建议,在预算允许部署复杂的AI增强型蜜罐之前,医疗机构应专注于基础网络安全措施以防止数据盗窃,包括:
- 网络安全工具: 确保防火墙、入侵检测系统和端点保护平台正常运行并及时更新。
- 数据加密: 通过强大的加密方法保护敏感数据。
- 定期更新和修补: 保持系统和软件更新以减轻漏洞。
- 备份系统: 实施定期、安全的备份,以确保事件后数据恢复。
萨钦表示,培训员工识别钓鱼尝试并实践良好的网络安全习惯也很重要。“任何安全系统都只与其最薄弱环节一样强大。”
未来医疗保健网络安全中的AI增强型蜜罐
即使不立即实施,随着医疗机构继续改进和升级其技术,以及LLMs的整合带来更适应性和更复杂的安全基础设施,AI增强型蜜罐仍可能在未来安全策略中发挥关键作用。
然而,奥塔尔指出,仍然“重要的是将这些技术进步与可访问性和伦理考量相平衡。学术界、产业界和公共部门之间的合作对于使这些创新实用且惠及所有人至关重要。”
柳德米拉·切尔内茨卡/Getty Images
【全文结束】