网络、网络攻击和阻止网络攻击的策略都在不断发展。“安全欺骗”是新兴的网络防御策略之一。尽管如此,询问任何网络安全专家他是如何定义欺骗技术的,他很可能会提到蜜罐或蜜网。这种说法并没有错,只是过时了,就像许多关于欺骗技术的误解一样,例如认为欺骗技术过于复杂、用例有限并且只对安全研究人员有用。本文将带您了解有关欺骗技术的详细信息。什么是欺骗技术(DeceptionTechnology)《孙子兵法》曾经说过,“所有的战争都是建立在欺骗之上的”。“欺骗”是战争中使用的经典战术,既可以作为保护一方的手段,也可以作为攻击敌人的手段。在线欺骗策略背后的想法也是如此。欺骗技术的目的是防止设法渗入网络的网络罪犯造成任何重大破坏。该技术诱使网络罪犯认为他们已经发现了一种通过创建陷阱或欺骗性诱饵来提升特权和窃取凭据的方法,这些陷阱或欺骗性诱饵模仿整个基础设施中的合法技术资产,并且一旦攻击者触发了陷阱,就会将警报传输到中央服务器,服务器记录受影响的诱饵和网络犯罪分子使用的攻击媒介,以便防御者可以观察攻击者的行动。沙盒和蜜罐之间的差异“安全欺骗”是安全行业中一个相对较新的术语,用于诱骗攻击者认为他们可以访问机密或重要内容,以便防御者可以监视他们的行为。相对较老的技术,例如沙箱和蜜罐,以不同的方式做同样的事情,所以很多人混淆了这些术语。下面解释了这三种技术之间的差异以及每种技术的理想用例。沙盒(Sandboxing)自从网络和第三方程序出现以来,几乎已经存在分析网络流量和程序的需要。沙箱于1970年代引入,用于测试人工智能应用程序,允许恶意软件在封闭环境中安装和运行,研究人员可以在封闭环境中监控其行为,以确定潜在风险和对策。如今,有效的沙盒通常在虚拟主机上的专用虚拟机上执行。这样做可以让您在与网络隔离的主机上使用多个操作系统安全地测试恶意软件。安全研究人员在分析恶意软件时使用沙盒,许多高级反恶意软件产品使用沙盒来根据其行为确定可疑文件是否真的是恶意软件。这些类型的反恶意软件解决方案变得越来越重要,因为许多现代恶意软件都经过混淆处理以避免使用基于签名的反病毒软件。理想用例——大多数企业不具备像专门的研究人员或供应商那样执行恶意软件分析的复杂技术能力和专业知识。小型企业通常从供应商的沙盒部署服务中获益最多。蜜罐(Honeypots)蜜罐和蜜网是专门为诱捕攻击者而设置的易受攻击的系统。蜜罐是一个单一的主机,可以引诱攻击者窃取有价值的数据或进一步检测目标网络。1999年开始出现的蜜网就是找出攻击者使用的攻击过程和策略。一个蜜网由多个蜜罐组成,蜜罐通常被配置为模拟一个真实的网络,包括文件服务器、Web服务器等,目的是让攻击者误认为自己已经成功渗透到网络中,但实际上进入了一个隔离环境,提供给研究人员进行研究。蜜罐允许研究人员观察真正的攻击者如何操作,而沙箱只揭示恶意软件的行为。安全研究人员和分析师经常使用蜜罐和蜜网来观察攻击者的行为,通过发现新的攻击方法并实施新的防御措施来提高网络安全性。Honeynets也会浪费攻击者的时间,使他们因为一无所获而放弃。理想用例——这种方法非常适合经常成为黑客攻击目标的政府组织和金融机构,但任何中型或大型企业都将从蜜罐/蜜网中受益。中小型企业(SMB)也可以从中受益,具体取决于他们的业务模型和安全状况,但许多SMB没有可以设置或维护蜜罐的安全专家。欺骗防御技术欺骗防御是一个新名词。它的定义尚未最终确定,但基本上是指一系列更高级的蜜罐和蜜网产品,可以根据捕获的数据提供更高的检测和防御实现。自动化程度。欺骗技术有不同层次,有些类似于高级蜜罐,有些则具有真实网络的所有特征,包括真实数据和设备。这种欺骗技术模仿和分析不同类型的流量,以提供对帐户和文件的虚假访问,更接近于模仿内部网络。一些安全欺骗产品还可以自动部署,将攻击者困在更多信息的循环中,让用户可以更具体、更真实地回应攻击者。当欺骗防御产品按预期工作时,黑客会认为他们已经渗透到受限网络并正在收集关键数据。理想用例——欺骗技术仍处于起步阶段,对于大多数新的安全技术,最初的用例大多是能够逐步将其推向市场的大型企业。目前,政府机构、金融机构和研究公司最关注这项技术。但是,组织仍然需要安全分析师来分析来自安全欺骗工具的数据,因此没有专业安全人员的小公司通常无法从中受益。总的来说,所有这些安全技术在预防和分析领域都占有一席之地。在高层次上,沙箱允许安装和运行恶意软件,以便技术人员观察其恶意行为;蜜罐和蜜网可以专注于分析黑客将在已渗透的网络上执行的操作轨迹;欺骗防御是一种更新的高级入侵检测和防御策略,提供更真实的蜜网,易于部署,可以为用户提供更多信息,但需要更多的预算和更高的专业技能。为什么需要欺骗技术?早期检测和早期防御没有任何安全解决方案可以阻止对您网络的所有攻击的发生,但是欺骗技术可以让攻击者产生一种错误的安全感,让他们相信他们已经在您的网络上站稳了脚跟。从这里开始,您可以安全地监控和记录攻击者的行为,因为他们不会对诱饵系统造成任何真正的损害。您记录的有关攻击者及其行为和技术的信息可用于进一步保护网络免受攻击。减少误报和风险误报和警报疲劳都会阻碍安全工作,甚至根本无法进行分析,同时浪费许多资源。太多的噪音会导致IT团队变得自满而忽视潜在的合法威胁。欺骗技术以最小的误报和高保真警报减少噪音。欺骗技术的风险也很低,因为对数据没有风险,对资源或操作也没有影响。当黑客访问或试图使用部分欺骗层时,会生成真实准确的警报,告诉管理员他们需要采取行动。随意扩展和自动化虽然对企业网络和数据的威胁越来越受到关注,但安全团队很少增加预算来应对大量新威胁。因此,欺骗技术可能是一个非常受欢迎的解决方案。自动警报消除了手动工作和干预的需要,而该技术旨在随着组织和威胁级别的增长而轻松扩展。欺骗技术可用于向各种不同的设备提供面包屑,包括遗留环境、行业特定环境,甚至物联网设备。部署有效欺骗的7大策略作为一种主动防御方法和策略,您如何才能最大限度地发挥欺骗技术的能力?以下是使用欺骗防御快速检测威胁的七个最佳战术技巧和实践:1.使用真实计算机作为诱饵根据KnowBe4的数据驱动防御专家RogerGrimes的说法,最好的欺骗诱饵是那些最接近实际生产的诱饵资产。如果欺骗设备明显不同于其他系统,攻击者很容易发现它,因此成功诱饵的关键是让它看起来像另一个生产系统。Grimes说,攻击者无法区分生产环境中使用的生产资产和仅作为欺骗性蜜罐存在的资产。您的诱饵可以是企业打算淘汰的旧系统,也可以是生产环境中的新服务器。Grimes建议,确保您使用与实际生产系统相同的名称——并将它们放在相同的位置——具有相同的服务和防御。Acalvio的Moy说,关键是要融入其中。避免出现明显的标志,例如通用MAC地址、通用操作系统补丁以及与该网络上的通用约定相匹配的系统名称。2.确保您的诱饵显得重要且有趣威胁行为者讨厌欺骗,因为他们知道欺骗会在不知情的情况下将他们引向“兔子洞”。CrypsisGroup首席顾问杰里米·布朗(JeremyBrown)表示,高级欺骗可以极大地破坏攻击者的活动,并使他们分心数小时、数天甚至数周。他说,一种常见的欺骗性防御技术是设置虚拟或物理服务器来存储重要信息。例如,运行真实操作系统(如WindowsServer2016)的诱饵域控制器是攻击者非常有吸引力的目标。这是因为域控制器包含ActiveDirectory,而ActiveDirectory包含环境中用户的所有权限和访问控制列表。同样,另一种吸引攻击者注意的方法是创建在环境中未被主动使用的真实管理员帐户。威胁行为者倾向于寻找授予他们更高权限的帐户,例如系统管理员、本地管理员或域管理员。如果您在帐户中看到此类活动,则表明您的网络受到了攻击。3.模拟非传统端点在您的网络上部署诱饵时,不要忘记模拟非传统端点,Fidelis产品副总裁蒂姆·罗迪(TimRoddy)说。攻击者越来越多地发现和利用物联网(IoT)设备和其他联网的非PC设备中的漏洞。因此,请确保网络上的诱饵看起来像安全摄像头、打印机、复印机、运动检测器、智能门锁和其他可能引起攻击者注意的连接设备。请记住,您的诱饵需要融入攻击者期望看到的网络场景和设备类型,这包括物联网。4.像攻击者一样思考在部署诱饵系统或其他诱饵时,从对手的角度考虑你的网络的弱点,并用这种思维来确定检测目标列表的优先级,以填补防御系统中的漏洞。此外,还要考虑攻击者可能需要采取的步骤类型以及目标是什么。沿路径布置面包屑痕迹,这些诱饵与对手可能的目标有关。例如,如果攻击者以凭据为目标,请确保将虚假凭据和其他基于ActiveDirectory的欺骗作为策略的一部分。5.使用正确的面包屑来引诱攻击者入侵员工的PC,经常转向注册表和浏览器历史记录以查看该用户正在寻找内部服务器、打印机和其他设备的位置。Fidelis的Roddy说面包屑是模仿这些设备的诱饵的地址。一个好的做法是将这些诱饵的地址放在最终用户设备上。如果设备受到威胁,攻击者可以跟随面包屑进入诱饵,提醒管理员入侵已经发生。6.主要将欺骗用作警告不要仅仅使用蜜罐和其他欺骗手段来尝试跟踪或确定黑客在做什么。相反,最好使用欺骗作为预警系统来检测入侵并将跟踪和监控留给取证工具。您希望设置持续监控并花时间对网络上每项资产的正常生产连接进行故障排除,例如与补丁和防病毒更新相关的那些。黑客不知道环境中的真假。它们将连接到看起来像生产资产的虚假欺骗资产,就像任何其他实际生产资产一样容易。“根据定义,当蜜罐获得意外连接时,它可能是恶意的。不要让蜜罐警报出现在您的SIEM中,也不要立即进行调查,”Grimes说。7.保持欺骗的新鲜感欺骗是敌人的老招数。为了真正有效,欺骗技术需要不断更新以跟上用户活动、应用程序甚至网络暴露的变化。例如,一个新的漏洞可能不会被修补,但可以通过欺骗快速保护。使用欺骗来增强对已知安全漏洞的检测。这可能包括远程工作人员的笔记本电脑、VPN网关网络、合作伙伴或承包商网络,以及难以保护或修补的凭据。根据IDG发布的研究报告,2020年平均安全预算为7270万美元,高于2019年的5180万美元,这些安全预算正被用于积极研究和投资各种安全解决方案。计划。其中,一些关键的解决方案包括零信任技术(40%);欺骗技术(32%);微分段(30%)和基于云的网络安全服务(30%)。MarketsandMarkets发布的一份新的市场研究报告显示,欺骗防御技术的市场规模将从目前的10.4亿美元增长到2021年的20.9亿美元,复合年增长率(CAGR)约为15.1%。而MordorIntelligence估计,到2025年,网络安全欺骗防御工具的市场需求将达到约25亿美元,而2019年仅为12亿美元。其中很大一部分需求将来自政府机构、全球金融机构等频繁出现的目标的网络攻击。可以肯定地说,欺骗技术会越来越流行,2021年以下趋势将推动欺骗技术发展成为主流:MITREShieldMITER将Shield定义为“MITRE正在开发的主动防御知识库,用于捕获和组织有关主动防御和对手交战的知识,旨在为防御者提供用于对抗网络对手的工具。”此外,主动防御被定义为“采取有限的进攻行动和反击,以阻止对手侵犯有效的争议区域或阵地”。鉴于已经采用MITREATT&CK的组织数量,他们很可能会将Shield作为补充程序使用。欺骗技术在Shield中有大量的主动防御用例。随着组织规模化和自动化运营、使用集成安全工具(例如将它们集成到SOAPA架构中)、采用高级分析以更好地了解其攻击面以及实施自动化安全测试工具,SOC现代化将在2021年实现SOC现代化运动。欺骗技术,作为主动传感器和可调节的安全控制,将很好地适应这些变化。勒索软件响应策略教育、医疗保健以及州和地方政府等行业在打击勒索软件方面需要帮助。欺骗技术不是万灵药,但它可以帮助检测跨协议(例如服务器消息块(SMB))的横向移动,以最大程度地减少损害。诱饵诱饵也可以部署或调整以防御其他网络攻击活动的战术、技术和程序(TTP)。欺骗技术不是一种放之四海而皆准的解决方案,但据已经部署它的组织称,它是一种快速解决方案。CISO可以快速部署欺骗技术并获得近期利益,而这一单一利益将增加欺骗技术在后大流行时代的普及程度。参考链接:https://www.marketsandmarkets.com/Market-Reports/deception-technology-market-129235449.htmlhttps://www.darkreading.com/vulnerabilities---threats/vulnerability-management/7-tips-for-effective-deception/d/d-id/1338175https://www.idg.com/news/idgs-2020-security-priorities-research-outlines-new-security-practices-investments/https://www.darkreading.com/endpoint/the-difference-between-sandboxing-honeypots-and-security-deception/a/d-id/1332663https://www.csoonline.com/article/3600217/why-2021-will-be-a-big-year-for-deception-technology.html转载请注明原文地址。
