回顾过去,许多与会者听到“欺骗”一词时首先想到的仍然是蜜罐。事实上,当欺骗技术在多年前首次出现时,蜜罐是描述欺骗工作原理的最接近的类似技术,因为蜜罐试图诱骗攻击者与其进行交互。但自从1990年代发明蜜罐并在21世纪首次商业化以来,欺骗已经取得了长足的进步。称这种新一代欺骗技术为任何东西,只是不要称它为蜜罐。定义下一代欺骗技术首先要解释它不是什么:一种愚蠢的、易于指纹识别的设备,旨在引诱倒霉的、毫无戒心的黑客走向毁灭。下一代欺骗技术-早期威胁检测当今的欺骗技术使用从端点数据到诱饵的一系列欺骗技术,提供了检测周边威胁的最早和最有效的方法。根据Gartner的定义,欺骗平台包括用于实施、管理和监控诱饵的系统、用于创建和分发诱饵的工具以及随后刷新或删除这些欺骗的方法。为使检测有效,欺骗必须无法检测到且不可避免。随着市场的发展,出现了三种常见的欺骗类型。全交互诱饵(蜜罐)、部分或低交互仿真诱饵和端点数据欺骗。让我们花点时间进一步分解这些欺骗类别。完全交互式诱饵(néeHoneypots)完全交互式诱饵(FID)并不意味着早期威胁检测,它们也不是——至少不是很好,而且根本不一致。完全交互的诱饵作为网络上的主机(物理或虚拟)存在,旨在受到犯罪分子的攻击和破坏。由于全交互诱饵是部署在网络上的全功能系统,它们难以广泛分布并且维护和实施需要大量资源,因此通常只部署有限数量的全交互式诱饵,这意味着它们不适合检测使用案件。攻击者必须将他们绊倒或引诱到完全互动的诱饵中,这样他们就不会上升到检测所需的“不可避免”或“不可避免”的水平。完全交互式诱饵最初旨在让防御者观察正在进行的攻击,但在威胁研究中仍然有用。然而,越来越复杂的现成工具(如蜜罐破坏者)意味着当今的攻击者不太可能长期被完全交互的诱饵所愚弄。部分交互或低交互仿真诱饵部分交互或低交互仿真诱饵使用仿真来诱骗攻击者尝试与设备进行交互。从概念上讲,这些欺骗就像舞台布景。袭击者在试图闯入时被“抓住”,但门的另一边什么也没有。此类诱饵的一个示例是非常详细地模拟大型机管理员控制台登录屏幕的设备或应用程序。当攻击者尝试使用窃取的凭据登录时,攻击者会收到错误消息并触发警报。仿真通常用于保护医疗和物联网设备等“不可触摸”的系统,随着物联网技术变得越来越广泛,仿真在欺骗中扮演着更具战略意义的角色。假诱饵通常更容易部署和支持,因此更容易避免。但是请注意,试图通过他们在任何给定日期支持的仿真数量来判断外挂供应商是徒劳的。任何一家供应商都不太可能提供所设想的数百万物联网设备所需的所有仿真,因此API以及合作伙伴和客户的仿真能力可能会迅速发展。端点数据欺骗端点数据欺骗仅包含静态数据。当攻击者首次进入网络时,他们会登陆端点。从那里,他们部署了攻击工具来调查环境并搜索合法凭据,以在成为“异地”的过程中提升他们的特权和与其他端点和服务器的连接。一旦被发现,这些数据就会被用来恶意遍历网络。作为阻止攻击者的第一步,必须从网络中删除这些有效的凭据和连接。这种“清理”操作本身就会减慢或阻止攻击者“在陆地上生存”的能力,以一种通常不以补丁为重点的漏洞管理解决方案通常无法涵盖的方式减少潜在的攻击面。供应商对这一重要过程的处理方式各不相同,所以不要被营销炒作所迷惑。在您自己的环境中执行测试。攻击风险评估,提供有关凭据和连接环境当前状态的惊人数据。攻击检测过程的下一步是在攻击者肯定会遇到的地方放置虚假信息;例如,将伪造的凭据和连接数据放在只有攻击者才能找到的端点上的缓存中。领先的供应商提供许多不同的端点欺骗系列,包括文件、文件系统、电子邮件、RDP连接等。一旦攻击者与任何此类虚假数据进行交互,就会触发高保真警报,准确显示尝试的内容和位置。供应商收集和分发此凭证信息的方法各不相同。是什么让今天的欺骗技术成为下一代?如今,机器智能和自动化使欺骗平台能够发现网络系统并了解攻击者与它们之间的关系。智能欺骗系统可以推荐和制作真实的网络、系统、应用程序、服务器和数据欺骗,这些欺骗是为每个系统定制的,并且对环境来说是原生的。人工智能驱动的自动化还可以使复杂的网络欺骗网络不断发展并与时俱进,即使在最大的网络上,即使威胁和业务发生变化也是如此。最后,下一代欺骗技术还可以轻松地与其他安全解决方案集成,使其威胁检测能力增强其他技术的解决能力。例如,端点检测和响应(EDR)以及安全信息和事件管理(SIEM)系统可以在攻击生命周期的更早阶段从下一代欺骗工具接收到高保真警报。这样,部署此类解决方案以及下一代欺骗的组织可以在攻击者取得进展之前加快调查并降低风险。
