近年来,攻击者突破企业网络防御的能力不断增强,市场对欺骗性防御技术和策略的兴趣也越来越大。欺骗防御不等同于传统的蜜罐技术。欺骗性防御技术工具除了具备与攻击者交互的能力外,还注重伪装和混淆,利用误导、错误响应等技术引诱攻击者远离合法目标。并将它们引向蜜罐等诱饵系统,增加攻击难度和成本是主动防御的重要组成部分。当今的许多欺骗性防御工具都开始利用人工智能(AI)和机器学习(ML)来帮助组织及早检测入侵并帮助防御者发现攻击者的工具和策略。MordorIntelligence在最近的一份报告中估计,到2025年,对网络安全欺骗防御工具的需求将从2019年的12亿美元增长到25亿美元左右。大部分需求将来自政府机构、全球金融机构和其他网络攻击的频繁目标.AttivoNetworks首席技术官TonyCole指出,欺骗性防御是一个有趣的概念,事实上这种策略已经以各种形式存在了数千年。“欺骗性防御几乎可以部署在企业中存在网络安全风险的任何地方,它在端点保护和端点检测与响应工具没有得到充分保护的情况下特别有用,”他说。例如,当攻击者破坏一个端点并使用它来查询ActiveDirectory时,您可以向攻击者提供虚假信息,而不会影响生产环境。”欺骗防御技术有三个重要的用例,可以在关键任务环境中增加额外的保护层;在已知存在安全漏洞的区域增强检测能力;诱饵攻击者潜伏在大量SIEM安全警报中。总之,欺骗防御技术不是简单的蜜罐或沙箱,而是一种主动防御方法和策略。打个比方,在各个网段部署诱饵和陷阱类似于战略性地防止厨房踢脚板上的奶酪花生酱和捕鼠器。下面,安全专家总结了使用欺骗性防御快速检测威胁的七大战术技巧和实践。1.使用真实计算机(资产)作为诱饵KnowBe4的数据驱动防御专家RogerGrimes表示,最好的欺骗诱饵是那些非常接近真实生产资产的诱饵。如果欺骗设备与其他系统明显不同,攻击者很容易发现它,因此诱饵成功的关键是看起来像另一个生产系统。“攻击者无法区分生产环境中的生产资产和仅作为欺骗性蜜罐存在的生产资产,”Grimes说。“'真正的'诱饵可能是企业打算淘汰的旧系统,也可能是生产中的新服务器。确保使用与实际生产系统相同的名称,将其放在相同的位置,并使用相同的服务和防御。Acalvio的Moy说,欺骗的关键是融入。避免明显的区别,例如常见的MAC地址、常见的操作系统补丁和符合该网络上常见约定的系统名称。2。确保您的诱饵看起来既重要又有趣。攻击者讨厌欺骗,因为欺骗技术会将他们引向兔子洞。高级欺骗可以极大地破坏攻击者的活动,并转移他们的注意力。“一种常见的欺骗性防御技术是设置虚拟或物理服务器,这些服务器似乎存储了重要信息信息,”他说。“例如,运行真实操作系统(如WindowsServer2016)的诱饵域控制器是攻击者非常有吸引力的目标。这是因为域控制器包含ActiveDirectory,而ActiveDirectory包含所有权限和访问控制列表。同样,另一种吸引攻击者注意的方法是创建在环境中未被主动使用的真实管理员帐户。威胁行为者倾向于寻找赋予他们更高权限的帐户,例如sysadmin、本地管理员或域管理员。诱饵账户的活跃信息可以提醒防御者攻击已经开始。”3.模拟非传统终端设备(漏洞)Fidelis产品副总裁TimRoddy表示,在网络上部署诱饵时,Don忘记模拟非传统端点。攻击者越来越多地发现和利用物联网(IoT)设备和其他连接互联网的非PC设备中的漏洞。因此,请确保网络上的诱饵看起来像安全摄像头、打印机、Roddy说,复印机、运动检测器、智能门锁和其他可能引起攻击者注意的连接设备。总之,你的假冒诱饵应该“适合”攻击者期望看到的网络场景和设备类型,包括物联网。4.在部署诱饵系统时像攻击者一样思考,首先从攻击者的角度审视你或你的同行的网络防御弱点,以及适用的TTPs攻击和技术大头针。目前针对这种进攻性思维的最佳实践之一是基于ATT&CK框架的欺骗性防御。ATT&CK是一种从攻击者的角度描述攻击各个阶段所使用的技术的模型。通过ATT&CK模型,分析攻击面的关键是在整个攻击环节部署欺骗性防御,提高欺骗性防御。全面性和有效性。Acalvio的Moy说:“利用这种想法来制定一个检测目标的优先列表,以弥补防御中的漏洞。”简而言之,防御者需要考虑攻击者可能需要采取的步骤类型以及他们想要攻击的对象。沿路径布置面包屑痕迹,这些诱饵与对手可能的目标有关。例如,如果攻击者以凭据为目标,请确保将虚假凭据和其他基于ActiveDirectory的欺骗作为策略的一部分。5.闯入具有正确面包屑的员工PC的入侵者通常会转到注册表和浏览器历史记录,以查看该用户正在寻找内部服务器、打印机和其他设备的位置。“面包屑是模仿这些设备的诱饵的地址,”Fidelis的Roddy说。一个好的做法是将这些诱饵的地址放在最终用户设备上。Roddy说,如果设备受到威胁,攻击者可以顺着面包屑进入诱饵,提醒管理员发生了入侵。6.主要将欺骗用作警告不要仅仅使用蜜罐和其他欺骗手段来尝试跟踪或确定黑客在做什么。通常,这不是欺骗性防御的“主要业务”,KnowBe4的Grimes说。相反,最好使用欺骗作为预警系统来检测入侵并将跟踪和监控留给取证工具。Grimes说:“你希望建立持续监控,并花时间排除网络上每项资产获得的正常生产连接,例如与补丁和防病毒更新相关的连接。”黑客不知道环境中的真假。它们将连接到看起来像生产资产的虚假欺骗资产,就像任何其他实际生产资产一样容易。“根据定义,当蜜罐获得意外连接时,它可能是恶意的,”Grimes说。“不要让蜜罐警报出现在您的SIEM中,也不要立即进行调查。”7.保持欺骗新鲜感,Acalvio的莫伊说。不断更新以跟上用户活动、应用程序甚至网络曝光的变化。“例如,一个新漏洞可能无法修补,但可以通过欺骗快速保护它,”他说,使用欺骗来增强对已知安全漏洞的检测。其中包括远程工作人员的笔记本电脑、网关网络、合作伙伴或承包商网络,以及难以保护或修补的凭据。在新冠疫情肆虐、远程办公盛行的今天尤为有意义。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
