欺骗讨论通常会导致蜜罐,然后某种程度的混乱开始。添加一组欺骗的缩写词,包括:breadcrumbs、bait、trap、beacon,大多数新主题见另一个安全研究项目。欺骗技术会混淆部署策略,使遗留的观点错误地存在于我们的脑海中。已经针对影响部署策略的欺骗防御开发了重大创新。首先,安全研究需要侧重于遏制和暴露危害的传统操作系统蜜罐。然而,在网络内部署数千名用户作为入侵后检测策略只会增加攻击面和风险级别。正如我们需要熟练的执法人员来检测和发现包裹轰炸机和狙击手一样,我们需要熟练的安全研究人员来捕获攻击工具和方法,以了解可能的归因以及如何缓解它们。因此,针对安全研究的蜜罐的深入讨论将集中于将遏制作为一种部署策略。蜜罐必须尽可能真实以避免被攻击者检测到,因此安装他们的工具并启动他们的方法。相反,使用欺骗作为入侵后防御在内部侧重于检测(相对于遏制),创新改进了这种部署策略。随着时间的推移,建立在真实操作系统上的纯蜜罐演变成虚拟机,使它们更容易重置。仿真服务将蜜罐演变成诱饵,这些诱饵不易受到攻击,但可以实现自动化和扩展。考虑到入侵后欺骗策略的检测,当攻击者发现中等或低交互诱饵是服务和数据的模拟时,检测的目的早就完成了。为了使欺骗具有确定性(相对于攻击者统计发现诱饵),诱饵被放置在真实资产上,然后引导攻击者进行攻击。这些诱饵也称为面包屑、虚假数据、虚假凭证、陷阱和信标。现代欺骗侧重于面包屑和诱饵之间的联系,以实现最有效的检测。我们知道,大多数攻击都是通过网络钓鱼、社会工程或入侵立足点系统来进行的。立足点系统很少是理想的资产或数据,因此攻击者使用侦察来寻找横向移动到他们想要的东西的路径。这是一个了解攻击者如何作为检测部署策略来引诱、检测和防御欺骗的机会。攻击格局发生了变化,近60%的攻击没有恶意软件消息,超过40%的受感染系统没有恶意软件迹象,超过95%的恶意软件只出现过一次,近一半的用户打开电子邮件、攻击配置文件正在更改并在交互后的一个小时内单击附件。那么,自动化如何使欺骗成为早期入侵检测的防御手段呢?自动化使网络和分析资产的映射能够自动创建与环境匹配的模拟诱饵。自动化然后部署诱饵和种子面包屑,再加上对环境中任何变化的监控,使得欺骗层尽可能地真实,并且只需最少的人力。对于用户不知道的欺骗组件,警报是高保真的,几乎没有误报,可以检测新入侵的立足点系统、攻击横向移动和内部威胁。欺骗对于无法安装防御的资产也很有效,例如企业物联网和遗留系统。示例包括企业物联网和遗留系统。一个自动化的现代欺骗解决方案可以由一级安全分析师在每周不到五个小时的时间内进行监控和维护。最终结果是欺骗部署策略具有相反的目的。一方面是纯粹的安全研究蜜罐,专注于遏制并作为网络监视器开放妥协,其中仿真在收集恶意软件和攻击工具方面无效。另一个是侧重于检测的入侵后智能警报系统,可以在不影响网络内部风险的情况下自动化和扩展仿真。考虑到部署策略是检测,没有必要冒网络中真正的操作系统诱饵或蜜罐的风险。
