精通安全的企业应该了解假设其系统可能受到损害的必要性。这是近来零信任架构受到如此多关注的原因之一,也是为什么越来越多的企业部署了威胁猎手以发现已经在其网络上活跃的攻击者。这种做法越来越流行,因为网络威胁变得如此普遍,传统的入侵检测/预防系统会发送太多误报,而且网络威胁很容易规避。尽管如此,威胁猎手无法捕捉到所有东西,而且具备这些技能的员工也不够多。那么,安全团队从哪里寻求帮助和缓解措施呢?越来越多的企业正在转向主动防御或欺骗技术,以帮助识别在其系统中移动的网络攻击者。顾名思义,欺骗技术是试图诱使网络攻击者认为他们正在渗透真正有价值的资产或访问有价值的数据,而实际上他们正在摸索进入陷阱,而不仅仅是在无害的系统上浪费时间,而且更容易观察他们的攻击措施。它们还帮助安全团队了解网络攻击者正在使用的工具、技术和程序。这种智能随后可用于保护真实系统。为了有效,欺骗技术本质上是制造模仿自然系统的诱饵和陷阱。这些系统之所以有效,是因为了解大多数网络攻击者的运作方式。例如,当网络攻击者闯入系统时,他们通常会寻找建立持久性的方法,这通常意味着关闭后门。除了获得对后门的访问权限外,试图在企业内横向移动的网络攻击者还将尝试使用被盗或猜测的访问凭据。当网络攻击者发现有价值的数据和系统时,他们将部署额外的恶意软件并泄露数据。借助传统的异常检测和入侵检测/预防系统,企业试图在整个网络和系统中发现这些持续的网络攻击。但是,问题在于这些工具依赖于签名或易受攻击的机器学习算法,并且可能会引发大量误报。然而,欺骗技术触发事件的门槛较高,但这些事件往往是真实威胁行为者的真实攻击。虽然欺骗技术以端点、服务器、传统IT设备和网络设备最为人所知,但它们也可用于IoT设备,例如销售点系统、医疗设备等。以下是为任何企业购买欺骗技术时需要考虑的一些事项:可扩展性:要有效,欺骗技术必须能够部署在整个企业环境中。集中管理:随着规模、数千个端点和管理这些欺骗性资产的需要,最好从集中控制台进行管理。敏捷性:欺骗技术还必须以各种形式进行部署:本地设施、云平台、网络设备、端点和物联网设备。集成:收集的信息欺骗技术对于安全运营中心、事件响应团队和威胁猎手来说是无价的。它对于其他安全工具也很有价值,例如安全信息和事件管理器、防火墙、漏洞管理器以及传统的入侵检测和预防系统。寻找可以直接共享数据的欺骗技术,这与现有的安全工具箱配合得很好。顶级欺骗工具以下是目前市场上可用的一些欺骗技术:(1)AcalvioShadowPlexAcalvio的ShadowPlex平台可以大规模提供企业级欺骗服务。该公司表示,ShadowPlex旨在最大限度地减少管理开销和日常管理。他们的安装框架对于诱饵部署是灵活且可扩展的,可以选择通过云或本地管理仪表板。当网络攻击者与诱饵交互时,可以在时间线中检查信息,详细的事件数据,例如数据包捕获、日志捕获和攻击中使用的凭据。当使用所谓的“高交互模式”时,ShadowPlex将提供所有键入的击键、它们连接到的网络、任何文件修改以及诱饵中使用的任何系统进程和工具。企业环境不断变化,ShadowPlex不断评估环境并适当更新诱饵。ShadowPlex与威胁搜寻和安全运营团队使用的工具配合使用。因为它产生的误报很少,所以这些团队将拥有可用于事件响应和主动威胁搜寻的数据。ShadowPlex集成了安全信息和事件管理(SIEM)和安全运营中心(SOC)团队的日志管理解决方案,例如Splunk、ArcSight和QRadar。ShadowPlex还可以保护物联网(IoT)传感器和设备,甚至是构成大部分运营技术(OT)空间的工业控制中心。部署欺骗技术来保护物联网和OT设备至关重要,因为许多设备本身的安全性有限或没有。这也使它成为医疗机构的不错选择。它可以模仿台式电脑和医疗设备之类的东西,根据他们的兴趣引诱网络攻击者进入其中任何一个。(2)Attivo威胁防御欺骗和响应平台2022年3月,SentinelOne收购了AttivoNetworks。尽管分析人士认为收购的主要动机是Attivo在身份安全评估中监控密码和用户异常的能力,但SentinelOne还获得了AttivoNetworks的网络和基于云的欺骗能力。Attivo是首批为其产品添加响应能力的欺骗技术开发商之一,该公司正在通过其Attivo威胁防御欺骗和响应平台更进一步。该平台可以部署在本地、云端、数据中心或混合操作环境中。所有部署的诱饵似乎都是网络中使用的真实资产。Attivo威胁防御欺骗和响应平台的目标与其他欺骗工具集相同,即部署网络攻击者将与之交互但真实用户不知道或没有理由接触它们的虚假资产。有些诱饵比其他诱饵更明显,这有助于发现内部威胁或监视员工。在大多数情况下,欺骗资产旨在捕获潜入网络并试图进入更深路径、获取凭据、横向移动或直接窃取数据的威胁行为者。一旦网络攻击者与Attivo威胁防御欺骗和响应平台的欺骗性资产进行交互,它所做的不仅仅是生成警报。它还与网络攻击者交互,发回入侵者可能期望的各种响应。它激活沙箱,以便网络攻击者上传的任何恶意软件或黑客工具进入沙箱环境。这不仅可以保护网络,还可以检查恶意软件以确定网络攻击者的意图和策略。该平台还允许管理员采取措施,例如隔离被网络攻击者用作发射台的系统或使受感染用户的凭据过期。一旦用户开始信任该平台,一旦收集到任何重要的威胁情报,就可以将这些操作设置为自动发生。欺骗响应平台不仅提供了良好的欺骗技术,还可以帮助防御者快速提升响应能力,这是一个重要的优势。(3)IllusiveShadowIllusiveNetworks旨在使网络攻击者的成功横向移动看起来虚幻。它通过为网络攻击者创建一个敌对环境来实现这一点,因为他们试图通过将端点变成欺骗工具来在公司环境中移动。该公司表示,其无代理设计可防止黑客检测欺骗,IllusiveNetworks声称其欺骗技术在与包括Microsoft、Mandiant、美国国防部和思科在内的机构和企业进行的140多次红队演习中未被击败。因为它是无代理的,所以IllusiveShadow可以直接部署在本地、云端或混合云中。正如人们所预料的那样,IllusiveShadow诱饵以凭据、网络连接、数据和系统以及攻击者可能感兴趣的其他项目的形式出现。IllusiveShadow还会随着企业环境的变化自动扩展和变化,并将为每台机器定制端点诱饵。安全分析师和安全运营中心(SOC)团队将对IllusiveShadow的管理控制台如何模拟网络攻击者在与诱饵、关键资产和攻击者行动时间线交互时的接近程度感兴趣。(4)CounterCraft网络欺骗平台CounterCraft的网络欺骗平台通过ActiveLures捕获攻击者,可以自定义也可以基于模板。这些ActiveLure“面包屑”分布在端点、服务器上,甚至在线平台(如GitHub)上。欺骗并不止于诱惑。诱饵的工作是将攻击者吸引到ActiveSense环境中。ActiveSense环境基于代理收集并通过安全和分段环境发回的数据。整个系统旨在实时提供有关网络攻击者活动的情报。根据CounterCraft的说法,ActiveSense环境可以通过CounterCraft平台快速部署和控制。整个欺骗系统旨在灵活地在现有环境中工作,并与现有的安全、信息和事件管理系统以及威胁情报系统集成。它还适用于企业安全团队已经习惯的格式,例如SysLog或OpenIOC。收集到的威胁信息也可以自动发送到其他机器以支持其他安全系统。了解网络攻击者的一种有效方法是通过可视化图表对他们的活动进行建模。CounterCraft的攻击图和来自欺骗平台的实时反馈可以帮助安全团队了解攻击者的策略、工具和程序。(5)Fidelis欺骗平台Fidelis欺骗平台声称可以轻松部署欺骗技术。欺骗资产通过下拉菜单和向导部署,可选择允许Fidelis欺骗平台查看环境并自动部署欺骗资产。它在部署与环境中其他一切相匹配的资产方面做得很好。它将监控网络的发展和扩展,就如何在欺骗网络中反映这些变化提出建议。例如,如果一家企业安装了一批新的物联网安全摄像头,FidelisDeception平台将检测到这一点,并提供部署具有类似特征的假摄像头。它完全支持几乎所有的物联网设备,许多设备也可以在OT中找到。除了易于部署之外,FidelisDeception平台还控制其虚假资产,允许它们相互通信并执行与普通设备执行的相同类型的操作。它甚至已经开始实施一些令人惊讶的高级策略,例如在地址解析协议表中投毒,使其看起来好像欺骗资产与它们保护的真实资产一样活跃。FidelisDeception平台的独特之处在于它还会生成以真实方式与欺骗性资产进行交互的虚假用户。试图确定资产是否真实的黑客会看到用户与其交互的证据并放松警惕,而不知道用户本身是精心设计的骗局的一部分。(6)TrapXDeceptionGrid(现CommVault)2022年2月,数据治理和安全服务提供商CommVault收购了TrapX和DeceptionGrid,这是目前最流行的欺骗平台之一,因为其虚假但真实的欺骗资产。借助DeceptionGrid,企业通常会在受保护的网络上部署数以千计的虚假资产。DeceptionGrid部署的欺骗资产包括网络设备、欺骗令牌和主动陷阱。从大多数部署开始,主要的欺骗性资产被设计成看起来像功能齐全的计算机或设备,TrapX有几个专为金融或医疗保健等行业设计的模板。它可以模拟从ATM到销售点设备到几乎任何物联网资产的一切。此外,DeceptionGrid可以部署具有完整操作系统的欺骗性资产。它们被称为FullOS陷阱,旨在让网络攻击者相信他们正在使用真实资产,同时全面监控他们为收集威胁情报所做的一切。TrapX部署的欺骗令牌甚至更小。但同样重要。与功能齐全的欺骗性资产不同,令牌只是普通文件、配置脚本和网络攻击者用来收集有关他们试图入侵的系统和网络的信息的其他类型的诱饵。它们不与网络攻击者互动,但会在安全团队访问、复制或查看它们时提醒安全团队。主动陷阱完善了DeceptionGrid部署的欺骗性资产的数量。这些陷阱在它们之间传输大量虚假网络流量,并为欺骗网络的其余部分提供指针和线索。任何在幕后监控网络流量的攻击者都可能被虚假的网络流量所欺骗,这将导致他们获得欺骗性资产,即使他们可能认为它是安全的,因为它看起来很正常并且在网络中得到充分利用。TrapXDeceptionGrid最近在本地和云计算基础设施中添加了欺骗技术容器环境。DeceptionGrid7.2通过检测高级网络攻击并提供对利用应用程序漏洞的尝试和容器之间的横向移动的可见性,为增强事件响应和主动防御提供全面保护。
