網(wǎng)絡(luò)欺騙的目標是更有效地檢測滲透到企業(yè)網(wǎng)絡(luò)的攻擊，混淆和誤導攻擊者，以及了解哪些資產(chǎn)已被入侵。請記住，欺騙防御可以利用攻擊者的知識缺口，同時他們試圖在網(wǎng)絡(luò)中橫向移動。下面介紹了主動網(wǎng)絡(luò)欺騙防御的5個關(guān)鍵組成部分：

[[247570]]

1. 發(fā)現(xiàn)

在設(shè)置安全計劃時，您需要做的第一件事就是了解您想要保護的內(nèi)容。在發(fā)現(xiàn)階段，欺騙系統(tǒng)需要學習網(wǎng)絡(luò)布局，發(fā)現(xiàn)網(wǎng)絡(luò)活動并分析每個資產(chǎn)和設(shè)備。資產(chǎn)應根據(jù)其位置，用途，類型，協(xié)議等進行映射。使用流量分析引擎將網(wǎng)絡(luò)和資產(chǎn)映射為欺騙解決方案的一部分非常重要，因為網(wǎng)絡(luò)發(fā)現(xiàn)過程正在進行中，定期掃描......。通過持續(xù)的網(wǎng)絡(luò)可見性，欺騙解決方案始終了解網(wǎng)絡(luò)中的變化，并可相應地調(diào)整欺騙層。

2. 設(shè)置誘餌和面包屑

為了使欺騙有效，其組件誘餌和面包屑需要類似于網(wǎng)絡(luò)中的實際資產(chǎn)。這是通過應用在“發(fā)現(xiàn)”階段收集的信息來實現(xiàn)的。對于所有意圖和目的，誘餌應該看起來與任何其他資產(chǎn)沒有區(qū)別。當以正確的方式構(gòu)建時，誘餌將看起來具有相同的操作系統(tǒng)，在相同端口上運行的相同應用程序，相同的協(xié)議，甚至在某些情況下甚至類似的數(shù)據(jù)，所有這些都取決于誘餌的交互級別。如果誘餌是虛假資產(chǎn)，那么面包屑就是引誘攻擊者訪問誘餌的誘餌。面包屑是多種多樣的，因為它們可以是文件，文檔，電子郵件消息和系統(tǒng)資源，或者基本上系統(tǒng)上或網(wǎng)絡(luò)上可能吸引攻擊者的任何內(nèi)容。

3. 分布

準確放置欺騙組件對于欺騙防御的成功與構(gòu)建誘餌和面包屑一樣重要。在每個子網(wǎng)內(nèi)，您希望部署適合各自資源的欺騙。必須根據(jù)在發(fā)現(xiàn)階段收集的信息進行策略性地放置欺騙組件。這有助于欺騙層的可信性，并確保誘餌和面包屑將被攻擊者“消耗”。分發(fā)應該是完全自動化的，以確保準確性和可擴展性。

4. 檢測

智能欺騙通過準確檢測人為和自動攻擊以及未經(jīng)授權(quán)訪問網(wǎng)絡(luò)資產(chǎn)，使網(wǎng)絡(luò)維護者能夠重新掌控權(quán)力。每次訪問或嘗試訪問誘餌都會觸發(fā)警報，并將安全團隊指向受感染的資產(chǎn)。欺騙產(chǎn)品應該為防御者提供關(guān)于試圖獲取誘餌的機器的完整取證報告，以及攻擊的全部過程，包括攻擊者的內(nèi)部“過程”，以及嘗試與命令和控制服務(wù)器來泄露數(shù)據(jù)等等。當欺騙功能與網(wǎng)絡(luò)流量分析引擎集成時，這是可能的，并且可以在與端點檢測和響應產(chǎn)品集成式進行擴展。

5. 積極適應

組織網(wǎng)絡(luò)本質(zhì)上是動態(tài)的。因此，鏡像網(wǎng)絡(luò)資產(chǎn)的欺騙層也必須是動態(tài)的。一旦檢測到變化，欺騙層必須主動并自動適應，通過添加，更新或重新分配誘餌和面包屑。此過程在整個解決方案生命周期中反復重復。

對成功攻擊的分析表明，感染，攻擊的第一時刻和檢測之間的關(guān)鍵時間太長了，通常用幾個月來衡量。當一個企業(yè)得知受到攻擊時，更不用說當他們最終分析漏洞并評估風險時，攻擊者很可能已經(jīng)用寶貴的資產(chǎn)來做了。智能欺騙可以通過檢測組織網(wǎng)絡(luò)內(nèi)部的攻擊者活動并產(chǎn)生高保真警報來顯著減少停留時間，防御者可以放心地采取行動。