網(wǎng)絡(luò)攻擊的模式是眾所周知的，目標也是如此。黑客正試圖闖入以獲取有價值的數(shù)據(jù)或采取有利于他們的行動，并希望盡可能長時間不被發(fā)現(xiàn)。有許多解決方案致力于預(yù)防，系統(tǒng)鎖定，防止橫向移動，以及以其他方式檢測異常行為。

然而，檢測的挑戰(zhàn)是如何更快，更全面地做到這一點，以最高的成功機會，同時最大限度地減少運營開銷和誤報。這就是現(xiàn)在在各種產(chǎn)品中實現(xiàn)的欺騙技術(shù)至關(guān)重要的地方。

欺騙是過去在外部尋找邪惡行為者的東西的演變，它起源于蜜罐的想法 - 外部網(wǎng)站會吸引那些有不良意圖的人，以便能夠識別它們。雖然安全研究人員經(jīng)常使用蜜罐，但它對于企業(yè)來說并不是一種流行的技術(shù)。欺騙本質(zhì)上采取了一種新的方法，并在網(wǎng)絡(luò)中移動威脅欺騙，為已經(jīng)滲透到外圍防御的威脅提供更有價值的洞察力。在這樣做的過程中，它提供了一種只生成高保真警報的方法，并且可以顯著減少檢測攻擊的時間。

今天使用欺騙方法，您可以利用看似可用的有價值的誘餌和信息來充分利用內(nèi)部基礎(chǔ)設(shè)施，任何人都不應(yīng)該合法訪問這些誘餌和信息。如果有人訪問這些資產(chǎn)，您就知道您有入侵者或至少存在導(dǎo)致安全風(fēng)險的策略違規(guī)。當攻擊者已經(jīng)在網(wǎng)絡(luò)內(nèi)部時，這種檢測機制特別有價值，例如內(nèi)部人員，受信任的第三方，供應(yīng)商和承包商。

公司內(nèi)部的欺騙就像你在電影中看到的關(guān)于大搶劫的那些看不見的激光束絆網(wǎng)。當任何人試圖訪問這些內(nèi)部誘餌或欺騙憑證時，會觸發(fā)激光傳感器的數(shù)字等效物，并且您知道自己受到了攻擊。您還知道攻擊來自網(wǎng)絡(luò)內(nèi)部以及攻擊者如何試圖違反您的系統(tǒng)。然后，您可以在嘗試傳播時立即檢測到攻擊，無論是通過憑據(jù)竊取還是偵察。

一旦檢測到攻擊，就可以開始采取對策?？梢粤⒓搓P(guān)閉攻擊者的行為，或者可以觀察攻擊者。通過觀察他們所做的事情，可能會獲得有關(guān)誰正在攻擊以及他們正在嘗試做什么的更多信息。然后可以自動編譯高級取證數(shù)據(jù)，幫助安全團隊不僅可以檢測，還可以搜尋威脅和消除威脅。欺騙可以是參與所謂的主動防御的重要方式。在軍事方面，積極的防御被定義為“采用有限的進攻行動和反擊來拒絕敵人的有爭議的區(qū)域或位置。”這些行動的目的是改變攻擊的不對稱性并增加成本對網(wǎng)絡(luò)對手。

欺騙和平衡的網(wǎng)絡(luò)安全框架

欺騙是一種適合我們平衡的網(wǎng)絡(luò)安全框架的技術(shù)，作為NIST定義的檢測類別的一部分。網(wǎng)絡(luò)安全差距是什么，如何整合新組件，如何添加數(shù)據(jù)倉庫以幫助未來證明投資組合，以及如何從投資組合中獲得更多的商業(yè)利益。

但同樣重要的是要理解，隨著我們推進均衡投資組合方法并使其變得更加成熟，增加成熟度的關(guān)鍵方面之一是捕獲和標準化分析師所做的工作。這是至關(guān)重要的，因此對網(wǎng)絡(luò)安全事件的分析不會被困在個人分析師的個人電子表格或文檔中，而是可以共享和學(xué)習(xí)的劇本的一部分。這不僅有助于檢測攻擊，還可以防止攻擊，并有助于創(chuàng)建針對攻擊的自動協(xié)調(diào)響應(yīng)。

如果公司能夠做到這一點，投資組合將能夠為業(yè)務(wù)增加價值，包括更深入地了解業(yè)務(wù)運營，例如識別關(guān)鍵事件或提供詳細的活動模型。我們不是將網(wǎng)絡(luò)安全事件視為病態(tài)，而是將業(yè)務(wù)視為一個整體，并確保業(yè)務(wù)的基本使命能夠以安全的方式進行。以這種方式支持業(yè)務(wù)的整體健康狀況。

在欺騙的情況下，可能會有大量的信息積累，攻擊分析和相關(guān)性，以確保攻擊被停止，清除和阻止返回。安全控制之間的內(nèi)部信息共享使您能夠在自己的組織中更有效，并建立更強大的安全防御。然后是更廣泛的觀點，即跨行業(yè)或更廣泛地共享攻擊信息，以便每個人都可以從這些信息和知識中受益。

是什么讓欺騙起作用?

對于工作中的欺騙，你必須通過試圖誘騙他們與欺騙誘餌或誘餌進行交互來向?qū)κ终故究此普鎸嵉膬?nèi)容，這樣可以讓你了解它們在你的系統(tǒng)內(nèi)以及它們?nèi)绾螆?zhí)行攻擊。顯然，這是一個古老的概念，用于商業(yè)和生活的各個方面。但我們關(guān)注的是如何在網(wǎng)絡(luò)安全領(lǐng)域正確實施這一概念。

為了使這些工作起作用，你必須能夠提供一個看似真實且對對手有吸引力的現(xiàn)實觀。如果您提供看似假的誘餌或目標，攻擊者將避免它們，因此，解決方案將無法正常工作。欺騙必須是真實和有吸引力的。這意味著真實的操作系統(tǒng)和憑證看起來與生產(chǎn)環(huán)境相同。

為了使欺騙有效，首先它必須是真實的。

攻擊者很復(fù)雜。為了欺騙他們，欺騙需要與生產(chǎn)資產(chǎn)和憑證相同。它需要足夠可信才能讓它們墮落。

此外，為了充分發(fā)揮欺騙的作用，它必須是全面的，涵蓋不斷變化的攻擊面。一些提供基于欺騙的網(wǎng)絡(luò)安全的供應(yīng)商只關(guān)注一種形式的欺騙 - 如憑證，誘餌或數(shù)據(jù)文件。但是，如果你能夠通過放入憑證和映射的驅(qū)動對象來吸引所有攻擊方法和服務(wù)，以吸引網(wǎng)絡(luò)，云端以及物聯(lián)網(wǎng)，POS和SWIFT等專業(yè)場所的攻擊，那就更好了。使用今天的虛擬化技術(shù)，您可以使這些欺騙無處不在，這使您可以在任何地方發(fā)現(xiàn)攻擊的最高概率。在現(xiàn)代世界中，攻擊通常是多態(tài)的，這可能特別有用。

欺騙也必須是可擴展的。欺騙比其他檢測網(wǎng)絡(luò)安全威脅的方法更有效。您沒有查看試圖確定正常然后檢測異常的每個數(shù)據(jù)。相反，在欺騙的情況下，你會放入誘餌或誘餌，如果訪問它們，你就知道存在問題。沒有誤報。

因此，可伸縮性不是關(guān)于處理能力，而是關(guān)于設(shè)計和實現(xiàn)一套全面的真實誘餌，然后可以在整個環(huán)境中實施。一旦部署了這些誘餌，您就必須能夠定期管理和刷新它們以保持真實性。部署和響應(yīng)的自動化是可擴展性和易于持續(xù)運營的真正關(guān)鍵。

欺騙也是獨一無二的，因為組織可以安全地在欺騙沙箱中與攻擊者進行更深入的取證。安全分析師可以比其他形式的檢測更安全地觀察攻擊者，因為受到攻擊的資產(chǎn)是誘餌。在正常攻擊中，分析師希望立即阻止攻擊訪問有價值的資產(chǎn)。通過欺騙，您可以與攻擊者交戰(zhàn)，然后激活對策。這可能是欺騙最獨特的方面，因為它改變了攻擊者和防御者之間的權(quán)力平衡，并且你比其他人更了解他們。改變攻擊的不對稱性至少會減緩攻擊并增加攻擊者的成本。在某些情況下，這也可以起到威懾作用，驅(qū)使攻擊者找到一個更容易的目標。

“部分基本問題是當你防止攻擊時，你沒有機會去研究它，”克蘭德爾說。“當你阻止它時，你會阻止它進入，但你沒有從中學(xué)習(xí)。丟失了有價值的信息，這些信息對于快速消除攻擊和防止攻擊返回至關(guān)重要。“

為什么我們需要一套靈活的欺騙技術(shù)?

我們需要一套靈活的欺騙技術(shù)，因為我們希望能夠?qū)鞲衅鞣胖迷诳赡苁艿焦舻腎T房地產(chǎn)的任何部分，并促進所有攻擊方法的早期檢測。您可以爭辯說，攻擊者大部分時間都在追蹤數(shù)據(jù)或憑據(jù)，但在現(xiàn)代世界中，他們真正追求的是他們可以利用的任何有價值的東西，包括可用于挖掘加密貨幣或運行僵尸網(wǎng)絡(luò)的計算資源。

欺騙系統(tǒng)會檢測哪種類型的活動?

最先進的欺騙系統(tǒng)檢測各種各樣的威脅，并且不依賴于已知簽名，數(shù)據(jù)庫查找或模式匹配：

使用欺騙有什么好處?

使用欺騙有很多好處。其中最重要的是它減少了停留時間和平均檢測和修復(fù)時間。此外，通過參與，它提供了更深入的對手智能取證，包括妥協(xié)指標(IOC)和戰(zhàn)術(shù)，技術(shù)和程序(TTP)。它也不依賴于了解每個攻擊向量或方法，并且旨在檢測早期偵察，憑證盜竊和橫向移動。此外，只要您認識到有一個新的攻擊地點，您就可以輕松地在某些情況下自動將誘餌放在這些新的風(fēng)險關(guān)鍵資產(chǎn)周圍。

我們?yōu)榫W(wǎng)絡(luò)內(nèi)的攻擊者設(shè)置陷阱、誘餌。

基于欺騙的網(wǎng)絡(luò)安全技術(shù)允許公司在沒有網(wǎng)絡(luò)安全之前獲得內(nèi)部威脅可見性。無論您擁有最復(fù)雜的安全控制，還是沒有，您都需要盡快了解網(wǎng)絡(luò)中的威脅以及它們是否會對您造成傷害。這對于大型和小型公司來說都很有價值，無論是老練還是簡單，都可以在煤礦里找到金絲雀，知道什么時候發(fā)生了不好的事情。

通過植入欺騙憑證來增強端點安全性，然后密切監(jiān)視和捕獲有關(guān)嘗試使用此登錄信息的人的信息。他們的端點解決方案還將提供可能的攻擊路徑的映射，以便快速了解攻擊者如何移動以獲取目標資產(chǎn)，以及是否存在暴露或配置錯誤的憑據(jù)，這將有助于他們快速執(zhí)行此操作。特別感興趣的是，他們通過使用高交互欺騙來占用惡意軟件并延遲其傳播，為事件響應(yīng)者花費時間以消除感染，然后造成更多傷害，從而在端點處映射欺騙性網(wǎng)絡(luò)共享以解決勒索軟件攻擊。

欺騙不僅可以用于檢測測試人員繞過其他周邊防御，還可以用于驗證滲透測試結(jié)果，因為檢測可以作為測試人員活動的非正式審計跟蹤。

最后，正如我之前提到的，欺騙提供了一種改變攻擊者和防御者之間力量平衡的方法。過去，攻擊者擁有權(quán)力 - 他們只需要成功一次，而后衛(wèi)必須一直成功?，F(xiàn)在，在欺騙的情況下，防御者可以快速發(fā)現(xiàn)攻擊，了解攻擊者的戰(zhàn)術(shù)，并創(chuàng)建一個反對派的攻擊手冊，以超越他們的對手。攻擊分析和取證變得更具可操作性和強大功能，高保真警報可以實現(xiàn)事件響應(yīng)操作的自動化，例如阻止，隔離和威脅搜尋。

單獨檢測是不夠的。你需要能夠?qū)Α竟簟坎扇⌒袆印?/p>

了解攻擊，對攻擊進行取證，然后對其進行響應(yīng)。阻止，隔離，威脅搜尋它，為未來建立更好的防御。這是積極防守的一部分。因此，盡早發(fā)現(xiàn)，縮短您的停留時間，并縮短您的響應(yīng)時間或做出反應(yīng)的時間。