近年來，攻擊者突破企業(yè)網(wǎng)絡(luò)防御的能力不斷增強，市場對欺騙式防御技術(shù)和戰(zhàn)術(shù)的興趣日益濃厚。

欺騙式防御并不等同于傳統(tǒng)的蜜罐技術(shù)，除了具備與攻擊者交互的能力外，欺騙式防御技術(shù)工具重在偽裝和混淆，使用誤導、錯誤響應(yīng)和其他技巧誘使攻擊者遠離合法目標，并將其引向蜜罐和其他誘騙系統(tǒng)，增加攻擊的難度和成本，屬于主動防御的重要組成部分。

[[333816]]

如今，許多欺騙式防御工具都開始利用人工智能(AI)和機器學習(ML)來幫助組織及早發(fā)現(xiàn)入侵，并幫助防御者發(fā)現(xiàn)攻擊者的工具和策略。

在最近的一份報告中，Mordor Intelligence估計，到2025年，市場對網(wǎng)絡(luò)安全欺騙式防御工具的需求將達到25億美元左右，而2019年僅為12億美元。大部分需求將來自政府部門、全球金融機構(gòu)和其他頻繁發(fā)生網(wǎng)絡(luò)攻擊的目標。

Attivo Networks的首席技術(shù)官Tony Cole指出，欺騙式防御是一個有趣的概念，事實上這種戰(zhàn)術(shù)已經(jīng)以各種形式存在了數(shù)千年。

他說：“欺騙式防御幾乎可以在企業(yè)中存在網(wǎng)絡(luò)安全隱患的任何地方部署，并且在端點防護和端點檢測與響應(yīng)工具的防護能力不充分的情況下，欺騙式防御特別有用。例如，當攻擊者搞定一個端點并且使用它來查詢Active Directory時，你可以向攻擊者提供虛假信息，而不會影響生產(chǎn)環(huán)境。”

欺騙式防御技術(shù)有三個重要的用例

• 在關(guān)鍵任務(wù)環(huán)境中添加額外的保護層;
• 在已知存在安全弱點的區(qū)域增強檢測功能;
• 把潛伏在大量SIEM安全告警信息中的攻擊者給誘騙出來。

總之，欺騙式防御技術(shù)不是單純的蜜罐或者沙箱，而是一種主動防御方法和策略。打個比方，在各個網(wǎng)段中部署誘餌和陷阱，類似在廚房踢腳線策略性地防止奶酪花生醬和捕鼠器。

以下，安全專家們總結(jié)了使用欺騙式防御手段快速檢測威脅的七個優(yōu)秀戰(zhàn)術(shù)技巧和實踐。

1. 使用真實計算機(資產(chǎn))作為誘餌

KnowBe4的數(shù)據(jù)驅(qū)動防御專家Roger Grimes說，最好的欺騙誘餌是高度接近真實生產(chǎn)資產(chǎn)的誘餌。如果欺騙設(shè)備與其他系統(tǒng)顯著不同，會很容易被攻擊者發(fā)現(xiàn)，因此，誘餌成功的關(guān)鍵是看起來像另一個生產(chǎn)系統(tǒng)。Grimes說：“攻擊者無法分辨生產(chǎn)環(huán)境的生產(chǎn)資產(chǎn)和僅作為欺騙性蜜罐存在的生產(chǎn)資產(chǎn)之間的區(qū)別。”

“真實”誘餌可以是企業(yè)打算淘汰的舊系統(tǒng)，也可以是生產(chǎn)環(huán)境中的新服務(wù)器。Grimes建議，請確保使用與實際生產(chǎn)系統(tǒng)相同的名稱，并將它們放在相同的位置，具有相同的服務(wù)和防御。

Acalvio的Moy說，欺騙性的關(guān)鍵是要融入。避免使用明顯的差異因素，例如通用MAC地址、常見的操作系統(tǒng)補丁程序，以及與該網(wǎng)絡(luò)上的通用約定相符的系統(tǒng)名稱。

2. 確保您的誘餌看上去重要和有趣

攻擊者討厭欺騙，因為欺騙技術(shù)會導致他們掉進兔子洞。Crypsis Group的首席顧問Jeremy Brown說，高級欺騙可以極大干擾攻擊者的活動，并使他們分心數(shù)小時，數(shù)天甚至數(shù)周。

他說：“一種常見的欺騙式防御技術(shù)是建立虛擬服務(wù)器或物理服務(wù)器，這些服務(wù)器看上去存儲了重要信息。”例如，運行真實操作系統(tǒng)(例如Windows Server 2016)的誘餌域控制器對攻擊者來說是非常有吸引力的目標。這是因為域控制器包含Active Directory，而Active Directory則包含環(huán)境中用戶的所有權(quán)限和訪問控制列表。

同樣，吸引攻擊者注意的另一種方法是創(chuàng)建在環(huán)境中未積極使用的真實管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權(quán)的賬戶，例如系統(tǒng)管理員，本地管理員或域管理員。誘餌賬戶的活躍信息，可以提醒防御者攻擊行為已經(jīng)開始 。”

3. 模擬非傳統(tǒng)終端設(shè)備(漏洞)

Fidelis產(chǎn)品副總裁Tim Roddy說，在網(wǎng)絡(luò)上部署誘餌時，不要忘記模擬非傳統(tǒng)的端點。攻擊者越來越多地尋找和利用物聯(lián)網(wǎng)(IoT)設(shè)備和其他互聯(lián)網(wǎng)連接的非PC設(shè)備中的漏洞。Roddy說，因此，請確保網(wǎng)絡(luò)上的誘餌看起來像安全攝像機、打印機、復(fù)印機、運動探測器、智能門鎖以及其他可能引起攻擊者注意的聯(lián)網(wǎng)設(shè)備。

總之，你的高仿誘餌應(yīng)當“融入”攻擊者期望看到的網(wǎng)絡(luò)場景和設(shè)備類型中，這里也包括物聯(lián)網(wǎng)。

4. 像攻擊者一樣思考

部署誘餌系統(tǒng)時，請先站在攻擊者的角度審視你或者你的同行的網(wǎng)絡(luò)防御弱點，以及適用的TTPs攻擊和手法。

目前這種攻擊型思維的一個最佳實踐就是基于ATT&CK框架的欺騙式防御。ATT&CK是一個站在攻擊者的視角來描述攻擊中各階段用到的技術(shù)的模型，通過ATT&CK模型，以剖析攻擊面為關(guān)鍵，旨在攻擊全鏈路上進行欺騙性防御部署，提高欺騙性防御的全面性和有效性。

Acalvio的Moy說：“利用這種思想來制定優(yōu)先的檢測目標清單，以彌補防御系統(tǒng)中的漏洞。”

總之，防御者要考慮攻擊者可能需要采取的步驟類型以及攻擊目標。沿路徑布置一條面包屑痕跡，這些誘餌與對手可能的目標有關(guān)。例如，如果攻擊者的目標是憑據(jù)，請確保將偽造的憑據(jù)和其他基于Active Directory的欺騙手段作為策略的一部分。

5. 使用正確的面包屑

闖入員工PC的入侵者通常會轉(zhuǎn)到注冊表和瀏覽器歷史記錄，以查看該用戶在何處查找內(nèi)部服務(wù)器，打印機和其他設(shè)備。Fidelis的Roddy說：“面包屑是模仿這些設(shè)備的誘餌的地址。”

一個好的做法是將這些誘餌的地址放在最終用戶設(shè)備上。Roddy說，如果設(shè)備受到威脅，攻擊者可能會跟隨面包屑進入誘餌，從而警告管理員已發(fā)生入侵。

6. 主要將欺騙用于預(yù)警

不要僅僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為。KnowBe4的Grimes說，通常，這不是欺騙式防御的“主業(yè)”。相反，最好使用欺騙手段作為預(yù)警系統(tǒng)來檢測入侵，并將跟蹤和監(jiān)視留給取證工具。

Grimes說：“您想建立持續(xù)的監(jiān)控并花費時間排除網(wǎng)絡(luò)上每項資產(chǎn)都能獲得的正常生產(chǎn)連接，例如與補丁和防病毒更新有關(guān)的連接。”黑客不知道環(huán)境中的偽造或真實。它們將連接到看起來像生產(chǎn)資產(chǎn)的偽造欺騙資產(chǎn)，就像其他任何實際生產(chǎn)資產(chǎn)一樣容易。

“根據(jù)定義，當蜜罐獲得意外連接時，這可能是惡意的，”格萊姆斯說。“不要讓蜜罐警報出現(xiàn)在SIEM中，也不要立即進行調(diào)查。”

7. 保持欺騙的新鮮感

Acalvio的Moy說：“故技重施是騙術(shù)的致命傷。”真正有效的欺騙技術(shù)，需要花樣百出不斷翻新，以跟上用戶活動，應(yīng)用程序乃至網(wǎng)絡(luò)暴露情況的變化。他說：“例如，新漏洞可能無法修補，但可以通過欺騙快速加以保護。”

使用欺騙來增強在已知安全漏洞方面的檢測功能。包括難以保護或修補的遠程工作人員的便攜式計算機、網(wǎng)關(guān)網(wǎng)絡(luò)、合作伙伴或承包商網(wǎng)絡(luò)以及憑據(jù)。在新冠疫情肆虐，遠程工作流行的今天意義尤其重大。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文