[[401002]]

網(wǎng)絡(luò)、網(wǎng)絡(luò)攻擊以及阻止網(wǎng)絡(luò)攻擊的策略都在不斷發(fā)展。“安全欺騙”就是其中一種新興的網(wǎng)絡(luò)防御策略。不過，如果詢問任何一位網(wǎng)絡(luò)安全專業(yè)人員如何定義欺騙技術(shù)，他可能會提到蜜罐或蜜網(wǎng)。這種說法并沒有錯，只是已經(jīng)過時，就像人們對欺騙技術(shù)存在的諸多誤解一樣，例如認為欺騙技術(shù)過于復(fù)雜，用例有限，并且僅對安全研究人員有用等等。本文將帶大家詳細了解關(guān)于欺騙技術(shù)的那些事。

何為欺騙技術(shù)(Deception Technology)

《孫子兵法》曾言，“一切戰(zhàn)爭都是建立在欺騙的基礎(chǔ)上的”。“欺騙”是戰(zhàn)爭中使用的經(jīng)典戰(zhàn)術(shù)，無論是作為乙方保護還是作為攻擊敵人的機制。網(wǎng)絡(luò)欺騙策略背后的想法亦如是。

欺騙技術(shù)的目的是防止設(shè)法滲透到網(wǎng)絡(luò)中的網(wǎng)絡(luò)犯罪分子造成任何重大破壞。該技術(shù)通過創(chuàng)建能夠模仿整個基礎(chǔ)架構(gòu)中合法技術(shù)資產(chǎn)的陷阱或欺騙誘餌，來欺騙網(wǎng)絡(luò)罪犯以為他們發(fā)現(xiàn)了一種提升特權(quán)和竊取憑據(jù)的方法，而一旦攻擊者觸發(fā)陷阱，警報就會傳輸?shù)街醒肫垓_服務(wù)器中，該服務(wù)器會記錄受影響的誘餌以及網(wǎng)絡(luò)犯罪分子所使用的攻擊媒介，以便防御者觀察攻擊者的行為。

與沙箱和蜜罐的區(qū)別

“安全欺騙”是安全行業(yè)中相對較新的一個術(shù)語，其誘使攻擊者以為自己訪問了機密或重要的內(nèi)容，以便防御者可以監(jiān)視其行為。相對較舊的技術(shù)(例如沙箱和蜜罐)則是以不同的方式來做著同樣的事情，因此很多人會將這些術(shù)語混為一談。下面就為大家解釋這三種技術(shù)之間的區(qū)別以及每種技術(shù)的理想用例。

沙箱(Sandboxing)

自網(wǎng)絡(luò)和第三方程序問世以來，幾乎就已經(jīng)存在分析網(wǎng)絡(luò)流量和程序的需求。沙箱于1970年代引入，用于測試人工智能應(yīng)用程序，它允許惡意軟件在封閉的環(huán)境中安裝和運行，研究人員可以在封閉的環(huán)境中監(jiān)視其行為以識別潛在的風(fēng)險和對策。

如今，有效的沙箱通常是在虛擬主機的專用虛擬機上執(zhí)行的。這么做可以在與網(wǎng)絡(luò)隔離的主機上用多種操作系統(tǒng)安全地測試惡意軟件。安全研究人員會在分析惡意軟件時采用沙箱技術(shù)，很多高級反惡意軟件產(chǎn)品也用沙箱來根據(jù)可疑文件的行為確定其是否真的是惡意軟件。這些種類的反惡意軟件解決方案正變得越來越重要，因為許多現(xiàn)代惡意軟件都被混淆以避免使用基于簽名的防病毒軟件。

理想用例——大多數(shù)企業(yè)無法像專門的研究人員或供應(yīng)商一樣，以復(fù)雜的技術(shù)能力和專業(yè)知識來進行惡意軟件分析。小型企業(yè)通常會從提供商的沙盒部署服務(wù)中受益最大。

蜜罐(Honeypots)

蜜罐和蜜網(wǎng)就是為誘捕攻擊者而專門設(shè)置的脆弱系統(tǒng)。蜜罐是誘使攻擊者盜取有價值數(shù)據(jù)或進一步探測目標網(wǎng)絡(luò)的單個主機，1999年開始出現(xiàn)的蜜網(wǎng)則是為了探清攻擊者所用攻擊過程和策略。

蜜網(wǎng)由多個蜜罐構(gòu)成，常被配置成模擬一個實際的網(wǎng)絡(luò)，有文件服務(wù)器、Web服務(wù)器等等，目的是讓攻擊者誤以為成功滲透進了網(wǎng)絡(luò)，但實際上進入的是一個隔離環(huán)境，并提供給研究人員的進行研究。

蜜罐可以讓研究人員觀測真實的攻擊者是怎么操作的，而沙箱僅揭示惡意軟件的行為。安全研究人員和分析師通常就是出于觀測攻擊者行動的目的而使用蜜罐和蜜網(wǎng)，通過注意新攻擊方法和實現(xiàn)新防御加以應(yīng)對，來改善網(wǎng)絡(luò)安全狀況。蜜網(wǎng)還能浪費攻擊者的時間，讓他們因毫無所獲而放棄攻擊。

理想用例——這種方式對于經(jīng)常成為黑客攻擊目標的政府組織和金融機構(gòu)非常有用，但是任何中型或大型企業(yè)都將從蜜罐/蜜網(wǎng)中收益。中小型企業(yè)(SMB)也可以從中受益，這取決于他們的業(yè)務(wù)模型和安全狀況，但是很多SMB都沒有能夠建立或維護蜜罐的安全專家。

欺騙性防御技術(shù)

欺騙防御則是一個新的術(shù)語，其定義尚未定型，但基本指的是一系列更高級的蜜罐和蜜網(wǎng)產(chǎn)品，能夠基于所捕獲的數(shù)據(jù)為檢測和防御實現(xiàn)提供更高的自動化程度。

欺騙技術(shù)分不同層次，有些類似高級版的蜜罐，有些具備真實網(wǎng)絡(luò)的所有特征，包括真正的數(shù)據(jù)和設(shè)備。這種欺騙技術(shù)可以模仿并分析不同類型的流量，提供對賬戶和文件的虛假訪問，更為神似模仿內(nèi)部網(wǎng)絡(luò)。有些安全欺騙產(chǎn)品還可以自動部署，讓攻擊者陷入更多信息的循環(huán)中，令用戶能更具體更真實地響應(yīng)攻擊者。欺騙防御產(chǎn)品按既定意圖運作時，黑客會以為已經(jīng)滲透到受限網(wǎng)絡(luò)中，正在收集關(guān)鍵數(shù)據(jù)。

理想用例——欺騙技術(shù)仍處于起步階段，而對于大多數(shù)新的安全技術(shù)而言，其最初的用例大多是大型企業(yè)，這些企業(yè)能夠逐步將其推向市場。目前，政府機構(gòu)、金融機構(gòu)和研究公司對該技術(shù)最為關(guān)注。不過，企業(yè)組織仍然需要安全分析師分析來自安全欺騙工具的數(shù)據(jù)，因此，沒有專業(yè)安全人員的小型公司通常無法從中收益。

總的來說，所有這些安全技術(shù)在預(yù)防與分析領(lǐng)域均具有其作用。從較高層次上看，沙箱允許惡意軟件安裝并運行，以供技術(shù)人員觀察其惡意行為;蜜罐和蜜網(wǎng)可以關(guān)注分析黑客在以為已被滲透的網(wǎng)絡(luò)上會進行的行動軌跡;欺騙防御則是更新的高級入侵檢測及預(yù)防策略，提供更為真實的蜜網(wǎng)，易于部署且能給用戶提供更多信息，但需要更多的預(yù)算和更高的專業(yè)技能要求。

為什么需要欺騙技術(shù)?

早發(fā)現(xiàn)早防御

沒有安全解決方案可以阻止網(wǎng)絡(luò)上所有攻擊的發(fā)生，但是欺騙技術(shù)通過使攻擊者相信他們已經(jīng)在您的網(wǎng)絡(luò)上立足了，從而使攻擊者產(chǎn)生一種錯誤的安全感。自此，你可以安全地監(jiān)視和記錄攻擊者的行為，因為他們并不會對誘餌系統(tǒng)造成任何實質(zhì)的損害。而你記錄的有關(guān)攻擊者和行為和技術(shù)的信息可用于進一步保護網(wǎng)絡(luò)免受攻擊。

減少誤報和風(fēng)險

無論是誤報還是警報疲勞都會阻礙安全工作，甚至根本無法分析，同時還會浪費很多資源。過多的噪音可能導(dǎo)致IT團隊變得自滿，而忽略了潛在的合法威脅。欺騙技術(shù)以最少的誤報率和高保真的警報，從而降低了噪音。

欺騙技術(shù)的風(fēng)險也很低，因為它對數(shù)據(jù)沒有任何風(fēng)險，也不會對資源或運營造成影響。當(dāng)黑客訪問或嘗試使用欺騙層的一部分時，會生成真實、準確的警報，告訴管理員他們需要采取措施。

隨意擴展和自動化

雖然對公司網(wǎng)絡(luò)和數(shù)據(jù)的威脅成為人們?nèi)找骊P(guān)注的問題，但是安全團隊很少會增加預(yù)算來應(yīng)對大量新威脅。因此，欺騙技術(shù)可能是非常受歡迎的解決方案。自動化警報消除了對手動工作和干預(yù)的需求，同時該技術(shù)的設(shè)計使它可以隨著組織和威脅級別的增長而輕松擴展。

從傳統(tǒng)網(wǎng)絡(luò)到物聯(lián)網(wǎng)

欺騙技術(shù)可用于為各種不同的設(shè)備提供面包屑，包括遺留環(huán)境，特定于行業(yè)的環(huán)境，甚至是IoT設(shè)備。

部署有效欺騙的7大戰(zhàn)術(shù)

作為一種主動防御方法和策略，如何才能最大限度地發(fā)揮欺騙技術(shù)的能力，以下是使用欺騙式防御手段快速檢測威脅的七個最佳戰(zhàn)術(shù)技巧和實踐：

1. 使用真實計算機作為誘餌

KnowBe4的數(shù)據(jù)驅(qū)動防御專家Roger Grimes稱，最好的欺騙誘餌是最接近真實生產(chǎn)資產(chǎn)的誘餌。如果欺騙設(shè)備與其他系統(tǒng)明顯不同，會很容易被攻擊者發(fā)現(xiàn)，因此，誘餌成功的關(guān)鍵是使其看起來像另一個生產(chǎn)系統(tǒng)。Grimes表示，攻擊者無法分辨生產(chǎn)環(huán)境中使用的生產(chǎn)資產(chǎn)和僅作為欺騙性蜜罐存在的生產(chǎn)資產(chǎn)之間的區(qū)別。

您的誘餌可以是企業(yè)打算淘汰的舊系統(tǒng)，也可以是生產(chǎn)環(huán)境中的新服務(wù)器。Grimes建議，請確保使用與實際生產(chǎn)系統(tǒng)相同的名稱——并將它們放在相同的位置-具有相同的服務(wù)和防御。

Acalvio的Moy說，關(guān)鍵在于要融入。避免使用明顯的跡象，例如通用MAC地址、常見的操作系統(tǒng)補丁程序以及與該網(wǎng)絡(luò)上的通用約定相符的系統(tǒng)名稱。

2. 確保您的誘餌顯得重要且有趣

威脅行為者討厭欺騙，因為他們知道欺騙會導(dǎo)致他們掉進“兔子洞”而不自知。Crypsis Group的首席顧問Jeremy Brown說，高級欺騙可以極大干擾攻擊者的活動，并使他們分心數(shù)小時，數(shù)天甚至數(shù)周。

他表示，一種常見的欺騙式防御技術(shù)是建立虛擬服務(wù)器或物理服務(wù)器，這些服務(wù)器看上去存儲了重要信息。例如，運行真實操作系統(tǒng)(例如Windows Server 2016)的誘餌域控制器對攻擊者來說是非常有吸引力的目標。這是因為域控制器包含Active Directory，而Active Directory則包含環(huán)境中用戶的所有權(quán)限和訪問控制列表。

同樣地，吸引攻擊者注意的另一種方法是創(chuàng)建在環(huán)境中未積極使用的真實管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權(quán)的賬戶，例如系統(tǒng)管理員、本地管理員或域管理員。如果發(fā)現(xiàn)賬戶中存在此類活動，則說明網(wǎng)絡(luò)中存在攻擊行為。

3. 模擬非傳統(tǒng)終端設(shè)備

Fidelis產(chǎn)品副總裁Tim Roddy說，在網(wǎng)絡(luò)上部署誘餌時，不要忘記模擬非傳統(tǒng)的端點。攻擊者越來越多地尋找和利用物聯(lián)網(wǎng)(IoT)設(shè)備和其他互聯(lián)網(wǎng)連接的非PC設(shè)備中的漏洞。因此，請確保網(wǎng)絡(luò)上的誘餌看起來像安全攝像機、打印機、復(fù)印機、運動探測器、智能門鎖以及其他可能引起攻擊者注意的聯(lián)網(wǎng)設(shè)備。

記住，你的誘餌需要融合到攻擊者期望看到的網(wǎng)絡(luò)場景和設(shè)備類型中，這里也包括物聯(lián)網(wǎng)。

4. 像攻擊者一樣思考

在部署誘餌系統(tǒng)或其他誘餌時，請站在對手的角度考慮你的網(wǎng)絡(luò)薄弱的，利用這種思想來制定檢測目標清單優(yōu)先級，以彌補防御系統(tǒng)中的漏洞。

此外，還要考慮攻擊者可能需要采取的步驟類型以及攻擊目標。沿路徑布置一條面包屑痕跡，這些誘餌與對手可能的目標有關(guān)。例如，如果攻擊者的目標是憑據(jù)，請確保將偽造的憑據(jù)和其他基于Active Directory的欺騙手段作為策略的一部分。

5. 使用正確的面包屑講過攻擊者引誘過來

入侵員工PC的攻擊者通常會轉(zhuǎn)到注冊表和瀏覽器歷史記錄，以查看該用戶在何處查找內(nèi)部服務(wù)器、打印機和其他設(shè)備。Fidelis的Roddy說，面包屑是模仿這些設(shè)備的誘餌的地址。

一個好的做法是將這些誘餌的地址放在最終用戶設(shè)備上。如果設(shè)備受到威脅，攻擊者可能會跟隨面包屑進入誘餌，從而警告管理員入侵已經(jīng)發(fā)生。

6. 主要將欺騙用于預(yù)警

不要僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為。相反地，最好使用欺騙手段作為預(yù)警系統(tǒng)來檢測入侵，并將跟蹤和監(jiān)視留給取證工具。

您想建立持續(xù)的監(jiān)控并花費時間排除網(wǎng)絡(luò)上每項資產(chǎn)都能獲得的正常生產(chǎn)連接，例如與補丁和防病毒更新有關(guān)的連接。黑客不知道環(huán)境中的偽造或真實。它們將連接到看起來像生產(chǎn)資產(chǎn)的偽造欺騙資產(chǎn)，就像其他任何實際生產(chǎn)資產(chǎn)一樣容易。

Grimes表示，“根據(jù)定義，當(dāng)蜜罐獲得意外連接時，這可能是惡意的。不要讓蜜罐警報出現(xiàn)在SIEM中，也不要立即進行調(diào)查。”

7. 保持欺騙的新鮮感

舊把戲是任何騙術(shù)的敵人。真正有效的欺騙技術(shù)，需要不斷翻新，以跟上用戶活動，應(yīng)用程序乃至網(wǎng)絡(luò)暴露情況的變化。例如，新漏洞可能無法修補，但可以通過欺騙快速加以保護。

使用欺騙來增強在已知安全漏洞方面的檢測功能。這可能包括難以保護或修補的遠程工作人員的便攜式計算機、VPN網(wǎng)關(guān)網(wǎng)絡(luò)、合作伙伴或承包商網(wǎng)絡(luò)以及憑據(jù)。

欺騙技術(shù)發(fā)展現(xiàn)狀及趨勢

根據(jù)IDG發(fā)布的研究報告指出，2020年的安全預(yù)算平均值為7270萬美元，高于2019年的5180萬美元，而這些安全預(yù)算正用于積極研究和投資各種安全解決方案。其中，一些關(guān)鍵解決方案包括零信任技術(shù)(40%);欺騙技術(shù)(32%);微細分(30%)和基于云的網(wǎng)絡(luò)安全服務(wù)(30%)。

Markets and Markets 發(fā)布的一項最新的市場研究報告顯示，在2021年欺騙防御技術(shù)的市場規(guī)模將從現(xiàn)在的10.4億美元增長到20.9億美元，復(fù)合年增長率(CAGR)約為15.1%。

而Mordor Intelligence則估計稱，到2025年，市場對網(wǎng)絡(luò)安全欺騙式防御工具的需求將達到25億美元左右，而2019年僅為12億美元。大部分需求將來自政府部門、全球金融機構(gòu)和其他頻繁發(fā)生網(wǎng)絡(luò)攻擊的目標。

可以肯定的說，欺騙技術(shù)會變得越來越流行，而2021年的以下趨勢將推動欺騙技術(shù)發(fā)展成主流：

MITRE Shield

MITRE公司在其官網(wǎng)上將Shield定義為“MITER正在開發(fā)的主動防御知識庫，用于捕獲和組織關(guān)于積極防御和對手交戰(zhàn)的知識，旨在為防御者提供用于對抗網(wǎng)絡(luò)對手的工具。”此外，主動防御被定義為“采取有限的進攻行動和反擊，以阻止敵人侵犯有爭議的地區(qū)或陣地”。鑒于眾多組織已經(jīng)開始采用MITRE ATT&CK，因此他們很可能會將Shield作為一種補充計劃。欺騙技術(shù)在Shield中具有大量主動防御用例。

SOC現(xiàn)代化

隨著組織規(guī)模化和自動化操作、集成安全工具(例如將其集成到SOAPA體系結(jié)構(gòu)中)的使用，為了更好地了解其攻擊面而采用高級分析以及實施自動化安全測試工具，2021年SOC現(xiàn)代化運動將蓬勃發(fā)展。而欺騙技術(shù)作為主動傳感器和可調(diào)安全控制，將能夠很好地適應(yīng)這些變化。

勒索軟件應(yīng)對策略

教育、醫(yī)療保健和州、地方政府等行業(yè)在與勒索軟件的斗爭中需要幫助。欺騙技術(shù)不是萬能藥，但它可以幫助檢測跨協(xié)議(例如服務(wù)器消息塊(SMB))的橫向移動，以最大程度地減少損害。還可以部署或調(diào)整欺騙技術(shù)誘餌，以防御其他網(wǎng)絡(luò)攻擊戰(zhàn)役的戰(zhàn)術(shù)、技術(shù)和程序(TTP)。

欺騙技術(shù)并不是一勞永逸的解決方案，但是根據(jù)已經(jīng)部署該技術(shù)的企業(yè)組織反映，欺騙技術(shù)是一種見效快的“速效藥”。CISO可以快速部署欺騙技術(shù)并獲得近期收益，就這一項好處就能夠增加欺騙技術(shù)在后疫情時代的受歡迎程度。

參考鏈接：

https://www.marketsandmarkets.com/Market-Reports/deception-technology-market-129235449.html

https://www.darkreading.com/vulnerabilities---threats/vulnerability-management/7-tips-for-effective-deception/d/d-id/1338175

https://www.idg.com/news/idgs-2020-security-priorities-research-outlines-new-security-practices-investments/

https://www.darkreading.com/endpoint/the-difference-between-sandboxing-honeypots-and-security-deception/a/d-id/1332663

https://www.csoonline.com/article/3600217/why-2021-will-be-a-big-year-for-deception-technology.html

如若轉(zhuǎn)載，請注明原文地址。