欺騙技術(shù)，一種通過虛假資產(chǎn)來迷惑攻擊者的安全策略，預(yù)計將在2024年開始流行，并在2025年末成為安全運營的標(biāo)配。

盡管欺騙技術(shù)目前仍然受到業(yè)界一些質(zhì)疑，但2024年十個重要趨勢(四大技術(shù)趨勢和六大應(yīng)用趨勢)將一舉確立其在安全運營中的主流地位。

改變欺騙技術(shù)的四大技術(shù)趨勢

網(wǎng)絡(luò)安全和企業(yè)IT的融合正在大大簡化欺騙技術(shù)。2024年，四大技術(shù)趨勢即將徹底改變欺騙技術(shù)的工作方式，這些趨勢包括安全數(shù)據(jù)湖部署、云計算、API連接性和生成式AI：

一、安全數(shù)據(jù)湖部署：企業(yè)正在實施來自各大科技廠商和云服務(wù)商的海量安全數(shù)據(jù)湖方案。欺騙技術(shù)將不斷分析這些海量數(shù)據(jù)，以更好地了解正常和異常行為，作為欺騙模型的基線。

二、云計算：應(yīng)用于欺騙技術(shù)的大語言模型需要大量資源來處理和存儲數(shù)據(jù)。因此，欺騙技術(shù)很可能會以SaaS云服務(wù)的形式提供，位于現(xiàn)有安全運營技術(shù)之上，從而實現(xiàn)欺騙技術(shù)的快速普及。

三、API連接：除了安全數(shù)據(jù)湖之外，欺騙技術(shù)還將植入IaaS、資產(chǎn)管理系統(tǒng)(Gartner定義為網(wǎng)絡(luò)資產(chǎn)攻擊面管理)、漏洞管理系統(tǒng)、攻擊面管理系統(tǒng)、云安全態(tài)勢管理(CSPM)等。打通API后，欺騙系統(tǒng)能夠全面了解企業(yè)的混合IT應(yīng)用程序和基礎(chǔ)設(shè)施。

四、生成式AI：基于大語言模型的生成式AI可以生成以假亂真的誘餌(虛假資產(chǎn)或虛假服務(wù))、合成的網(wǎng)絡(luò)流量和“面包屑”(即放置在真實網(wǎng)絡(luò)上的虛假資產(chǎn))。這些欺騙元素可以在混合網(wǎng)絡(luò)環(huán)境中戰(zhàn)略性地、大規(guī)模自動部署。

新興欺騙技術(shù)的六大應(yīng)用趨勢

上述技術(shù)趨勢為欺騙技術(shù)融入企業(yè)IT和安全運營系統(tǒng)提供了技術(shù)基礎(chǔ)，以下是2024年欺騙技術(shù)的六大應(yīng)用趨勢：

一、集成到多個IT掃描/態(tài)勢管理工具，以“學(xué)習(xí)”環(huán)境信息，包括：資產(chǎn)(包括OT和物聯(lián)網(wǎng)資產(chǎn))、IP范圍、網(wǎng)絡(luò)拓?fù)?、用戶、訪問控制、正常/異常行為等。先進(jìn)的網(wǎng)絡(luò)靶場已經(jīng)可以做到其中一些功能，而欺騙系統(tǒng)將建立在這種合成環(huán)境之上，持續(xù)進(jìn)行掃描、數(shù)據(jù)收集、處理和分析，以跟上混合IT環(huán)境、安全防御和威脅態(tài)勢的變化。

二、采集和分析威脅情報。根據(jù)企業(yè)的位置和行業(yè)，欺騙系統(tǒng)將分析和總結(jié)網(wǎng)絡(luò)威脅情報，尋找特定的對手群體、威脅活動以及通常針對此類公司的對手策略、技術(shù)和程序(TTP)。欺騙系統(tǒng)將與各種MITREATT&CK框架(云、企業(yè)、移動、ICS等)錨定，以獲得對手TTP的精細(xì)畫像。

三、檢查企業(yè)安全防御問題。基于威脅情報分析和對手TTP精細(xì)畫像，欺騙系統(tǒng)可用于檢查企業(yè)的安全防御措施，包括防火墻規(guī)則、端點安全控制、IAM系統(tǒng)、云安全設(shè)置、檢測規(guī)則等。然后，使用MITREATT&CK導(dǎo)航器來發(fā)現(xiàn)安全覆蓋范圍的差距。

四、生成定制化誘餌。所有安全運營數(shù)據(jù)都可用于訓(xùn)練欺騙大模型，生成定制的面包屑、誘餌和金絲雀令牌。這些誘餌可以讓管理一萬個資產(chǎn)的企業(yè)看起來像一家電信公司，擁有數(shù)十萬甚至數(shù)百萬個應(yīng)用程序、數(shù)據(jù)元素、設(shè)備、身份等資產(chǎn)，可用于吸引和迷惑對手。

五、欺騙技術(shù)還將與檢測工程緊密協(xié)作。生成式人工智能可以同時創(chuàng)建欺騙元素和同伴檢測規(guī)則。這方面MITRE Engage欺騙框架和社區(qū)可以提供支持。安全廠商和MITRE可能會在Engage的商業(yè)實施方面進(jìn)行合作。

六、重點行業(yè)：醫(yī)療和制造。行業(yè)方面，欺騙技術(shù)特別適用于使用大量OT/IoT技術(shù)的行業(yè)，例如醫(yī)療和制造業(yè)，這些行業(yè)使用大量無法托管安全代理的OT/IoT技術(shù)，對欺騙技術(shù)的需求尤為迫切。后者可通過模擬OT/IoT設(shè)備，生成以假亂真的生產(chǎn)設(shè)備資產(chǎn)。

雖然不同企業(yè)有著不同的欺騙技術(shù)需求，但可以預(yù)見的是，ISAC這樣的行業(yè)組織也會參與到行業(yè)安全大模型的微調(diào)，以此提升整個行業(yè)的安全防護(hù)能力。

總結(jié)：融合與普及才能兌現(xiàn)欺騙技術(shù)的價值

與IT和安全系統(tǒng)融合和聯(lián)通后，欺騙系統(tǒng)的所有掃描、數(shù)據(jù)收集、處理和分析都將持續(xù)進(jìn)行，以跟上混合IT環(huán)境、安全防御和威脅形勢的變化。當(dāng)企業(yè)實施新的SaaS服務(wù)、部署生產(chǎn)應(yīng)用程序或?qū)ζ浠A(chǔ)設(shè)施進(jìn)行更改時，欺騙引擎會記錄這些更改并相應(yīng)地調(diào)整其欺騙技術(shù)。

與傳統(tǒng)的蜜罐不同，新興的欺騙技術(shù)不需要尖端知識或復(fù)雜的設(shè)置。雖然一些先進(jìn)的企業(yè)可能會定制自己的欺騙網(wǎng)絡(luò)，但更多公司會選擇默認(rèn)設(shè)置。在大多數(shù)情況下，基本配置足以迷惑對手。這意味著，通過云服務(wù)提供的標(biāo)準(zhǔn)化產(chǎn)品將能大大加快欺騙技術(shù)的普及，幫助企業(yè)改善威脅檢測和響應(yīng)，提高安全運營能力。