4000-110-253
企業如何采取欺騙行(xíng)為(wèi)來(lái)超越網絡攻擊者. 2019-05-08
1. 欺騙一直被用于戰争行(xíng)為(wèi):現在如何在網絡安全行(xíng)業中使用欺騙手段?
幾千年來(lái),欺騙一直被用于戰争,法律,體(tǐ)育和(hé)賭博,以在對手的思想中産生(shēng)不确定性和(hé)混亂,這将延遲和(hé)操縱他們的努力,并将影(yǐng)響和(hé)誤導他們的觀念和(hé)決策過程。
根據定義,軍事欺騙“旨在阻止敵對行(xíng)動,增加友(yǒu)好防禦行(xíng)動的成功率,或改善任何潛在的友(yǒu)好進攻行(xíng)動的成功。
”網絡欺騙與此定義一緻,并基于旨在混淆網絡的計(jì)劃,有(yǒu)意和(hé)受控制(zhì)的行(xíng)為(wèi)。反過來(lái),這會(huì)影(yǐng)響攻擊者犯錯誤,花(huā)更多(duō)時(shí)間(jiān)區(qū)分真假,并使攻擊的經濟性不合需要,從而迫使攻擊者采取有(yǒu)利于防禦者安全态勢的行(xíng)動。
網絡欺騙通(tōng)過創建出現作(zuò)為(wèi)生(shēng)産資産的誘餌來(lái)實現,并且旨在吸引對手。這與欺騙誘餌或誘餌配對,顯示為(wèi)誘人(rén)的憑據,應用程序或數(shù)據,并将導緻攻擊者參與欺騙環境。欺騙的使用有(yǒu)效地導緻攻擊者通(tōng)過網絡,揭示動機,技(jì)術(shù)和(hé)意圖,可(kě)用于收集對手情報,生(shēng)成可(kě)操作(zuò)的警報以及加速事件響應。
與物理(lǐ)戰争一樣,通(tōng)過使用欺騙性技(jì)術(shù),網絡防禦者可(kě)以誤導和(hé)/或混淆攻擊者,從而增強他們的防禦能力。欺騙,指導和(hé)引導對手遠離關鍵資産的能力,使攻擊者無法實現其目标并揭示他如何能夠通(tōng)過網絡。它還(hái)具有(yǒu)增加攻擊者成本的好處,因為(wèi)他們現在必須從虛假中解讀真實內(nèi)容,并且經常不得(de)不重新開(kāi)始攻擊。
2. 欺騙與傳統蜜罐有(yǒu)何不同?
蜜罐最初是為(wèi)研究而設計(jì)的,并且在網絡外部放置了誘餌以确定誰在攻擊該組織。它不是為(wèi)擴展而設計(jì)的,操作(zuò)效率非常低(dī)。
商業欺騙技(jì)術(shù)專為(wèi)網內(nèi)威脅檢測而設計(jì),能夠檢測來(lái)自所有(yǒu)矢量和(hé)所有(yǒu)攻擊面的威脅。
為(wèi)實現這一目标,欺騙必須通(tōng)過3個(gè)主要障礙。首先,要有(yǒu)吸引力和(hé)可(kě)信; 第二,擴大(dà)覆蓋所有(yǒu)攻擊面; 第三,易于操作(zuò)。為(wèi)了具有(yǒu)吸引力和(hé)可(kě)信度,欺騙必須與生(shēng)産環境相同,運行(xíng)相同的操作(zuò)系統和(hé)服務。
早期的蜜罐技(jì)術(shù)被模仿,并且攻擊者不需要花(huā)費很(hěn)長時(shí)間(jiān)來(lái)弄清楚如何識别和(hé)避免它們。全面的欺騙技(jì)術(shù)平台支持幾乎無限的可(kě)擴展性,涵蓋從用戶網絡到雲數(shù)據中心到獨特的物聯網或ICS部署的所有(yǒu)內(nèi)容。能夠在端點上(shàng)植入誘餌以誘使攻擊者并将其重定向到欺騙環境中也很(hěn)重要。蜜罐缺乏此功能。最後一個(gè)重要區(qū)别在于欺騙的準備,部署和(hé)操作(zuò)。
機器(qì)學習現在可(kě)以在一小(xiǎo)時(shí)內(nèi)完全自動完成此過程,而蜜罐則需要在攻擊後手動設置和(hé)重建。欺騙的直觀性使得(de)管理(lǐ)變得(de)非常簡單,而蜜罐則需要高(gāo)技(jì)能資源。最新的欺騙方法還(hái)提供自動攻擊分析,事件響應自動化,以及攻擊路徑,網絡設備更改和(hé)攻擊時(shí)間(jiān)失效重放的可(kě)見性工具。這些(xiē)功能在蜜罐中根本不存在。
3. 欺騙技(jì)術(shù)如何使組織能夠占據網絡攻擊者的優勢?
大(dà)多(duō)數(shù)傳統的安全控制(zhì)和(hé)技(jì)術(shù)旨在創建計(jì)算(suàn)機系統的邊界,并專注于試圖阻止外圍的非法訪問嘗試。這些(xiē)“牆”不斷受到自動化開(kāi)發工具的攻擊,攻擊者将不斷在計(jì)算(suàn)機上(shàng)進行(xíng)偵察或進行(xíng)網絡釣魚活動,直到他們發現漏洞無法滲透到未被發現的網絡中。
不幸的是,在整個(gè)停止攻擊的過程中,系統防禦者通(tōng)常會(huì)在此過程中對入侵者的目标或動機了解甚少(shǎo)或根本沒有(yǒu)學習。遺憾的是,立即轉移攻擊的願望也付出了代價。一個(gè)可(kě)能無意中使得(de)保護計(jì)算(suàn)機系統的任務變得(de)更加困難,但(dàn)是在每次不成功的攻擊之後對手都會(huì)變得(de)更強大(dà)。
欺騙技(jì)術(shù)通(tōng)過準備組織來(lái)改變攻擊的不對稱性,無論網絡攻擊的類型如何,無論攻擊面如何都能提供早期檢測,收集有(yǒu)關攻擊起源,工具,技(jì)術(shù)和(hé)動機的信息,同時(shí)提供攻擊分析,從而賦予權力防禦者采取果斷行(xíng)動,自動化響應,并建立主動防禦。
該組織還(hái)将受益于高(gāo)保真警報,這些(xiē)警報具有(yǒu)可(kě)操作(zuò)性和(hé)自動化功能,可(kě)用于了解攻擊,信息共享和(hé)響應事件。
4. 網絡欺騙計(jì)劃如何為(wèi)風險管理(lǐ)增加價值?
擁有(yǒu)網絡欺騙計(jì)劃的價值是多(duō)方面的,可(kě)以增加IT資産風險管理(lǐ)和(hé)數(shù)字風險管理(lǐ)的價值:
- 及早準确地檢測繞過外圍防禦的威脅。這包括早期偵察,橫向移動以及通(tōng)常難以檢測的憑證盜竊。
- 洞察防禦者的安全狀态的可(kě)靠性以及攻擊者如何能夠突破防禦。這将更全面地了解您的網絡的優勢和(hé)劣勢,并确定攻擊者最有(yǒu)可(kě)能嘗試獲取訪問權限的區(qū)域。
- 意識到可(kě)能受到攻擊的風險和(hé)業務功能。正确規劃,設計(jì)和(hé)實施欺騙活動可(kě)以識别以前未知和(hé)潛在易受攻擊的資産,以及攻擊者可(kě)以利用的路徑在環境中移動。
- 欺騙,指導和(hé)引導對手遠離關鍵資産的能力,否定犯罪者的目标并揭示他想如何通(tōng)過網絡。然後,可(kě)以應用這種在他們不知情的情況下誤導和(hé)/或混淆攻擊者的能力,以加強整體(tǐ)防禦能力。
- 減少(shǎo)與使用物聯網或雲等新技(jì)術(shù)相關的增加的安全風險模型,這可(kě)能是競争性業務産品和(hé)服務所需要的。
- 收集對手情報,可(kě)以果斷地應用以阻止攻擊,威脅搜捕和(hé)根除威脅。然後,組織可(kě)以設置欺騙和(hé)陷阱以降低(dī)返回風險。
- 筆測試期間(jiān)的證據或對內(nèi)部人(rén)員和(hé)供應鏈相關的安全計(jì)劃彈性或風險的持續漏洞評估。
- 欺騙還(hái)有(yǒu)增加攻擊者成本的好處,因為(wèi)他們現在必須從虛假中解讀真實內(nèi)容,并且經常不得(de)不重新開(kāi)始攻擊或完全放棄攻擊。增加攻擊的複雜性可(kě)能是一種強大(dà)的威懾力,并導緻成為(wèi)攻擊主要目标的可(kě)能性降低(dī)。
5. 高(gāo)級威脅被證明(míng)可(kě)以繞過外圍防禦,那(nà)麽一旦違反組織,欺騙行(xíng)為(wèi)如何受益呢?
許多(duō)人(rén)會(huì)争辯說,網絡戰現在已經在網絡中移動,并且沒有(yǒu)現實的方法可(kě)以讓攻擊者徹底離開(kāi)。欺騙技(jì)術(shù)是為(wèi)主動防禦而構建的,可(kě)以及早準确地檢測網絡內(nèi)攻擊者,并提供了解攻擊者所在位置所需的根本原因分析,工具,技(jì)術(shù),方法和(hé)動機。
好處包括能夠改變攻擊的不對稱性并迫使攻擊者在100%的時(shí)間(jiān)內(nèi)保持正确或顯示他們的存在。
它為(wèi)防禦者提供了進攻策略,旨在及早準确地探測威脅,無論攻擊媒介或表面如何,以及快速阻止攻擊和(hé)加強防禦所需的對手情報。
欺騙技(jì)術(shù)的本質為(wèi)組織提供了許多(duō)優勢:它們被迫浪費時(shí)間(jiān)和(hé)資源,并由防禦者指導特定的行(xíng)為(wèi)模式。它還(hái)使對手揭示了自己的弱點和(hé)方法; 這創造了一個(gè)活躍的循環,防禦者可(kě)以通(tōng)過它來(lái)改善自己的防禦。
6. 什麽欺騙技(jì)術(shù)可(kě)以幫助我們更多(duō)地了解網絡犯罪分子的活動?
與其他旨在簡單阻止攻擊的安全控制(zhì)不同,欺騙技(jì)術(shù)提供了一種高(gāo)度的交互欺騙環境,可(kě)以針對威脅情報以及有(yǒu)關工具,技(jì)術(shù),目标以及威脅如何通(tōng)過網絡的信息來(lái)研究攻擊者的活動。憑證和(hé)應用程序欺騙還(hái)将提供有(yǒu)關企圖盜竊和(hé)重用合法憑據的見解。與命令和(hé)控制(zhì)安全通(tōng)信的功能還(hái)将提供對多(duō)态或時(shí)間(jiān)觸發活動的寶貴見解,并将提高(gāo)防禦者根除威脅和(hé)防止其返回的能力。誘餌文檔等高(gāo)級功能對于了解攻擊者的目标和(hé)提供地理(lǐ)位置信息也很(hěn)有(yǒu)用。
7. 您如何看待未來(lái)欺騙技(jì)術(shù)的發展?
鑒于其準确性和(hé)有(yǒu)效性,欺騙正成為(wèi)安全堆棧中事實上(shàng)的檢測控制(zhì)。許多(duō)組織專門(mén)為(wèi)2019年的欺騙項目編制(zhì)預算(suàn),預計(jì)這将繼續推動采用的快速趨勢。此外,根據報告,在未來(lái)兩年內(nèi),欺騙技(jì)術(shù)市場(chǎng)估計(jì)将增長84%。
欺騙技(jì)術(shù)在過去幾年中已經成熟,現在已經在全球範圍內(nèi)廣泛應用于各種攻擊面的網絡,端點,應用和(hé)數(shù)據欺騙技(jì)術(shù),包括數(shù)據中心,雲,用戶網絡,遠程辦公室,物聯網,ICS,POS和(hé)基礎設施。我們的有(yǒu)影(yǐng)攻擊誘捕系統是全面的欺騙平台,可(kě)有(yǒu)助于收集對手情報,并通(tōng)過本地集成自動化事件響應。
轉http://netsecurity.51cto.com/
