企业如何采取措施来欺骗网络攻击者
2019-09-10胡立
胡立
网络欺骗通過创建作为生产资产的诱饵来实现,并且旨在吸引对手。这与欺骗诱饵或诱饵配对,显示为诱人的凭据、应用程序或数据,并将导致攻击者参与欺骗环境。欺骗的使用有效导致攻击者通过网络,揭示动机、技术和意图,可用于收集对手情报,生成可操作的警报以及加速事件响应。
与物理战争一样,通过使用欺骗性技术,网络防御者可以误导或混淆攻击者,从而增强他们的防御能力。欺骗、指导和引导对手远离关键资产的能力,使攻击者无法实现其目标并揭示他如何能够通过网络;它还具有增加攻击者成本的好处,因为他们必须从虚假中解读真实内容,并且经常不得不重新开始攻击。
蜜罐最初是为研究设计的,并且在网络外部放置了诱饵以确定谁在攻击该组织。它不是为扩展而设计的,操作效率非常低。
商业欺骗技术专为网内威胁检测而设计,能够检测来自所有矢量和攻击面的威胁。
为实现这一目标,欺骗必须通过3个主要障碍:首先,要有吸引力和可信;第二,扩大覆盖所有攻击面;第三,易于操作。为了具有吸引力和可信度,欺骗必须与生产环境相同,运行相同的操作系统和服务。
早期的蜜罐技术被模仿,并且攻击者不需要花费很长时间来弄清如何识别和避免它们。全面的欺骗技术平台支持无限的可扩展性,涵盖从用户网络到云数据中心到独特物联网或ICS部署的所有内容。在端点上植入诱饵以诱使攻击者并将其重定向到欺骗环境中也很重要,蜜罐缺乏此功能。最后一个重要区别在于欺骗的准备、部署和操作。
机器学习可以在一小时内自动完成此过程,而蜜罐则需要在攻击后手动设置和重建。欺骗的直观性使管理变得非常简单,而蜜罐则需要高技能资源。最新的欺骗方法还提供自动攻击分析、事件响应自动化以及攻击路径,网络设备更改和攻击时间失效重放的可见性工具。这些功能在蜜罐中根本不存在。
大多数传统的安全控制和技术旨在创建计算机系统的边界,并专注于阻止外围的非法访问尝试。这些“墙”不断受到自动化开发工具的攻击,攻击者将不断在计算机上进行侦察或进行网络钓鱼活动,直到他们发现漏洞无法渗透到未被发现的网络中。
在整个停止攻击的过程中,系统防御者在此过程中对入侵者的目标或动机了解甚少或根本没有学习。遗憾的是,立即转移攻击的愿望也付出了代价。一个可能无意中使得保护计算机系统的任务变得更加困难,但是在每次不成功的攻击之后对手都会变得更强大。
欺骗技术通过准备组织来改变攻击的不对称性,无论网络攻击的类型如何,攻击面如何都能提供早期检测,收集有关攻击起源、工具、技术和动机的信息,提供攻击分析,从而赋予权力防御者采取果断行动、自动化响应,建立主动防御。
该组织还受益于高保真警报,这些警报具有可操作性和自动化功能,可用于了解攻击、信息共享和响应事件。
拥有网络欺骗计划的价值是多方面的,可以增加IT资产风险管理和数字风险管理的价值:
及早准确检测绕过外围防御的威胁,这包括早期侦察、横向移动以及难以检测的凭证盗窃。
洞察防御者的安全状态的可靠性以及攻击者如何突破防御。这将更全面了解您的网络优势和劣势,并确定攻击者最有可能尝试获取访问权限的区域。
意识到可能受到攻击的风险和业务功能。正确规划、设计和实施欺骗活动可以识别前所未知和潜在易受攻击的资产,以及攻击者可以利用的路径在环境中移动。
欺骗、指导和引导对手远离关键资产的能力,否定犯罪者的目标并揭示他如何通过网络。应用这种在他们不知情的情况下误导或混淆攻击者的能力,以加强整体防御能力。
减少与使用物联网或云等新技术相关的增加安全风险模型,这可能是竞争性业务产品和服务所需要的。
收集对手情报,果断地应用以阻止攻击、威胁搜捕和根除威胁。组织可以设置欺骗和陷阱以降低返回风险。
笔者测试期间的证据或对内部人员和供应链相关的安全计划弹性或风险的持续漏洞评估。
欺骗还有增加攻击者成本的好处,因为他们现在必须从虚假中解读真实内容,并且经常不得不重新开始攻击或完全放弃攻击。增加攻击的复杂性是一种强大的威慑力,导致成为攻击主要目标的可能性降低。
许多人争辩说,网络战已经在网络中移动,并且没有现实的方法可以让攻击者彻底离开。欺骗技术是为主动防御而构建,可以及早准确地检测网络内攻击者,并提供了解攻击者所在位置所需的根本原因分析、工具、技术、方法和动机。
好处包括能够改变攻击的不对称性并迫使攻击者在100%的时间内保持正确或显示他们的存在。
它为防御者提供了进攻策略,旨在及早准确地探测威胁,无论攻击媒介或表面如何,快速阻止攻击和加强防御所需的对手情报。
欺骗技术的本质为组织提供了许多优势:它们被迫浪费时间和资源,并由防御者指导特定的行为模式。它还使对手揭示了自己的弱点和方法,这创造了一个活跃的循环,防御者可以通过它来改善自己的防御。
与其他简单阻止攻击的安全控制不同,欺骗技术提供了一种高度的交互欺骗环境,可以针对威胁情报以及有关工具、技术、目标以及威胁如何通过网络信息研究攻击者的活动。凭证和应用程序欺骗还将提供有关企图盗窃和重用合法凭据的见解。与命令和控制安全通信的功能还将提供对多态或时间触发活动的宝贵见解,并将提高防御者根除威胁和防止其返回的能力。诱饵文档等高级功能对于了解攻击者的目标和提供地理位置信息也很有用。
鉴于其准确性和有效性,欺骗正成为安全堆栈中的检测控制。许多组织专门为2019年的欺骗项目编制预算,预计将继续推动采用的快速趋势。此外,根据报告,在未来两年内,欺骗技术市场估计将增长84 %。
欺骗技术在过去几年已经成熟,现在全球范围内广泛应用于各种攻击面的网络、端点、应用和数据欺骗技术,包括数据中心、云、用户网络、远程办公室、物联网、ICS、POS和基础设施。我们的有影攻击诱捕系统是全面的欺骗平台,可有助于收集对手情报,并通过本地集成自动化事件响应。