網路欺騙技術部署策略:遏制與檢測
欺騙技術討論通常會導致蜜罐, 然後就會有某種程度的混亂開始。新增一組用於欺騙的縮寫詞,,包括: 麵包屑、誘餌、陷阱、信標,而且大多數新的主題都看到另一個安全研究專案。欺騙技術可能會混淆部署策略, 從而使遺留的觀點在我們的腦海中虛假地站立。 針對欺騙防禦影響部署策略的重大創新已得到發展。
首先, 安全研究需要的是傳統的實際作業系統蜜罐專注於遏制和公開妥協。但是, 在網路內部部署數以千計的使用者作為入侵後檢測策略, 只會增加攻擊面和風險級別。 正如我們需要技術嫻熟的執法人員來偵測和發現包裹轟炸機和狙擊手一樣, 我們需要熟練的安全研究人員捕捉攻擊工具和方法, 以瞭解可能的歸屬以及如何緩解這些攻擊。
因此, 關於安全研究蜜罐的深入討論將側重於遏制作為一種部署策略。 蜜罐必須儘可能真實, 以避免攻擊者檢測, 所以安裝他們的工具, 並開始他們的方法。 相反, 使用欺騙作為入侵後防御在內部側重於檢測 (vs 遏制), 其中創新改進了這種部署策略。隨著時間的推移, 純蜜罐建立在真正的作業系統進化成虛擬機器, 使其更容易重置。 模擬服務將蜜罐演變成不易受損害的誘餌,然而,開放自動化和規模化。
考慮到入侵後欺騙策略的檢測, 當攻擊者發現媒介或低互動誘餌是對服務和資料的模擬時, 檢測的目標早就完成了。 為了使欺騙確定性 (vs 攻擊者統計發現誘餌), 誘餌被放置在真實資產, 然後導致攻擊者進行攻擊。 這些誘餌也被稱為麵包屑, 虛假資料, 偽造的憑據, 陷阱和信標。 現代欺騙的重點是麵包屑和誘餌之間的連結, 以便儘可能最有效地進行檢測。
我們知道大多數攻擊都是通過網路釣魚、社交工程或通過攻擊進入立足點系統來達到的。很少是立足點系統是理想的資產或資料, 因此攻擊使用偵察找到路徑的橫向移動到他們想要的。 這是一個機會, 瞭解攻擊者想要引誘、檢測和防禦欺騙作為檢測部署策略。 由於近60% 的攻擊沒有惡意軟體的訊息, 攻擊環境發生了變化, 超過40% 的受威脅系統沒有惡意軟體的跡象, 超過95% 的惡意軟體只會被看到一次, 將近一半的使用者會開啟電子郵件,攻擊情況正在發生變化並在互動後一小時內點選附件。
那麼, 自動化如何使欺騙成為早期的入侵檢測防禦的? 自動化使網路和分析資產的對映能夠自動建立與環境匹配的模擬誘餌。 自動化然後部署誘餌和種子麵包屑, 再加上監測環境中的任何變化, 使欺騙層儘可能現實, 只需要很少的人力。 對於使用者未知的欺騙元件, 警報具有高保真度, 很少有誤報來檢測新入侵的立足點系統、攻擊橫向移動和內部威脅。欺騙對於無法安裝防禦的資產 (如企業 IoT 和遺留系統) 也是有效的。 例如企業物聯網和遺留系統。自動化的現代欺騙解決方案可由一級安全分析師在每週不到五小時的時間內進行監控和維護。
最終結果是, 欺騙部署策略具有相反的目的。 一端是安全研究的純蜜罐, 專注於遏制和開放的妥協作為一個網路監視, 其中模擬是無法有效收集惡意軟體和攻擊工具。 另一種是入侵後智慧報警系統, 專注於檢測, 在這種情況下, 模擬可實現自動化和擴充套件, 而不會危及網路內部的風險。 考慮到部署策略是檢測,因此無需承擔網路中真實作業系統誘餌或蜜罐的風險。