网络攻击的模式是众所周知的，目标是相同的。黑客正试图闯入以获取有价值的数据或采取有利于他们的行动，并希望尽可能长时间不被发现。有许多解决方案致力于预防，系统锁定，防止横向移动，以及以其他方式检测异常行为。
然而，检测的挑战是如何更快，更全面地做到这一点，最大的成功机会，同时最大限度地减少操作开销和误报。这就是现在在各种产品中实施的欺骗技术至关重要的地方。
欺骗是过去在外面寻找邪恶行为者的东西的演变。它起源于蜜罐的想法 - 外部网站吸引了有不良意图的人，以便能够识别它们。虽然安全研究人员经常使用蜜罐，但它对于企业来说并不是一种流行的技术。欺骗本质上采取了一种新的方法，并在网络中移动威胁欺骗，以提供更有价值的洞察力，以洞察已经渗透到外围防御中的威胁。通过这样做，它提供了一种仅生成高保真警报的方法，并且可以显着减少检测攻击所需的时间。
今天使用欺诈性方法，您可以利用看似可用的有价值的基础设施和信息来充分利用您的内部基础设施，并且任何人都不应合法地访问这些诱饵和信息。如果有人访问这些资产，您就会知道您有入侵者或至少存在违反安全风险的策略。当攻击者已经在网络内部时，例如内部人员，受信任的第三方，供应商和承包商，这种检测机制特别有价值。
公司内部的欺骗就像你在电影中看到的关于大抢劫的隐形激光束网络。当有人试图访问这些内部诱饵或欺诈凭证时，会触发激光传感器的数字等效物，并且您知道您受到了攻击。您还知道攻击来自网络内部以及攻击者如何试图违反您的系统。然后，您可以在尝试通过凭据窃取或侦察传播时立即检测到攻击。
一旦检测到攻击，您就可以开始采取对策。攻击者的行为可以立即关闭，也可以观察攻击者。通过观察他们正在做什么，您可以获得有关谁正在攻击以及他们正在尝试做什么的更多信息。然后，可以自动编译高级取证数据，以帮助安全团队不仅可以检测，还可以搜索威胁并消除威胁。欺骗可以是参与所谓主动防御的重要方式。在军事方面，主动防御被定义为“使用有限的进攻行动和反击来拒绝敌人的争议区域或位置。”这些行动的目的是改变攻击的不对称性并增加网络成本对手。欺骗性和平衡的网络安全框架
欺骗是一种适合我们平衡的网络安全框架的技术，是NIST定义的检测类别的一部分。有哪些网络安全漏洞，如何集成新组件，如何添加数据仓库以帮助证明未来的产品组合，以及如何从产品组合中获得更多业务收益。
但同样重要的是要理解，随着我们采用均衡投资组合方法并使其更加成熟，增加成熟度的关键方面之一是捕获和标准化分析师所做的事情。这是至关重要的，因此对网络安全事件的分析不会被困在个人分析师的个人电子表格或文档中，而是作为可以共享和学习的脚本的一部分。这不仅有助于检测攻击，还可以防止攻击并帮助创建对攻击的自动协调响应。
如果公司能够做到这一点，投资组合将能够为业务增加价值，包括更深入地了解业务运营，例如识别关键事件或提供详细的活动模型。我们不是将网络安全事件视为病态，而是将整个企业视为一个整体，并确保以安全的方式完成业务的基本使命。通过这种方式，支持企业的整体健康。
在欺骗的情况下，可能存在大量的信息累积，攻击分析和相关性，以确保攻击被停止，清除和阻止。安全控制之间的内部信息共享使您能够在组织中更有效，并构建更强大的安全防御。然后有一个更广泛的观点，即跨行业或更广泛地共享攻击信息，以便每个人都可以从这些信息和知识中受益。
什么使欺骗工作？
对于工作中的欺骗，你必须通过试图欺骗他们与诱饵诱饵或诱饵进行交互来向对手展示看似真实的内容，这将让你知道他们是如何在你的系统内以及他们如何进行攻击的。显然，这是商业和生活各个方面的旧概念。但我们关注如何在网络安全领域正确实现这一概念。
为了使这些努力发挥作用，您必须能够提供看起来真实且吸引对手的逼真视图。如果您提供看起来像假的诱饵或目标，攻击者将会避开它们，因此解决方案将无效。欺骗必须是真实和有吸引力的。这意味着实际操作系统和凭证看起来与生产环境相同。
为了使欺骗有效，首先必须是真的。
攻击者非常复杂。为了欺骗他们，欺骗需要与生产资产和凭证相同。它需要足够可靠才能使它们垮台。
此外，为了充分利用欺骗的作用，它必须是全面的，涵盖不断变化的攻击面。一些提供基于欺骗的网络安全的供应商只关注一种形式的欺骗 - 例如凭证，诱饵或数据文件。但是，如果您能够通过放置凭据和映射的驱动程序对象以吸引来自Web，云和物联网，POS和SWIFT的攻击来吸引所有攻击方法和服务，那将会更好。借助当今的虚拟化技术，您可以使这些骗局无处不在，这使您可以在任何地方找到最高的攻击概率。在现代世界中，攻击通常是多态的，这可能特别有用。欺骗也必须是可扩展的。欺骗比其他检测网络安全威胁的方法更有效。您没有查看试图确定正常然后检测到异常的每个数据。相反，在欺骗的情况下，你会放诱饵或诱饵，如果你访问它们，你知道有问题。没有误报。
因此，可扩展性不是关于处理能力，而是关于设计和实现可以在整个环境中实施的全套真实诱饵。一旦部署了这些诱饵，您必须能够定期管理和刷新它们以保持真实性。部署和响应的自动化是可扩展性和易操作性的真正关键。
欺骗也是独一无二的，因为组织可以在欺骗沙箱中安全地与攻击者进行更深入的取证。安全分析师可以比其他形式的检测更安全地观察攻击者，因为被攻击的资产是诱饵。在正常攻击中，分析师希望立即阻止攻击访问有价值的资产。通过作弊，您可以与攻击者交战，然后激活对策。这可能是欺骗最独特的方面，因为它改变了攻击者和防御者之间的力量平衡，你比其他人更了解它们。改变攻击的不对称性至少会减缓攻击并增加攻击者的成本。在某些情况下，这也可以起到威慑作用，驱使攻击者找到更容易的目标。
“一些基本问题是，当你防止攻击时，你没有机会研究它，”克兰德尔说。 “当你停止它时，你会阻止它进入，但是你没有从中学习。丢失有价值的信息对于快速消除攻击并防止攻击返回至关重要。”
为什么我们需要灵活的欺骗技术？
我们需要一套灵活的欺骗技术，因为我们希望能够将传感器放置在可被攻击的IT房地产的任何部分，并促进所有攻击方法的早期检测。您可以争辩说，攻击者大多数时间都在跟踪数据或凭据，但在现代世界中，他们真正追求的是他们可以使用的任何东西，包括可用于挖掘加密货币或运行僵尸网络的计算。资源。
欺骗系统会检测哪种类型的活动？
最先进的欺骗系统可检测各种威胁，不依赖于已知签名，数据库查找或模式匹配：
使用欺骗有什么好处？
使用欺骗有很多好处。其中最重要的是它减少了停留时间和平均检测和修复时间。此外，通过参与，它为取证提供了更深入的情报，包括妥协指标（IOC）和战术，技术和程序（TTP）。它也不依赖于理解每个攻击向量或方法，并且旨在检测早期侦察，凭证盗窃和横向移动。此外，只要您意识到存在新的攻击位置，在某些情况下，您可以轻松地在这些新的风险关键资产周围放置诱饵。我们为网络上的攻击者设置陷阱和诱饵。
基于欺骗的网络安全技术允许公司在没有网络安全的情况下获得内部威胁可视性。无论您是否拥有最复杂的安全控制，您都需要尽快了解网络上的威胁以及它们是否会对您造成伤害。这对大型和小型公司都非常有价值。无论是复杂还是简单，您都可以在煤矿找到金丝雀，并知道什么时候发生了不好的事情。
通过嵌入欺骗凭证来增强端点安全性，然后密切监视和捕获有关谁尝试使用此登录信息的信息。他们的端点解决方案还将提供可能的攻击路径映射，以快速了解攻击者如何移动以获取目标资产以及是否存在暴露或配置错误的凭据，这将有助于他们快速完成此操作。特别感兴趣的是，他们使用高交互欺骗来吸收恶意软件并延迟其传播，花时间让事件响应者消除感染，然后造成更多损害，在端点映射欺诈性网络共享以解决勒索软件攻击。
欺骗不仅可用于检测绕过其他周边防御的测试人员，还可用于验证渗透测试结果，因为检查可用作测试人员活动的非正式审计跟踪。
最后，正如我之前提到的，欺骗提供了一种改变攻击者和防御者之间力量平衡的方法。在过去，攻击者拥有权力 - 他们只需要成功一次，守卫必须成功。现在，在欺骗的情况下，防御者可以快速检测到攻击，了解攻击者的战术，并创建一个反对派攻击手册来超越他们的对手。攻击分析和取证变得更加有效和强大，高保真警报可自动执行事件响应操作，如阻止，隔离和威胁搜索。
单独测试是不够的。你需要能够对[攻击]采取行动。
了解攻击，取证攻击，然后对其进行响应。阻止，隔离，威胁搜索它并为未来建立更好的防御。这是积极防守的一部分。因此，尽早找出，缩短您的停留时间，缩短您的响应时间或响应时间。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 10年后，微软对Windows 7的支持即将停止。你的电脑升级了吗？

• 分享到：