网络、网络攻击以及阻止网络攻击的计谋都在不停生长。“平安诱骗”就是其中一种新兴的网络防御计谋。不外,若是询问任何一位网络平安专业职员若何界说诱骗手艺,他可能会提到蜜罐或蜜网。这种说法并没有错,只是已经由时,就像人们对诱骗手艺存在的诸多误解一样,例如以为诱骗手艺过于庞大,用例有限,而且仅对平安研究职员有用等等。本文将带人人详细领会关于诱骗手艺的那些事。

作甚诱骗手艺(Deception Technology)

《孙子兵法》曾言,“一切战争都是确立在诱骗的基础上的”。“诱骗”是战争中使用的经典战术,无论是作为乙方珍爱照样作为攻击敌人的机制。网络诱骗计谋背后的想法亦如是。

诱骗手艺的目的是防止想法渗透到网络中的网络犯罪分子造成任何重大损坏。该手艺通过确立能够模拟整个基础架构中正当手艺资产的陷阱或诱骗诱饵,来诱骗网络罪犯以为他们发现了一种提升特权和窃取凭证的方式,而一旦攻击者触发陷阱,警报就会传输到中央诱骗服务器中,该服务器会纪录受影响的诱饵以及网络犯罪分子所使用的攻击前言,以便防御者考察攻击者的行为。

与沙箱和蜜罐的区别

“平安诱骗”是平安行业中相对较新的一个术语,其诱使攻击者以为自己接见了隐秘或主要的内容,以便防御者可以监视其行为。相对较旧的手艺(例如沙箱和蜜罐)则是以差其余方式来做着同样的事情,因此许多人会将这些术语混为一谈。下面就为人人注释这三种手艺之间的区别以及每种手艺的理想用例。

沙箱(Sandboxing)

自网络和第三方程序问世以来,险些就已经存在剖析网络流量和程序的需求。沙箱于1970年月引入,用于测试人工智能应用程序,它允许恶意软件在封锁的环境中安装和运行,研究职员可以在封锁的环境中监视其行为以识别潜在的风险和对策。

现在,有用的沙箱通常是在虚拟主机的专用虚拟机上执行的。这么做可以在与网络隔离的主机上用多种操作系统平安地测试恶意软件。平安研究职员会在剖析恶意软件时接纳沙箱手艺,许多高级反恶意软件产物也用沙箱来凭证可疑文件的行为确定其是否真的是恶意软件。这些种类的反恶意软件解决方案正变得越来越主要,由于许多现代恶意软件都被混淆以制止使用基于署名的防病毒软件。

理想用例——大多数企业无法像专门的研究职员或供应商一样,以庞大的手艺能力和专业知识来举行恶意软件剖析。小型企业通常会从提供商的沙盒部署服务中受益最大。

蜜罐(Honeypots)

蜜罐和蜜网就是为诱捕攻击者而专门设置的懦弱系统。蜜罐是诱使攻击者偷取有价值数据或进一步探测目的网络的单个主机,1999年最先泛起的蜜网则是为了探清攻击者所用攻击历程和计谋。

蜜网由多个蜜罐组成,常被设置成模拟一个现实的网络,有文件服务器、Web服务器等等,目的是让攻击者误以为乐成渗透进了网络,但现实上进入的是一个隔离环境,并提供应研究职员的举行研究。

蜜罐可以让研究职员考察真实的攻击者是怎么操作的,而沙箱仅展现恶意软件的行为。平安研究职员和剖析师通常就是出于考察攻击者行动的目的而使用蜜罐和蜜网,通过注重新攻击方式和实现新防御加以应对,来改善网络平安状态。蜜网还能虚耗攻击者的时间,让他们因毫无所获而放弃攻击。

理想用例——这种方式对于经常成为黑客攻击目的的 *** 组织和金融机构异常有用,然则任何中型或大型企业都将从蜜罐/蜜网中收益。中小型企业(SMB)也可以从中受益,这取决于他们的营业模子和平安状态,然则许多SMB都没有能够确立或维护蜜罐的平安专家。

诱骗性防御手艺

诱骗防御则是一个新的术语,其界说尚未定型,但基本指的是一系列更高级的蜜罐和蜜网产物,能够基于所捕捉的数据为检测和防御实现提供更高的自动化水平。

诱骗手艺分差异条理,有些类似高级版的蜜罐,有些具备真实网络的所有特征,包罗真正的数据和装备。这种诱骗手艺可以模拟并剖析差异类型的流量,提供对账户和文件的虚伪接见,更为神似模拟内部网络。有些平安诱骗产物还可以自动部署,让攻击者陷入更多信息的循环中,令用户能更详细更真实地响应攻击者。诱骗防御产物按既定意图运作时,黑客会以为已经渗透到受限网络中,正在网络要害数据。

理想用例——诱骗手艺仍处于起步阶段,而对于大多数新的平安手艺而言,其最初的用例大多是大型企业,这些企业能够逐步将其推向市场。现在, *** 机构、金融机构和研究公司对该手艺最为关注。不外,企业组织仍然需要平安剖析师剖析来自平安诱骗工具的数据,因此,没有专业平安职员的小型公司通常无法从中收益。

总的来说,所有这些平安手艺在预防与剖析领域均具有其作用。从较高条理上看,沙箱允许恶意软件安装并运行,以供手艺职员考察其恶意行为;蜜罐和蜜网可以关注剖析黑客在以为已被渗透的网络上会举行的行动轨迹;诱骗防御则是更新的高级入侵检测及预防计谋,提供更为真实的蜜网,易于部署且能给用户提供更多信息,但需要更多的预算和更高的专业技术要求。

为什么需要诱骗手艺?

早发现早防御

没有平安解决方案可以阻止网络上所有攻击的发生,然则诱骗手艺通过使攻击者信托他们已经在您的网络上驻足了,从而使攻击者发生一种错误的平安感。自此,你可以平安地监视和纪录攻击者的行为,由于他们并不会对诱饵系统造成任何实质的损害。而你纪录的有关攻击者和行为和手艺的信息可用于进一步珍爱网络免受攻击。

削减误报和风险

无论是误报照样警报疲劳都市阻碍平安事情,甚至基本无法剖析,同时还会虚耗许多资源。过多的噪音可能导致IT团队变得自满,而忽略了潜在的正当威胁。诱骗手艺以最少的误报率和高保真的警报,从而降低了噪音。

诱骗手艺的风险也很低,由于它对数据没有任何风险,也不会对资源或运营造成影响。当黑客接见或实验使用诱骗层的一部门时,会天生真实、准确的警报,告诉治理员他们需要接纳措施。

随意扩展和自动化

虽然对公司网络和数据的威胁成为人们日益关注的问题,然则平安团队很少会增添预算来应对大量新威胁。因此,诱骗手艺可能是异常受迎接的解决方案。自动化警报消除了对手动事情和干预的需求,同时该手艺的设计使它可以随着组织和威胁级其余增进而轻松扩展。

从传统网络到物联网

诱骗手艺可用于为种种差其余装备提供面包屑,包罗遗留环境,特定于行业的环境,甚至是IoT装备。

部署有用诱骗的7大战术

作为一种自动防御方式和计谋,若何才气最大限度地施展诱骗手艺的能力,以下是使用诱骗式防御手段快速检测威胁的七个最佳战术技巧和实践:

1. 使用真实盘算机作为诱饵

KnowBe4的数据驱动防御专家Roger Grimes称,最好的诱骗诱饵是最靠近真实生产资产的诱饵。若是诱骗装备与其他系统显著差异,会很容易被攻击者发现,因此,诱饵乐成的要害是使其看起来像另一个生产系统。Grimes示意,攻击者无法分辨生产环境中使用的生产资产和仅作为诱骗性蜜罐存在的生产资产之间的区别。

您的诱饵可以是企业计划镌汰的旧系统,也可以是生产环境中的新服务器。Grimes建议,请确保使用与现实生产系统相同的名称——并将它们放在相同的位置-具有相同的服务和防御。

Acalvio的Moy说,要害在于要融入。制止使用显著的迹象,例如通用MAC地址、常见的操作系统补丁程序以及与该网络上的通用约定相符的系统名称。

2. 确保您的诱饵显得主要且有趣

,

USDT交易平台

U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。

,

威胁行为者憎恶诱骗,由于他们知道诱骗会导致他们掉进“兔子洞”而不自知。Crypsis Group的首席照料Jeremy Brown说,高级诱骗可以极大滋扰攻击者的流动,并使他们分心数小时,数天甚至数周。

他示意,一种常见的诱骗式防御手艺是确立虚拟服务器或物理服务器,这些服务器看上去存储了主要信息。例如,运行真实操作系统(例如Windows Server 2016)的诱饵域控制器对攻击者来说是异常有吸引力的目的。这是由于域控制器包罗Active Directory,而Active Directory则包罗环境中用户的所有权限和接见控制列表。

同样地,吸引攻击者注重的另一种方式是确立在环境中未努力使用的真实治理员账户。威胁介入者倾向于寻找赋予他们更高特权的账户,例如系统治理员、内陆治理员或域治理员。若是发现账户中存在此类流动,则说明网络中存在攻击行为。

3. 模拟非传统终端装备

Fidelis产物副总裁Tim Roddy说,在网络上部署诱饵时,不要遗忘模拟非传统的端点。攻击者越来越多地寻找和行使物联网(IoT)装备和其他互联网毗邻的非PC装备中的破绽。因此,请确保网络上的诱饵看起来像平安摄像机、打印机、复印机、运动探测器、智能门锁以及其他可能引起攻击者注重的联网装备。

记着,你的诱饵需要融合到攻击者期望看到的网络场景和装备类型中,这里也包罗物联网。

4. 像攻击者一样思索

在部署诱饵系统或其他诱饵时,请站在对手的角度思量你的网络微弱的,行使这种头脑来制订检测目的清单优先级,以填补防御系统中的破绽。

此外,还要思量攻击者可能需要接纳的步骤类型以及攻击目的。沿路径部署一条面包屑痕迹,这些诱饵与对手可能的目的有关。例如,若是攻击者的目的是凭证,请确保将伪造的凭证和其他基于Active Directory的诱骗手段作为计谋的一部门。

5. 使用准确的面包屑讲过攻击者引诱过来

入侵员工PC的攻击者通常会转到注册表和浏览器历史纪录,以查看该用户在那边查找内部服务器、打印机和其他装备。Fidelis的Roddy说,面包屑是模拟这些装备的诱饵的地址。

一个好的做法是将这些诱饵的地址放在最终用户装备上。若是装备受到威胁,攻击者可能会追随面包屑进入诱饵,从而忠言治理员入侵已经发生。

6. 主要将诱骗用于预警

不要仅使用蜜罐和其他诱骗手段来试图跟踪或确定黑客的行为。相反地,最好使用诱骗手段作为预警系统来检测入侵,并将跟踪和监视留给取证工具。

您想确立延续的监控并破费时间清扫网络上每项资产都能获得的正常生产毗邻,例如与补丁和防病毒更新有关的毗邻。黑客不知道环境中的伪造或真实。它们将毗邻到看起来像生产资产的伪造诱骗资产,就像其他任何现实生产资产一样容易。

Grimes示意,“凭证界说,当蜜罐获自满外毗邻时,这可能是恶意的。不要让蜜罐警报泛起在SIEM中,也不要立刻举行考察。”

7. 保持诱骗的新鲜感

旧魔术是任何骗术的敌人。真正有用的诱骗手艺,需要不停翻新,以跟上用户流动,应用程序甚至网络露出情形的转变。例如,新破绽可能无法修补,但可以通过诱骗快速加以珍爱。

使用诱骗来增强在已知平安破绽方面的检测功效。这可能包罗难以珍爱或修补的远程事情职员的便携式盘算机、VPN网关网络、相助同伴或承包商网络以及凭证。

诱骗手艺生长现状及趋势

凭证IDG公布的研究讲述指出,2020年的平安预算平均值为7270万美元,高于2019年的5180万美元,而这些平安预算正用于努力研究和投资种种平安解决方案。其中,一些要害解决方案包罗零信托手艺(40%);诱骗手艺(32%);微细分(30%)和基于云的网络平安服务(30%)。

Markets and Markets 公布的一项最新的市场研究讲述显示,在2021年诱骗防御手艺的市场规模将从现在的10.4亿美元增进到20.9亿美元,复合年增进率(CAGR)约为15.1%。

而Mordor Intelligence则估量称,到2025年,市场对网络平安诱骗式防御工具的需求将到达25亿美元左右,而2019年仅为12亿美元。大部门需求未来自 *** 部门、全球金融机构和其他频仍发生网络攻击的目的。

可以一定的说,诱骗手艺会变得越来越盛行,而2021年的以下趋势将推动诱骗手艺生长成主流:

MITRE Shield

MITRE公司在其官网上将Shield界说为“MITER正在开发的自动防御知识库,用于捕捉和组织关于努力防御和对手征战的知识,旨在为防御者提供用于匹敌网络对手的工具。”此外,自动防御被界说为“接纳有限的进攻行动和还击,以阻止敌人侵略有争议的区域或阵地”。鉴于众多组织已经最先接纳MITRE ATT&CK,因此他们很可能会将Shield作为一种弥补设计。诱骗手艺在Shield中具有大量自动防御用例。

SOC现代化

随着组织规模化和自动化操作、集成平安工具(例如将其集成到SOAPA系统结构中)的使用,为了更好地领会其攻击面而接纳高级剖析以及实行自动化平安测试工具,2021年SOC现代化运动将蓬勃生长。而诱骗手艺作为自动传感器和可调平安控制,将能够很好地顺应这些转变。

勒索软件应对计谋

教育、医疗保健和州、地方 *** 等行业在与勒索软件的斗争中需要辅助。诱骗手艺不是万能药,但它可以辅助检测跨协议(例如服务器新闻块(SMB))的横向移动,以最洪水平地削减损害。还可以部署或调整诱骗手艺诱饵,以防御其他网络攻击战争的战术、手艺和程序(TTP)。

诱骗手艺并不是一劳永逸的解决方案,然则凭证已经部署该手艺的企业组织反映,诱骗手艺是一种奏效快的“速效药”。CISO可以快速部署诱骗手艺并获得近期收益,就这一项利益就能够增添诱骗手艺在后疫情时代的受迎接水平。

参考链接:

https://www.marketsandmarkets.com/Market-Reports/deception-technology-market-129235449.html

https://www.darkreading.com/vulnerabilities---threats/vulnerability-management/7-tips-for-effective-deception/d/d-id/1338175

https://www.idg.com/news/idgs-2020-security-priorities-research-outlines-new-security-practices-investments/

https://www.darkreading.com/endpoint/the-difference-between-sandboxing-honeypots-and-security-deception/a/d-id/1332663

https://www.csoonline.com/article/3600217/why-2021-will-be-a-big-year-for-deception-technology.html

Filecoin行情

Filecoin行情官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

USDT官网接口声明:该文看法仅代表作者自己,与本平台无关。转载请注明:filecoin矿池(www.ipfs8.vip):2021年:诱骗性防御手艺发作元年
发布评论

分享到:

万利逆商(www.ipfs8.vip):巴中市疾控中央宣布关于广东省新冠肺炎本土疫情的康健提醒
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。