2019年05月10日
1. 欺騙一直被用于戰爭行為:現在如何在網絡安全行業中使用欺騙手段?
幾千年來,欺騙一直被用于戰爭,法律,體育和賭博,以在對手的思想中產生不確定性和混亂,這將延遲和操縱他們的努力,并將影響和誤導他們的觀念和決策過程。
根據定義,軍事欺騙“旨在阻止敵對行動,增加友好防御行動的成功率,或改善任何潛在的友好進攻行動的成功。
”網絡欺騙與此定義一致,并基于旨在混淆網絡的計劃,有意和受控制的行為。反過來,這會影響攻擊者犯錯誤,花更多時間區分真假,并使攻擊的經濟性不合需要,從而迫使攻擊者采取有利于防御者安全態勢的行動。
網絡欺騙通過創建出現作為生產資產的誘餌來實現,并且旨在吸引對手。這與欺騙誘餌或誘餌配對,顯示為誘人的憑據,應用程序或數據,并將導致攻擊者參與欺騙環境。欺騙的使用有效地導致攻擊者通過網絡,揭示動機,技術和意圖,可用于收集對手情報,生成可操作的警報以及加速事件響應。
與物理戰爭一樣,通過使用欺騙性技術,網絡防御者可以誤導和/或混淆攻擊者,從而增強他們的防御能力。欺騙,指導和引導對手遠離關鍵資產的能力,使攻擊者無法實現其目標并揭示他如何能夠通過網絡。它還具有增加攻擊者成本的好處,因為他們現在必須從虛假中解讀真實內容,并且經常不得不重新開始攻擊。
2. 欺騙與傳統蜜罐有何不同?
蜜罐最初是為研究而設計的,并且在網絡外部放置了誘餌以確定誰在攻擊該組織。它不是為擴展而設計的,操作效率非常低。
商業欺騙技術專為網內威脅檢測而設計,能夠檢測來自所有矢量和所有攻擊面的威脅。
為實現這一目標,欺騙必須通過3個主要障礙。首先,要有吸引力和可信; 第二,擴大覆蓋所有攻擊面; 第三,易于操作。為了具有吸引力和可信度,欺騙必須與生產環境相同,運行相同的操作系統和服務。
早期的蜜罐技術被模仿,并且攻擊者不需要花費很長時間來弄清楚如何識別和避免它們。全面的欺騙技術平臺支持幾乎無限的可擴展性,涵蓋從用戶網絡到云數據中心到獨特的物聯網或ICS部署的所有內容。能夠在端點上植入誘餌以誘使攻擊者并將其重定向到欺騙環境中也很重要。蜜罐缺乏此功能。最后一個重要區別在于欺騙的準備,部署和操作。
機器學習現在可以在一小時內完全自動完成此過程,而蜜罐則需要在攻擊后手動設置和重建。欺騙的直觀性使得管理變得非常簡單,而蜜罐則需要高技能資源。最新的欺騙方法還提供自動攻擊分析,事件響應自動化,以及攻擊路徑,網絡設備更改和攻擊時間失效重放的可見性工具。這些功能在蜜罐中根本不存在。
3. 欺騙技術如何使組織能夠占據網絡攻擊者的優勢?
大多數傳統的安全控制和技術旨在創建計算機系統的邊界,并專注于試圖阻止外圍的非法訪問嘗試。這些“墻”不斷受到自動化開發工具的攻擊,攻擊者將不斷在計算機上進行偵察或進行網絡釣魚活動,直到他們發現漏洞無法滲透到未被發現的網絡中。
不幸的是,在整個停止攻擊的過程中,系統防御者通常會在此過程中對入侵者的目標或動機了解甚少或根本沒有學習。遺憾的是,立即轉移攻擊的愿望也付出了代價。一個可能無意中使得保護計算機系統的任務變得更加困難,但是在每次不成功的攻擊之后對手都會變得更強大。
欺騙技術通過準備組織來改變攻擊的不對稱性,無論網絡攻擊的類型如何,無論攻擊面如何都能提供早期檢測,收集有關攻擊起源,工具,技術和動機的信息,同時提供攻擊分析,從而賦予權力防御者采取果斷行動,自動化響應,并建立主動防御。
該組織還將受益于高保真警報,這些警報具有可操作性和自動化功能,可用于了解攻擊,信息共享和響應事件。
4. 網絡欺騙計劃如何為風險管理增加價值?
擁有網絡欺騙計劃的價值是多方面的,可以增加IT資產風險管理和數字風險管理的價值:
及早準確地檢測繞過外圍防御的威脅。這包括早期偵察,橫向移動以及通常難以檢測的憑證盜竊。
洞察防御者的安全狀態的可靠性以及攻擊者如何能夠突破防御。這將更全面地了解您的網絡的優勢和劣勢,并確定攻擊者最有可能嘗試獲取訪問權限的區域。
意識到可能受到攻擊的風險和業務功能。正確規劃,設計和實施欺騙活動可以識別以前未知和潛在易受攻擊的資產,以及攻擊者可以利用的路徑在環境中移動。
欺騙,指導和引導對手遠離關鍵資產的能力,否定犯罪者的目標并揭示他想如何通過網絡。然后,可以應用這種在他們不知情的情況下誤導和/或混淆攻擊者的能力,以加強整體防御能力。
減少與使用物聯網或云等新技術相關的增加的安全風險模型,這可能是競爭性業務產品和服務所需要的。
收集對手情報,可以果斷地應用以阻止攻擊,威脅搜捕和根除威脅。然后,組織可以設置欺騙和陷阱以降低返回風險。
筆測試期間的證據或對內部人員和供應鏈相關的安全計劃彈性或風險的持續漏洞評估。
欺騙還有增加攻擊者成本的好處,因為他們現在必須從虛假中解讀真實內容,并且經常不得不重新開始攻擊或完全放棄攻擊。增加攻擊的復雜性可能是一種強大的威懾力,并導致成為攻擊主要目標的可能性降低。
5. 高級威脅被證明可以繞過外圍防御,那么一旦違反組織,欺騙行為如何受益呢?
許多人會爭辯說,網絡戰現在已經在網絡中移動,并且沒有現實的方法可以讓攻擊者徹底離開。欺騙技術是為主動防御而構建的,可以及早準確地檢測網絡內攻擊者,并提供了解攻擊者所在位置所需的根本原因分析,工具,技術,方法和動機。
好處包括能夠改變攻擊的不對稱性并迫使攻擊者在100%的時間內保持正確或顯示他們的存在。
它為防御者提供了進攻策略,旨在及早準確地探測威脅,無論攻擊媒介或表面如何,以及快速阻止攻擊和加強防御所需的對手情報。
欺騙技術的本質為組織提供了許多優勢:它們被迫浪費時間和資源,并由防御者指導特定的行為模式。它還使對手揭示了自己的弱點和方法; 這創造了一個活躍的循環,防御者可以通過它來改善自己的防御。
6. 什么欺騙技術可以幫助我們更多地了解網絡犯罪分子的活動?
與其他旨在簡單阻止攻擊的安全控制不同,欺騙技術提供了一種高度的交互欺騙環境,可以針對威脅情報以及有關工具,技術,目標以及威脅如何通過網絡的信息來研究攻擊者的活動。憑證和應用程序欺騙還將提供有關企圖盜竊和重用合法憑據的見解。與命令和控制安全通信的功能還將提供對多態或時間觸發活動的寶貴見解,并將提高防御者根除威脅和防止其返回的能力。誘餌文檔等高級功能對于了解攻擊者的目標和提供地理位置信息也很有用。
7. 您如何看待未來欺騙技術的發展?
鑒于其準確性和有效性,欺騙正成為安全堆棧中事實上的檢測控制。許多組織專門為2019年的欺騙項目編制預算,預計這將繼續推動采用的快速趨勢。此外,根據報告,在未來兩年內,欺騙技術市場估計將增長84%。
欺騙技術在過去幾年中已經成熟,現在已經在全球范圍內廣泛應用于各種攻擊面的網絡,端點,應用和數據欺騙技術,包括數據中心,云,用戶網絡,遠程辦公室,物聯網,ICS,POS和基礎設施。我們的有影攻擊誘捕系統是全面的欺騙平臺,可有助于收集對手情報,并通過本地集成自動化事件響應。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。