網(wǎng)絡攻擊的模式是眾所周知的，目標也是如此。黑客正試圖闖入以獲取有價值的數(shù)據(jù)或采取有利于他們的行動，并希望盡可能長時間不被發(fā)現(xiàn)。有許多解決方案致力于預防，系統(tǒng)鎖定，防止橫向移動，以及以其他方式檢測異常行為。

然而，檢測的挑戰(zhàn)是如何更快，更全面地做到這一點，以最高的成功機會，同時最大限度地減少運營開銷和誤報。這就是現(xiàn)在在各種產(chǎn)品中實現(xiàn)的欺騙技術至關重要的地方。

欺騙是過去在外部尋找邪惡行為者的東西的演變，它起源于蜜罐的想法 - 外部網(wǎng)站會吸引那些有不良意圖的人，以便能夠識別它們。雖然安全研究人員經(jīng)常使用蜜罐，但它對于企業(yè)來說并不是一種流行的技術。欺騙本質上采取了一種新的方法，并在網(wǎng)絡中移動威脅欺騙，為已經(jīng)滲透到外圍防御的威脅提供更有價值的洞察力。在這樣做的過程中，它提供了一種只生成高保真警報的方法，并且可以顯著減少檢測攻擊的時間。

今天使用欺騙方法，您可以利用看似可用的有價值的誘餌和信息來充分利用內(nèi)部基礎設施，任何人都不應該合法訪問這些誘餌和信息。如果有人訪問這些資產(chǎn)，您就知道您有入侵者或至少存在導致安全風險的策略違規(guī)。當攻擊者已經(jīng)在網(wǎng)絡內(nèi)部時，這種檢測機制特別有價值，例如內(nèi)部人員，受信任的第三方，供應商和承包商。

公司內(nèi)部的欺騙就像你在電影中看到的關于大搶劫的那些看不見的激光束絆網(wǎng)。當任何人試圖訪問這些內(nèi)部誘餌或欺騙憑證時，會觸發(fā)激光傳感器的數(shù)字等效物，并且您知道自己受到了攻擊。您還知道攻擊來自網(wǎng)絡內(nèi)部以及攻擊者如何試圖違反您的系統(tǒng)。然后，您可以在嘗試傳播時立即檢測到攻擊，無論是通過憑據(jù)竊取還是偵察。

一旦檢測到攻擊，就可以開始采取對策。可以立即關閉攻擊者的行為，或者可以觀察攻擊者。通過觀察他們所做的事情，可能會獲得有關誰正在攻擊以及他們正在嘗試做什么的更多信息。然后可以自動編譯高級取證數(shù)據(jù)，幫助安全團隊不僅可以檢測，還可以搜尋威脅和消除威脅。欺騙可以是參與所謂的主動防御的重要方式。在軍事方面，積極的防御被定義為“采用有限的進攻行動和反擊來拒絕敵人的有爭議的區(qū)域或位置。”這些行動的目的是改變攻擊的不對稱性并增加成本對網(wǎng)絡對手。

欺騙和平衡的網(wǎng)絡安全框架

欺騙是一種適合我們平衡的網(wǎng)絡安全框架的技術，作為NIST定義的檢測類別的一部分。網(wǎng)絡安全差距是什么，如何整合新組件，如何添加數(shù)據(jù)倉庫以幫助未來證明投資組合，以及如何從投資組合中獲得更多的商業(yè)利益。

但同樣重要的是要理解，隨著我們推進均衡投資組合方法并使其變得更加成熟，增加成熟度的關鍵方面之一是捕獲和標準化分析師所做的工作。這是至關重要的，因此對網(wǎng)絡安全事件的分析不會被困在個人分析師的個人電子表格或文檔中，而是可以共享和學習的劇本的一部分。這不僅有助于檢測攻擊，還可以防止攻擊，并有助于創(chuàng)建針對攻擊的自動協(xié)調(diào)響應。

如果公司能夠做到這一點，投資組合將能夠為業(yè)務增加價值，包括更深入地了解業(yè)務運營，例如識別關鍵事件或提供詳細的活動模型。我們不是將網(wǎng)絡安全事件視為病態(tài)，而是將業(yè)務視為一個整體，并確保業(yè)務的基本使命能夠以安全的方式進行。以這種方式支持業(yè)務的整體健康狀況。

在欺騙的情況下，可能會有大量的信息積累，攻擊分析和相關性，以確保攻擊被停止，清除和阻止返回。安全控制之間的內(nèi)部信息共享使您能夠在自己的組織中更有效，并建立更強大的安全防御。然后是更廣泛的觀點，即跨行業(yè)或更廣泛地共享攻擊信息，以便每個人都可以從這些信息和知識中受益。

是什么讓欺騙起作用?

對于工作中的欺騙，你必須通過試圖誘騙他們與欺騙誘餌或誘餌進行交互來向對手展示看似真實的內(nèi)容，這樣可以讓你了解它們在你的系統(tǒng)內(nèi)以及它們?nèi)绾螆?zhí)行攻擊。顯然，這是一個古老的概念，用于商業(yè)和生活的各個方面。但我們關注的是如何在網(wǎng)絡安全領域正確實施這一概念。

為了使這些工作起作用，你必須能夠提供一個看似真實且對對手有吸引力的現(xiàn)實觀。如果您提供看似假的誘餌或目標，攻擊者將避免它們，因此，解決方案將無法正常工作。欺騙必須是真實和有吸引力的。這意味著真實的操作系統(tǒng)和憑證看起來與生產(chǎn)環(huán)境相同。

為了使欺騙有效，首先它必須是真實的。

攻擊者很復雜。為了欺騙他們，欺騙需要與生產(chǎn)資產(chǎn)和憑證相同。它需要足夠可信才能讓它們墮落。

此外，為了充分發(fā)揮欺騙的作用，它必須是全面的，涵蓋不斷變化的攻擊面。一些提供基于欺騙的網(wǎng)絡安全的供應商只關注一種形式的欺騙 - 如憑證，誘餌或數(shù)據(jù)文件。但是，如果你能夠通過放入憑證和映射的驅動對象來吸引所有攻擊方法和服務，以吸引網(wǎng)絡，云端以及物聯(lián)網(wǎng)，POS和SWIFT等專業(yè)場所的攻擊，那就更好了。使用今天的虛擬化技術，您可以使這些欺騙無處不在，這使您可以在任何地方發(fā)現(xiàn)攻擊的最高概率。在現(xiàn)代世界中，攻擊通常是多態(tài)的，這可能特別有用。

欺騙也必須是可擴展的。欺騙比其他檢測網(wǎng)絡安全威脅的方法更有效。您沒有查看試圖確定正常然后檢測異常的每個數(shù)據(jù)。相反，在欺騙的情況下，你會放入誘餌或誘餌，如果訪問它們，你就知道存在問題。沒有誤報。

因此，可伸縮性不是關于處理能力，而是關于設計和實現(xiàn)一套全面的真實誘餌，然后可以在整個環(huán)境中實施。一旦部署了這些誘餌，您就必須能夠定期管理和刷新它們以保持真實性。部署和響應的自動化是可擴展性和易于持續(xù)運營的真正關鍵。

欺騙也是獨一無二的，因為組織可以安全地在欺騙沙箱中與攻擊者進行更深入的取證。安全分析師可以比其他形式的檢測更安全地觀察攻擊者，因為受到攻擊的資產(chǎn)是誘餌。在正常攻擊中，分析師希望立即阻止攻擊訪問有價值的資產(chǎn)。通過欺騙，您可以與攻擊者交戰(zhàn)，然后激活對策。這可能是欺騙最獨特的方面，因為它改變了攻擊者和防御者之間的權力平衡，并且你比其他人更了解他們。改變攻擊的不對稱性至少會減緩攻擊并增加攻擊者的成本。在某些情況下，這也可以起到威懾作用，驅使攻擊者找到一個更容易的目標。

“部分基本問題是當你防止攻擊時，你沒有機會去研究它，”克蘭德爾說。“當你阻止它時，你會阻止它進入，但你沒有從中學習。丟失了有價值的信息，這些信息對于快速消除攻擊和防止攻擊返回至關重要。“

為什么我們需要一套靈活的欺騙技術?

我們需要一套靈活的欺騙技術，因為我們希望能夠將傳感器放置在可能受到攻擊的IT房地產(chǎn)的任何部分，并促進所有攻擊方法的早期檢測。您可以爭辯說，攻擊者大部分時間都在追蹤數(shù)據(jù)或憑據(jù)，但在現(xiàn)代世界中，他們真正追求的是他們可以利用的任何有價值的東西，包括可用于挖掘加密貨幣或運行僵尸網(wǎng)絡的計算資源。

欺騙系統(tǒng)會檢測哪種類型的活動?

最先進的欺騙系統(tǒng)檢測各種各樣的威脅，并且不依賴于已知簽名，數(shù)據(jù)庫查找或模式匹配：

使用欺騙有什么好處?

使用欺騙有很多好處。其中最重要的是它減少了停留時間和平均檢測和修復時間。此外，通過參與，它提供了更深入的對手智能取證，包括妥協(xié)指標(IOC)和戰(zhàn)術，技術和程序(TTP)。它也不依賴于了解每個攻擊向量或方法，并且旨在檢測早期偵察，憑證盜竊和橫向移動。此外，只要您認識到有一個新的攻擊地點，您就可以輕松地在某些情況下自動將誘餌放在這些新的風險關鍵資產(chǎn)周圍。

我們?yōu)榫W(wǎng)絡內(nèi)的攻擊者設置陷阱、誘餌。

基于欺騙的網(wǎng)絡安全技術允許公司在沒有網(wǎng)絡安全之前獲得內(nèi)部威脅可見性。無論您擁有最復雜的安全控制，還是沒有，您都需要盡快了解網(wǎng)絡中的威脅以及它們是否會對您造成傷害。這對于大型和小型公司來說都很有價值，無論是老練還是簡單，都可以在煤礦里找到金絲雀，知道什么時候發(fā)生了不好的事情。

通過植入欺騙憑證來增強端點安全性，然后密切監(jiān)視和捕獲有關嘗試使用此登錄信息的人的信息。他們的端點解決方案還將提供可能的攻擊路徑的映射，以便快速了解攻擊者如何移動以獲取目標資產(chǎn)，以及是否存在暴露或配置錯誤的憑據(jù)，這將有助于他們快速執(zhí)行此操作。特別感興趣的是，他們通過使用高交互欺騙來占用惡意軟件并延遲其傳播，為事件響應者花費時間以消除感染，然后造成更多傷害，從而在端點處映射欺騙性網(wǎng)絡共享以解決勒索軟件攻擊。

欺騙不僅可以用于檢測測試人員繞過其他周邊防御，還可以用于驗證滲透測試結果，因為檢測可以作為測試人員活動的非正式審計跟蹤。

最后，正如我之前提到的，欺騙提供了一種改變攻擊者和防御者之間力量平衡的方法。過去，攻擊者擁有權力 - 他們只需要成功一次，而后衛(wèi)必須一直成功。現(xiàn)在，在欺騙的情況下，防御者可以快速發(fā)現(xiàn)攻擊，了解攻擊者的戰(zhàn)術，并創(chuàng)建一個反對派的攻擊手冊，以超越他們的對手。攻擊分析和取證變得更具可操作性和強大功能，高保真警報可以實現(xiàn)事件響應操作的自動化，例如阻止，隔離和威脅搜尋。

單獨檢測是不夠的。你需要能夠對【攻擊】采取行動。

了解攻擊，對攻擊進行取證，然后對其進行響應。阻止，隔離，威脅搜尋它，為未來建立更好的防御。這是積極防守的一部分。因此，盡早發(fā)現(xiàn)，縮短您的停留時間，并縮短您的響應時間或做出反應的時間。