下一代欺騙技術的三種常見類型
回想起當許多與會者聽到“欺騙”一詞時,蜜罐仍然是我想到的第一件事。的確,當欺騙技術在多年前首次出現時,蜜罐是描述欺騙工作方式的最類似技術,因為蜜罐試圖欺騙攻擊者與其進行交互。但是,自20世紀90年代蜜罐問世并于21世紀首次商業化以來,欺騙已走了很長一段路。把新一代的欺騙技術叫做什么,只是不要叫它蜜罐。
定義下一代欺騙技術首先要說明它不是什么:一種愚蠢的,易于指紋識別的,旨在引誘不幸的,毫無戒心的黑客們注定要滅亡。
下一代欺騙技術——早期威脅檢測
當今的欺騙技術提供了最早和最有效的檢測周邊威脅的手段,使用了從端點數據到誘餌的一系列欺騙手段。根據Gartner的定義,欺騙平臺包括用于實施,管理和監視誘餌的系統,用于創建和分發誘餌的工具,以及隨后刷新或刪除這些欺騙的方法。為了有效地進行檢測,欺騙必須是不可檢測的并且是不可避免的。
隨著市場的發展,出現了三種常見的欺騙類型。完全交互誘餌(蜜罐),部分或低交互仿真誘餌以及端點數據欺騙。讓我們花一點時間將這些欺騙類別進一步細分。
完全交互誘餌(néeHoneypots)
完全交互式誘餌(FID)并不意味著早期檢測到威脅,而且它們并沒有——至少不是很好,而且根本無法始終如一。完全交互誘餌以主機的形式(物理的或虛擬的)存在于網絡上,其目的是要被犯罪分子攻擊和破壞。由于完全交互誘餌是在網絡上部署的完全功能性的系統,因此完全交互誘餌很難廣泛分布,并且維護和實施的資源非常繁瑣,因此通常只部署有限的完全交互誘餌,這意味著不適用于檢測用例。攻擊者必須將其絆倒或引誘到完全交互誘餌中,以使它們不會上升到檢測所需的“不可避免”或“無法避免”的水平。完全交互誘餌最初旨在讓防御者觀察正在進行的攻擊,但仍可以在威脅研究中發揮作用。然而,越來越復雜的現成的工具,如蜜罐破壞者意味著今天的攻擊者不太可能被一個完全交互的誘餌長期愚弄。
部分或低交互仿真誘餌
部分交互或低交互誘餌使用仿真來欺騙攻擊者試圖與設備進行交互。從概念上講,這些欺騙就像舞臺布景。攻擊者在企圖闖入時被“抓住”,但門的另一側沒有東西。這種誘餌的示例是設備或應用程序,它非常詳細地模擬大型機管理員控制臺的登錄屏幕。當攻擊者嘗試使用被盜的憑據登錄時,攻擊者會收到一條錯誤消息,并且系統會觸發警報。經常部署仿真來保護諸如醫療和物聯網設備之類的“不可觸摸”的系統,并且隨著物聯網技術的廣泛普及,仿真在欺騙中扮演著更具戰略性的角色。仿真誘餌通常更易于部署和支持, 因此更容易避免。
但是請注意,試圖通過他們在任何一天所支持的仿真數來判斷欺騙商販是一個愚蠢的差事。任何單一供應商都不太可能提供所設想的數百萬個IoT設備所需的所有仿真,因此在這里,API以及合作伙伴和客戶進行仿真的能力可能會迅速發展。
端點數據欺騙
端點數據欺騙僅包含靜態數據組成。攻擊者首次進入網絡時,他們會落在端點上。從那里開始,他們在成為“離開陸地”的過程中,部署了攻擊工具來調查環境并搜索合法的憑據,以提升其特權以及與其他端點和服務器的連接。一旦發現,該數據將用于惡意遍歷網絡。
作為阻止攻擊者的第一步,必須從網絡中刪除這些有效的憑據和連接。僅此一項“清理”操作就會減慢或阻止攻擊者“在陸地上生存”的能力,從而以一種通常不在補丁程序側重的漏洞管理解決方案所無法涵蓋的方式來減少潛在的攻擊面。欺騙供應商對這一重要過程的處理方法各不相同,因此不要被營銷炒作所愚弄。在您自己的環境中執行測試。攻擊風險評估,它提供有關“憑據和連接”環境當前狀態的令人驚訝的數據。
攻擊檢測過程的下一步是在攻擊者一定會遇到的地方放置虛假信息;例如,將偽造的憑據和連接數據放在只有攻擊者才能找到的端點的緩存中。領先的供應商提供了許多不同的端點欺騙系列,包括文件,文件系統,電子郵件,RDP連接等等。一旦攻擊者與任何這些虛假數據進行交互,就會觸發高保真警報,準確顯示嘗試了什么以及在何處進行了攻擊。供應商在收集和分發此憑證信息的方法上有所不同。
是什么使當今的欺騙技術成為下一代?
如今,機器智能和自動化技術使欺騙平臺能夠發現網絡系統,并知道攻擊者與它們之間的關系。智能欺騙系統可以推薦并制作針對每個系統定制的真實網絡,系統,應用程序,服務器和數據欺騙,并表現為環境的本機。人工智能驅動的自動化還可以使復雜的網絡欺騙網絡不斷發展并與時俱進,即使威脅和業務發生變化,即使在最大的網絡上也是如此。
最后,下一代欺騙技術還可以與其他安全解決方案輕松集成,從而使其威脅檢測功能可以增強其他技術的解決能力。例如,端點檢測和響應(EDR)以及安全信息和事件管理(SIEM)系統可以在攻擊生命周期的更早點從下一代欺騙工具接收高保真警報。這樣,與下一代欺騙手段一道部署此類解決方案的組織可以在攻擊者能夠接近任何地方之前加快調查和緩解風險。
