2021年:欺騙性防御技術爆發元年
網絡、網絡攻擊以及阻止網絡攻擊的策略都在不斷發展。“安全欺騙”就是其中一種新興的網絡防御策略。不過,如果詢問任何一位網絡安全專業人員如何定義欺騙技術,他可能會提到蜜罐或蜜網。這種說法并沒有錯,只是已經過時,就像人們對欺騙技術存在的諸多誤解一樣,例如認為欺騙技術過于復雜,用例有限,并且僅對安全研究人員有用等等。本文將帶大家詳細了解關于欺騙技術的那些事。
何為欺騙技術(Deception Technology)
《孫子兵法》曾言,“一切戰爭都是建立在欺騙的基礎上的”。“欺騙”是戰爭中使用的經典戰術,無論是作為乙方保護還是作為攻擊敵人的機制。網絡欺騙策略背后的想法亦如是。
欺騙技術的目的是防止設法滲透到網絡中的網絡犯罪分子造成任何重大破壞。該技術通過創建能夠模仿整個基礎架構中合法技術資產的陷阱或欺騙誘餌,來欺騙網絡罪犯以為他們發現了一種提升特權和竊取憑據的方法,而一旦攻擊者觸發陷阱,警報就會傳輸到中央欺騙服務器中,該服務器會記錄受影響的誘餌以及網絡犯罪分子所使用的攻擊媒介,以便防御者觀察攻擊者的行為。
與沙箱和蜜罐的區別
“安全欺騙”是安全行業中相對較新的一個術語,其誘使攻擊者以為自己訪問了機密或重要的內容,以便防御者可以監視其行為。相對較舊的技術(例如沙箱和蜜罐)則是以不同的方式來做著同樣的事情,因此很多人會將這些術語混為一談。下面就為大家解釋這三種技術之間的區別以及每種技術的理想用例。
沙箱(Sandboxing)
自網絡和第三方程序問世以來,幾乎就已經存在分析網絡流量和程序的需求。沙箱于1970年代引入,用于測試人工智能應用程序,它允許惡意軟件在封閉的環境中安裝和運行,研究人員可以在封閉的環境中監視其行為以識別潛在的風險和對策。
如今,有效的沙箱通常是在虛擬主機的專用虛擬機上執行的。這么做可以在與網絡隔離的主機上用多種操作系統安全地測試惡意軟件。安全研究人員會在分析惡意軟件時采用沙箱技術,很多高級反惡意軟件產品也用沙箱來根據可疑文件的行為確定其是否真的是惡意軟件。這些種類的反惡意軟件解決方案正變得越來越重要,因為許多現代惡意軟件都被混淆以避免使用基于簽名的防病毒軟件。
理想用例——大多數企業無法像專門的研究人員或供應商一樣,以復雜的技術能力和專業知識來進行惡意軟件分析。小型企業通常會從提供商的沙盒部署服務中受益最大。
蜜罐(Honeypots)
蜜罐和蜜網就是為誘捕攻擊者而專門設置的脆弱系統。蜜罐是誘使攻擊者盜取有價值數據或進一步探測目標網絡的單個主機,1999年開始出現的蜜網則是為了探清攻擊者所用攻擊過程和策略。
蜜網由多個蜜罐構成,常被配置成模擬一個實際的網絡,有文件服務器、Web服務器等等,目的是讓攻擊者誤以為成功滲透進了網絡,但實際上進入的是一個隔離環境,并提供給研究人員的進行研究。
蜜罐可以讓研究人員觀測真實的攻擊者是怎么操作的,而沙箱僅揭示惡意軟件的行為。安全研究人員和分析師通常就是出于觀測攻擊者行動的目的而使用蜜罐和蜜網,通過注意新攻擊方法和實現新防御加以應對,來改善網絡安全狀況。蜜網還能浪費攻擊者的時間,讓他們因毫無所獲而放棄攻擊。
理想用例——這種方式對于經常成為黑客攻擊目標的政府組織和金融機構非常有用,但是任何中型或大型企業都將從蜜罐/蜜網中收益。中小型企業(SMB)也可以從中受益,這取決于他們的業務模型和安全狀況,但是很多SMB都沒有能夠建立或維護蜜罐的安全專家。
欺騙性防御技術
欺騙防御則是一個新的術語,其定義尚未定型,但基本指的是一系列更高級的蜜罐和蜜網產品,能夠基于所捕獲的數據為檢測和防御實現提供更高的自動化程度。
欺騙技術分不同層次,有些類似高級版的蜜罐,有些具備真實網絡的所有特征,包括真正的數據和設備。這種欺騙技術可以模仿并分析不同類型的流量,提供對賬戶和文件的虛假訪問,更為神似模仿內部網絡。有些安全欺騙產品還可以自動部署,讓攻擊者陷入更多信息的循環中,令用戶能更具體更真實地響應攻擊者。欺騙防御產品按既定意圖運作時,黑客會以為已經滲透到受限網絡中,正在收集關鍵數據。
理想用例——欺騙技術仍處于起步階段,而對于大多數新的安全技術而言,其最初的用例大多是大型企業,這些企業能夠逐步將其推向市場。目前,政府機構、金融機構和研究公司對該技術最為關注。不過,企業組織仍然需要安全分析師分析來自安全欺騙工具的數據,因此,沒有專業安全人員的小型公司通常無法從中收益。
總的來說,所有這些安全技術在預防與分析領域均具有其作用。從較高層次上看,沙箱允許惡意軟件安裝并運行,以供技術人員觀察其惡意行為;蜜罐和蜜網可以關注分析黑客在以為已被滲透的網絡上會進行的行動軌跡;欺騙防御則是更新的高級入侵檢測及預防策略,提供更為真實的蜜網,易于部署且能給用戶提供更多信息,但需要更多的預算和更高的專業技能要求。
為什么需要欺騙技術?
早發現早防御
沒有安全解決方案可以阻止網絡上所有攻擊的發生,但是欺騙技術通過使攻擊者相信他們已經在您的網絡上立足了,從而使攻擊者產生一種錯誤的安全感。自此,你可以安全地監視和記錄攻擊者的行為,因為他們并不會對誘餌系統造成任何實質的損害。而你記錄的有關攻擊者和行為和技術的信息可用于進一步保護網絡免受攻擊。
減少誤報和風險
無論是誤報還是警報疲勞都會阻礙安全工作,甚至根本無法分析,同時還會浪費很多資源。過多的噪音可能導致IT團隊變得自滿,而忽略了潛在的合法威脅。欺騙技術以最少的誤報率和高保真的警報,從而降低了噪音。
欺騙技術的風險也很低,因為它對數據沒有任何風險,也不會對資源或運營造成影響。當黑客訪問或嘗試使用欺騙層的一部分時,會生成真實、準確的警報,告訴管理員他們需要采取措施。
隨意擴展和自動化
雖然對公司網絡和數據的威脅成為人們日益關注的問題,但是安全團隊很少會增加預算來應對大量新威脅。因此,欺騙技術可能是非常受歡迎的解決方案。自動化警報消除了對手動工作和干預的需求,同時該技術的設計使它可以隨著組織和威脅級別的增長而輕松擴展。
從傳統網絡到物聯網
欺騙技術可用于為各種不同的設備提供面包屑,包括遺留環境,特定于行業的環境,甚至是IoT設備。
部署有效欺騙的7大戰術
作為一種主動防御方法和策略,如何才能最大限度地發揮欺騙技術的能力,以下是使用欺騙式防御手段快速檢測威脅的七個最佳戰術技巧和實踐:
1. 使用真實計算機作為誘餌
KnowBe4的數據驅動防御專家Roger Grimes稱,最好的欺騙誘餌是最接近真實生產資產的誘餌。如果欺騙設備與其他系統明顯不同,會很容易被攻擊者發現,因此,誘餌成功的關鍵是使其看起來像另一個生產系統。Grimes表示,攻擊者無法分辨生產環境中使用的生產資產和僅作為欺騙性蜜罐存在的生產資產之間的區別。
您的誘餌可以是企業打算淘汰的舊系統,也可以是生產環境中的新服務器。Grimes建議,請確保使用與實際生產系統相同的名稱——并將它們放在相同的位置-具有相同的服務和防御。
Acalvio的Moy說,關鍵在于要融入。避免使用明顯的跡象,例如通用MAC地址、常見的操作系統補丁程序以及與該網絡上的通用約定相符的系統名稱。
2. 確保您的誘餌顯得重要且有趣
威脅行為者討厭欺騙,因為他們知道欺騙會導致他們掉進“兔子洞”而不自知。Crypsis Group的首席顧問Jeremy Brown說,高級欺騙可以極大干擾攻擊者的活動,并使他們分心數小時,數天甚至數周。
他表示,一種常見的欺騙式防御技術是建立虛擬服務器或物理服務器,這些服務器看上去存儲了重要信息。例如,運行真實操作系統(例如Windows Server 2016)的誘餌域控制器對攻擊者來說是非常有吸引力的目標。這是因為域控制器包含Active Directory,而Active Directory則包含環境中用戶的所有權限和訪問控制列表。
同樣地,吸引攻擊者注意的另一種方法是創建在環境中未積極使用的真實管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權的賬戶,例如系統管理員、本地管理員或域管理員。如果發現賬戶中存在此類活動,則說明網絡中存在攻擊行為。
3. 模擬非傳統終端設備
Fidelis產品副總裁Tim Roddy說,在網絡上部署誘餌時,不要忘記模擬非傳統的端點。攻擊者越來越多地尋找和利用物聯網(IoT)設備和其他互聯網連接的非PC設備中的漏洞。因此,請確保網絡上的誘餌看起來像安全攝像機、打印機、復印機、運動探測器、智能門鎖以及其他可能引起攻擊者注意的聯網設備。
記住,你的誘餌需要融合到攻擊者期望看到的網絡場景和設備類型中,這里也包括物聯網。
4. 像攻擊者一樣思考
在部署誘餌系統或其他誘餌時,請站在對手的角度考慮你的網絡薄弱的,利用這種思想來制定檢測目標清單優先級,以彌補防御系統中的漏洞。
此外,還要考慮攻擊者可能需要采取的步驟類型以及攻擊目標。沿路徑布置一條面包屑痕跡,這些誘餌與對手可能的目標有關。例如,如果攻擊者的目標是憑據,請確保將偽造的憑據和其他基于Active Directory的欺騙手段作為策略的一部分。
5. 使用正確的面包屑講過攻擊者引誘過來
入侵員工PC的攻擊者通常會轉到注冊表和瀏覽器歷史記錄,以查看該用戶在何處查找內部服務器、打印機和其他設備。Fidelis的Roddy說,面包屑是模仿這些設備的誘餌的地址。
一個好的做法是將這些誘餌的地址放在最終用戶設備上。如果設備受到威脅,攻擊者可能會跟隨面包屑進入誘餌,從而警告管理員入侵已經發生。
6. 主要將欺騙用于預警
不要僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為。相反地,最好使用欺騙手段作為預警系統來檢測入侵,并將跟蹤和監視留給取證工具。
您想建立持續的監控并花費時間排除網絡上每項資產都能獲得的正常生產連接,例如與補丁和防病毒更新有關的連接。黑客不知道環境中的偽造或真實。它們將連接到看起來像生產資產的偽造欺騙資產,就像其他任何實際生產資產一樣容易。
Grimes表示,“根據定義,當蜜罐獲得意外連接時,這可能是惡意的。不要讓蜜罐警報出現在SIEM中,也不要立即進行調查。”
7. 保持欺騙的新鮮感
舊把戲是任何騙術的敵人。真正有效的欺騙技術,需要不斷翻新,以跟上用戶活動,應用程序乃至網絡暴露情況的變化。例如,新漏洞可能無法修補,但可以通過欺騙快速加以保護。
使用欺騙來增強在已知安全漏洞方面的檢測功能。這可能包括難以保護或修補的遠程工作人員的便攜式計算機、VPN網關網絡、合作伙伴或承包商網絡以及憑據。
欺騙技術發展現狀及趨勢
根據IDG發布的研究報告指出,2020年的安全預算平均值為7270萬美元,高于2019年的5180萬美元,而這些安全預算正用于積極研究和投資各種安全解決方案。其中,一些關鍵解決方案包括零信任技術(40%);欺騙技術(32%);微細分(30%)和基于云的網絡安全服務(30%)。
Markets and Markets 發布的一項最新的市場研究報告顯示,在2021年欺騙防御技術的市場規模將從現在的10.4億美元增長到20.9億美元,復合年增長率(CAGR)約為15.1%。
而Mordor Intelligence則估計稱,到2025年,市場對網絡安全欺騙式防御工具的需求將達到25億美元左右,而2019年僅為12億美元。大部分需求將來自政府部門、全球金融機構和其他頻繁發生網絡攻擊的目標。
可以肯定的說,欺騙技術會變得越來越流行,而2021年的以下趨勢將推動欺騙技術發展成主流:
MITRE Shield
MITRE公司在其官網上將Shield定義為“MITER正在開發的主動防御知識庫,用于捕獲和組織關于積極防御和對手交戰的知識,旨在為防御者提供用于對抗網絡對手的工具。”此外,主動防御被定義為“采取有限的進攻行動和反擊,以阻止敵人侵犯有爭議的地區或陣地”。鑒于眾多組織已經開始采用MITRE ATT&CK,因此他們很可能會將Shield作為一種補充計劃。欺騙技術在Shield中具有大量主動防御用例。
SOC現代化
隨著組織規模化和自動化操作、集成安全工具(例如將其集成到SOAPA體系結構中)的使用,為了更好地了解其攻擊面而采用高級分析以及實施自動化安全測試工具,2021年SOC現代化運動將蓬勃發展。而欺騙技術作為主動傳感器和可調安全控制,將能夠很好地適應這些變化。
勒索軟件應對策略
教育、醫療保健和州、地方政府等行業在與勒索軟件的斗爭中需要幫助。欺騙技術不是萬能藥,但它可以幫助檢測跨協議(例如服務器消息塊(SMB))的橫向移動,以最大程度地減少損害。還可以部署或調整欺騙技術誘餌,以防御其他網絡攻擊戰役的戰術、技術和程序(TTP)。
欺騙技術并不是一勞永逸的解決方案,但是根據已經部署該技術的企業組織反映,欺騙技術是一種見效快的“速效藥”。CISO可以快速部署欺騙技術并獲得近期收益,就這一項好處就能夠增加欺騙技術在后疫情時代的受歡迎程度。
參考鏈接:
https://www.marketsandmarkets.com/Market-Reports/deception-technology-market-129235449.html
https://www.darkreading.com/vulnerabilities---threats/vulnerability-management/7-tips-for-effective-deception/d/d-id/1338175
https://www.idg.com/news/idgs-2020-security-priorities-research-outlines-new-security-practices-investments/
https://www.darkreading.com/endpoint/the-difference-between-sandboxing-honeypots-and-security-deception/a/d-id/1332663
https://www.csoonline.com/article/3600217/why-2021-will-be-a-big-year-for-deception-technology.html
如若轉載,請注明原文地址。
