欺騙技術，一種通過虛假資產來迷惑攻擊者的安全策略，預計將在2024年開始流行，并在2025年末成為安全運營的標配。

盡管欺騙技術目前仍然受到業界一些質疑，但2024年十個重要趨勢(四大技術趨勢和六大應用趨勢)將一舉確立其在安全運營中的主流地位。

改變欺騙技術的四大技術趨勢

網絡安全和企業IT的融合正在大大簡化欺騙技術。2024年，四大技術趨勢即將徹底改變欺騙技術的工作方式，這些趨勢包括安全數據湖部署、云計算、API連接性和生成式AI：

一、安全數據湖部署：企業正在實施來自各大科技廠商和云服務商的海量安全數據湖方案。欺騙技術將不斷分析這些海量數據，以更好地了解正常和異常行為，作為欺騙模型的基線。

二、云計算：應用于欺騙技術的大語言模型需要大量資源來處理和存儲數據。因此，欺騙技術很可能會以SaaS云服務的形式提供，位于現有安全運營技術之上，從而實現欺騙技術的快速普及。

三、API連接：除了安全數據湖之外，欺騙技術還將植入IaaS、資產管理系統(Gartner定義為網絡資產攻擊面管理)、漏洞管理系統、攻擊面管理系統、云安全態勢管理(CSPM)等。打通API后，欺騙系統能夠全面了解企業的混合IT應用程序和基礎設施。

四、生成式AI：基于大語言模型的生成式AI可以生成以假亂真的誘餌(虛假資產或虛假服務)、合成的網絡流量和“面包屑”(即放置在真實網絡上的虛假資產)。這些欺騙元素可以在混合網絡環境中戰略性地、大規模自動部署。

新興欺騙技術的六大應用趨勢

上述技術趨勢為欺騙技術融入企業IT和安全運營系統提供了技術基礎，以下是2024年欺騙技術的六大應用趨勢：

一、集成到多個IT掃描/態勢管理工具，以“學習”環境信息，包括：資產(包括OT和物聯網資產)、IP范圍、網絡拓撲、用戶、訪問控制、正常/異常行為等。先進的網絡靶場已經可以做到其中一些功能，而欺騙系統將建立在這種合成環境之上，持續進行掃描、數據收集、處理和分析，以跟上混合IT環境、安全防御和威脅態勢的變化。

二、采集和分析威脅情報。根據企業的位置和行業，欺騙系統將分析和總結網絡威脅情報，尋找特定的對手群體、威脅活動以及通常針對此類公司的對手策略、技術和程序(TTP)。欺騙系統將與各種MITREATT&CK框架(云、企業、移動、ICS等)錨定，以獲得對手TTP的精細畫像。

三、檢查企業安全防御問題。基于威脅情報分析和對手TTP精細畫像，欺騙系統可用于檢查企業的安全防御措施，包括防火墻規則、端點安全控制、IAM系統、云安全設置、檢測規則等。然后，使用MITREATT&CK導航器來發現安全覆蓋范圍的差距。

四、生成定制化誘餌。所有安全運營數據都可用于訓練欺騙大模型，生成定制的面包屑、誘餌和金絲雀令牌。這些誘餌可以讓管理一萬個資產的企業看起來像一家電信公司，擁有數十萬甚至數百萬個應用程序、數據元素、設備、身份等資產，可用于吸引和迷惑對手。

五、欺騙技術還將與檢測工程緊密協作。生成式人工智能可以同時創建欺騙元素和同伴檢測規則。這方面MITRE Engage欺騙框架和社區可以提供支持。安全廠商和MITRE可能會在Engage的商業實施方面進行合作。

六、重點行業：醫療和制造。行業方面，欺騙技術特別適用于使用大量OT/IoT技術的行業，例如醫療和制造業，這些行業使用大量無法托管安全代理的OT/IoT技術，對欺騙技術的需求尤為迫切。后者可通過模擬OT/IoT設備，生成以假亂真的生產設備資產。

雖然不同企業有著不同的欺騙技術需求，但可以預見的是，ISAC這樣的行業組織也會參與到行業安全大模型的微調，以此提升整個行業的安全防護能力。

總結：融合與普及才能兌現欺騙技術的價值

與IT和安全系統融合和聯通后，欺騙系統的所有掃描、數據收集、處理和分析都將持續進行，以跟上混合IT環境、安全防御和威脅形勢的變化。當企業實施新的SaaS服務、部署生產應用程序或對其基礎設施進行更改時，欺騙引擎會記錄這些更改并相應地調整其欺騙技術。

與傳統的蜜罐不同，新興的欺騙技術不需要尖端知識或復雜的設置。雖然一些先進的企業可能會定制自己的欺騙網絡，但更多公司會選擇默認設置。在大多數情況下，基本配置足以迷惑對手。這意味著，通過云服務提供的標準化產品將能大大加快欺騙技術的普及，幫助企業改善威脅檢測和響應，提高安全運營能力。