這種做法越來(lái)越流行，因?yàn)榫W(wǎng)絡(luò)威脅變得如此普遍，而傳統(tǒng)的入侵檢測(cè)/預(yù)防系統(tǒng)發(fā)送了太多誤報(bào)信息，網(wǎng)絡(luò)威脅也很容易規(guī)避。盡管如此，威脅獵手無(wú)法捕捉到所有東西，而且沒有足夠的員工具備這些技能。那么，安全團(tuán)隊(duì)去哪里獲得一些幫助和緩解呢?越來(lái)越多的企業(yè)轉(zhuǎn)向主動(dòng)防御或欺騙技術(shù)，以幫助識(shí)別網(wǎng)絡(luò)攻擊者在其系統(tǒng)中的移動(dòng)。

 

顧名思義，欺騙技術(shù)就是試圖欺騙網(wǎng)絡(luò)攻擊者，讓他們認(rèn)為正在滲透具有價(jià)值的實(shí)際資產(chǎn)或訪問(wèn)有價(jià)值的數(shù)據(jù)，而他們實(shí)際上是在陷阱中摸索，這不僅讓他們?cè)跓o(wú)害的系統(tǒng)上浪費(fèi)時(shí)間，而且更容易觀察他們的攻擊措施。他們還為安全團(tuán)隊(duì)了解網(wǎng)絡(luò)攻擊者正在使用的工具、技術(shù)和程序提供幫助。然后，該智能可用于保護(hù)實(shí)際系統(tǒng)。

 

為了發(fā)揮作用，欺騙技術(shù)本質(zhì)上創(chuàng)造了模擬自然系統(tǒng)的誘餌和陷阱。這些系統(tǒng)之所以有效，是因?yàn)榱私獯蠖鄶?shù)網(wǎng)絡(luò)攻擊者的操作方式。例如，當(dāng)網(wǎng)絡(luò)攻擊者侵入系統(tǒng)時(shí)，他們通常會(huì)尋找建立持久性的方法，這通常意味著關(guān)閉后門。除了進(jìn)入后門之外，網(wǎng)絡(luò)攻擊者還會(huì)嘗試在企業(yè)內(nèi)部橫向移動(dòng)，將會(huì)嘗試使用被盜或猜測(cè)的訪問(wèn)憑據(jù)。當(dāng)網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)和系統(tǒng)時(shí)，他們將部署額外的惡意軟件并泄露數(shù)據(jù)。

 

借助傳統(tǒng)的異常檢測(cè)和入侵檢測(cè)/預(yù)防系統(tǒng)，企業(yè)試圖在其整個(gè)網(wǎng)絡(luò)和系統(tǒng)上發(fā)現(xiàn)這些正在進(jìn)行的網(wǎng)絡(luò)攻擊。盡管如此，問(wèn)題在于這些工具依賴于簽名或易受攻擊的機(jī)器學(xué)習(xí)算法，并會(huì)引發(fā)大量誤報(bào)。然而，欺騙技術(shù)觸發(fā)事件的門檻更高，但這些事件往往是真正的威脅參與者進(jìn)行真正的攻擊。

 

雖然欺騙技術(shù)以端點(diǎn)、服務(wù)器、傳統(tǒng)IT設(shè)備和網(wǎng)絡(luò)設(shè)備而聞名，但它們也可以用于物聯(lián)網(wǎng)設(shè)備，如銷售點(diǎn)系統(tǒng)、醫(yī)療設(shè)備等。在為任何企業(yè)購(gòu)買欺騙技術(shù)時(shí)，都需要考慮以下幾點(diǎn)：

 

·擴(kuò)展能力：為了行之有效，欺騙技術(shù)必須能夠在整個(gè)企業(yè)環(huán)境中部署。

 

·集中管理：隨著規(guī)模的擴(kuò)大，成千上萬(wàn)的端點(diǎn)和管理這些欺騙性資產(chǎn)的需求，最好是從集中式控制臺(tái)進(jìn)行管理。

 

·敏捷性：欺騙技術(shù)還必須部署在各種形式的因素中：內(nèi)部部署設(shè)施、云平臺(tái)、網(wǎng)絡(luò)設(shè)備、端點(diǎn)和物聯(lián)網(wǎng)設(shè)備。

 

·集成：收集到的信息欺騙技術(shù)對(duì)于安全運(yùn)營(yíng)中心、事件響應(yīng)團(tuán)隊(duì)和威脅獵手來(lái)說(shuō)非常寶貴。它對(duì)其他安全工具也很有價(jià)值，例如安全信息和事件管理器、防火墻、漏洞管理器以及傳統(tǒng)的入侵檢測(cè)和預(yù)防系統(tǒng)。尋找可以直接共享數(shù)據(jù)的欺騙技術(shù)，這與現(xiàn)有的安全工具箱配合得很好。

 

 

以下是目前市場(chǎng)上可用的一些欺騙技術(shù)：

 

(1)Acalvio ShadowPlex

 

Acalvio公司的ShadowPlex平臺(tái)可以大規(guī)模提供企業(yè)級(jí)欺騙服務(wù)。該公司表示，ShadowPlex旨在盡可能減少管理開銷和日常管理。他們的安裝框架靈活且可擴(kuò)展，可用于誘餌部署，并可選擇通過(guò)云平臺(tái)或內(nèi)部部署管理儀表板。

 

當(dāng)網(wǎng)絡(luò)攻擊者與誘餌交互時(shí)，可以在時(shí)間線、詳細(xì)的事件數(shù)據(jù)(例如數(shù)據(jù)包捕獲、日志捕獲和攻擊中使用的憑據(jù))中檢查信息。當(dāng)使用所謂的“高交互模式”時(shí)，ShadowPlex將提供所有鍵入的擊鍵行為、它們連接的網(wǎng)絡(luò)、任何文件修改以及誘餌中使用的任何系統(tǒng)進(jìn)程和工具。企業(yè)環(huán)境在不斷變化，ShadowPlex擁有對(duì)環(huán)境的持續(xù)評(píng)估并適當(dāng)?shù)馗抡T餌。

 

ShadowPlex可與威脅追蹤和安全運(yùn)營(yíng)團(tuán)隊(duì)使用的工具配合使用。因?yàn)樗a(chǎn)生很少的誤報(bào)，所以這些團(tuán)隊(duì)將獲得可用于事件響應(yīng)和主動(dòng)威脅追蹤的數(shù)據(jù)。ShadowPlex與安全信息和事件管理 (SIEM)和安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)的日志管理解決方案集成，例如Splunk、ArcSight和QRadar。

 

ShadowPlex還可以保護(hù)物聯(lián)網(wǎng)(IoT)傳感器和設(shè)備，甚至是構(gòu)成大部分運(yùn)營(yíng)技術(shù)(OT)領(lǐng)域的工業(yè)控制中心。對(duì)于物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)設(shè)備而言，擁有欺騙技術(shù)來(lái)保護(hù)它們至關(guān)重要，因?yàn)樵S多設(shè)備本身的原生安全性有限或沒有。這也使其成為醫(yī)療保健環(huán)境的不錯(cuò)選擇。它可以模仿臺(tái)式電腦和醫(yī)療設(shè)備之類的東西，根據(jù)他們的興趣引誘網(wǎng)絡(luò)攻擊者進(jìn)入其中任何一個(gè)。

 

(2)Attivo威脅防御欺騙和響應(yīng)平臺(tái)

 

2022年3月，SentinelOne公司收購(gòu)了Attivo Networks公司，雖然分析師認(rèn)為此次收購(gòu)的主要?jiǎng)訖C(jī)是Attivo監(jiān)控密碼和用戶異常的身份安全評(píng)估能力，但SentinelOne公司還獲得了Attivo Networks的網(wǎng)絡(luò)和基于云的欺騙能力。Attivo是首批為其產(chǎn)品添加響應(yīng)功能的欺騙技術(shù)開發(fā)商之一，該公司通過(guò)其Attivo威脅防御欺騙和響應(yīng)平臺(tái)進(jìn)一步推動(dòng)了這一點(diǎn)。該平臺(tái)可以部署在內(nèi)部部署、云平臺(tái)、數(shù)據(jù)中心或混合運(yùn)營(yíng)環(huán)境中。所有部署的誘餌似乎都是在網(wǎng)絡(luò)中使用的真實(shí)資產(chǎn)。

 

Attivo威脅防御欺騙和響應(yīng)平臺(tái)的目標(biāo)與其他欺騙工具集相同，即部署網(wǎng)絡(luò)攻擊者將與之交互的虛假資產(chǎn)，但實(shí)際用戶或者不知道，或者沒有理由接觸這些資產(chǎn)。一些誘餌比其他誘餌更公開一些，這有助于找出內(nèi)部威脅或窺探員工。在大多數(shù)情況下，欺騙資產(chǎn)旨在捕獲威脅者潛入網(wǎng)絡(luò)并試圖進(jìn)入一條更深入的路徑，獲取憑據(jù)，橫向移動(dòng)或徹底竊取數(shù)據(jù)。

 

一旦網(wǎng)絡(luò)攻擊者與Attivo威脅防御欺騙和響應(yīng)平臺(tái)的一項(xiàng)欺騙性資產(chǎn)進(jìn)行交互，它不僅僅會(huì)生成警報(bào)。它還與網(wǎng)絡(luò)攻擊者交互，發(fā)回侵入者可能期望的各種響應(yīng)。它可以激活沙盒，以便網(wǎng)絡(luò)攻擊者上傳的任何惡意軟件或黑客工具進(jìn)入沙盒環(huán)境。這不僅可以保護(hù)網(wǎng)絡(luò)，還可以檢查惡意軟件以確定網(wǎng)絡(luò)攻擊者的意圖和策略。

 

該平臺(tái)還允許管理員采取措施，例如隔離被網(wǎng)絡(luò)攻擊者用作啟動(dòng)平臺(tái)的系統(tǒng)或使受感染用戶的憑據(jù)過(guò)期。一旦用戶開始信任該平臺(tái)，一旦收集到任何重要的威脅情報(bào)，就可以將這些操作設(shè)置為自動(dòng)發(fā)生。欺騙和響應(yīng)平臺(tái)不僅提供了良好的欺騙技術(shù)，還幫助防御者快速提升響應(yīng)能力，這是一個(gè)重要優(yōu)勢(shì)。

 

(3)Illusive Shadow

 

Illusive Networks公司旨在使網(wǎng)絡(luò)攻擊者的成功橫向移動(dòng)變得虛幻。它通過(guò)為網(wǎng)絡(luò)攻擊者創(chuàng)建一個(gè)敵對(duì)的環(huán)境來(lái)實(shí)現(xiàn)這一點(diǎn)，因?yàn)樗麄冊(cè)噲D通過(guò)將端點(diǎn)變成欺騙工具來(lái)在企業(yè)環(huán)境中到處移動(dòng)。該公司稱，其無(wú)代理設(shè)計(jì)可防止黑客檢測(cè)到欺騙行為，Illusive Networks公司聲稱其欺騙技術(shù)在與微軟、Mandiant、美國(guó)國(guó)防部和思科等機(jī)構(gòu)和企業(yè)進(jìn)行的140多次紅隊(duì)演習(xí)中保持不敗。

 

因?yàn)樗菬o(wú)代理的，所以Illusive Shadow可以直接部署在內(nèi)部部署設(shè)施、云平臺(tái)或混合云中。正如人們所預(yù)料的那樣，Illusive Shadow誘餌以憑據(jù)、網(wǎng)絡(luò)連接、數(shù)據(jù)和系統(tǒng)以及攻擊者可能感興趣的其他項(xiàng)目的形式出現(xiàn)。Illusive Shadow還會(huì)隨著企業(yè)環(huán)境的變化而自動(dòng)擴(kuò)展和更改，并將為每臺(tái)機(jī)器定制端點(diǎn)誘餌。

 

安全分析師和安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)將對(duì)Illusive Shadow的管理控制臺(tái)如何模擬網(wǎng)絡(luò)攻擊者的接近程度感興趣，因?yàn)樗麄冋谂c誘餌、關(guān)鍵資產(chǎn)和攻擊者行動(dòng)的時(shí)間表進(jìn)行交互。

 

(4)CounterCraft網(wǎng)絡(luò)欺騙平臺(tái)

 

CounterCraft的網(wǎng)絡(luò)欺騙平臺(tái)通過(guò)ActiveLures捕獲攻擊者，可以自定義或基于模板。這些ActiveLure的“面包屑”分布在端點(diǎn)、服務(wù)器，甚至在GitHub等平臺(tái)上在線。欺騙并沒有隨著誘惑而停止;誘餌的工作是將攻擊者吸引到ActiveSense環(huán)境中。

 

ActiveSense環(huán)境基于代理收集的數(shù)據(jù)，并通過(guò)安全和分段的環(huán)境發(fā)回。整個(gè)系統(tǒng)旨在實(shí)時(shí)提供有關(guān)網(wǎng)絡(luò)攻擊者活動(dòng)的情報(bào)。CounterCraft公司表示，ActiveSense環(huán)境可以通過(guò)CounterCraft平臺(tái)快速部署和控制。

 

整個(gè)欺騙系統(tǒng)旨在靈活地在現(xiàn)有環(huán)境中工作，并與現(xiàn)有的安全、信息和事件管理系統(tǒng)以及威脅情報(bào)系統(tǒng)集成。它還適用于企業(yè)安全團(tuán)隊(duì)已經(jīng)習(xí)慣的格式，例如SysLog或OpenIOC。收集的威脅信息也可以自動(dòng)發(fā)送到其他機(jī)器以支持其他安全系統(tǒng)。

 

了解網(wǎng)絡(luò)攻擊者的一種有效方法是通過(guò)可視化圖表對(duì)他們的活動(dòng)進(jìn)行建模。CounterCraft的攻擊圖和來(lái)自欺騙平臺(tái)的實(shí)時(shí)反饋，可以幫助安全團(tuán)隊(duì)了解攻擊者的戰(zhàn)術(shù)、工具和程序。

 

(5)Fidelis Deception平臺(tái)

 

Fidelis Deception平臺(tái)聲稱可以輕松部署欺騙技術(shù)。欺騙資產(chǎn)通過(guò)下拉菜單和向?qū)Р渴穑蛇x擇讓Fidelis Deception平臺(tái)查看環(huán)境并自動(dòng)部署欺騙資產(chǎn)。它在部署與環(huán)境中其他任何內(nèi)容相匹配的資產(chǎn)方面做得很好。它將監(jiān)控網(wǎng)絡(luò)的發(fā)展和擴(kuò)展，就如何反映欺騙網(wǎng)絡(luò)中的這些變化提出建議。例如，如果一家企業(yè)安裝了一批新的物聯(lián)網(wǎng)安全攝像頭，F(xiàn)idelis Deception平臺(tái)將檢測(cè)到這一點(diǎn)，并提供部署具有類似特征的假攝像頭。它完全支持幾乎所有物聯(lián)網(wǎng)設(shè)備，并且在OT中也可以找到許多設(shè)備。

 

除了易于部署之外，F(xiàn)idelis Deception平臺(tái)還控制其虛假資產(chǎn)，讓它們相互通信并執(zhí)行相同類型的普通設(shè)備會(huì)執(zhí)行的操作。它甚至開始實(shí)施一些令人驚訝的高級(jí)策略，例如毒化地址解析協(xié)議表，使其看起來(lái)像欺騙資產(chǎn)一樣活躍，就像它們所保護(hù)的真實(shí)資產(chǎn)一樣。

 

Fidelis Deception平臺(tái)的獨(dú)特之處在于它還產(chǎn)生了以真實(shí)方式與欺騙性資產(chǎn)交互的假用戶。試圖確定資產(chǎn)是否真實(shí)的黑客會(huì)看到用戶與之交互的證據(jù)并放松警惕，不知道用戶本身就是精心策劃的騙局的一部分。

 

(6)TrapX DeceptionGrid(現(xiàn)為CommVault)

 

2022年2月，數(shù)據(jù)治理和安全服務(wù)商CommVault公司收購(gòu)了最流行的欺騙平臺(tái)之一的TrapX和DeceptionGrid，因?yàn)樗鼡碛刑摷俚鎸?shí)的欺騙資產(chǎn)。借助DeceptionGrid，企業(yè)通常會(huì)在受保護(hù)的網(wǎng)絡(luò)上部署數(shù)千個(gè)虛假資產(chǎn)。

 

DeceptionGrid部署的欺騙資產(chǎn)包括網(wǎng)絡(luò)設(shè)備、欺騙令牌和主動(dòng)陷阱。從大多數(shù)部署開始，主要的欺騙性資產(chǎn)被設(shè)計(jì)成看起來(lái)像功能齊全的計(jì)算機(jī)或設(shè)備，TrapX有幾個(gè)為金融或醫(yī)療保健等行業(yè)設(shè)計(jì)的模板。它可以模仿從自動(dòng)取款機(jī)到銷售點(diǎn)設(shè)備再到幾乎任何物聯(lián)網(wǎng)資產(chǎn)的一切。此外，DeceptionGrid可以部署具有完整操作系統(tǒng)的欺騙性資產(chǎn)。它們被稱為FullOS陷阱，旨在讓網(wǎng)絡(luò)攻擊者相信他們正在使用真實(shí)資產(chǎn)，同時(shí)全面監(jiān)控他們?yōu)槭占{情報(bào)所做的一切。

 

TrapX部署的欺騙令牌更小。但同樣重要。與功能齊全的欺騙性資產(chǎn)不同，令牌只是普通文件、配置腳本和其他類型的誘餌，網(wǎng)絡(luò)攻擊者用來(lái)收集有關(guān)他們?cè)噲D入侵的系統(tǒng)和網(wǎng)絡(luò)的信息。它們不會(huì)與網(wǎng)絡(luò)攻擊者交互，但會(huì)在他們?cè)L問(wèn)、復(fù)制或查看它們時(shí)提醒安全團(tuán)隊(duì)。

 

主動(dòng)陷阱完善了DeceptionGrid部署的欺騙性資產(chǎn)的數(shù)量。這些陷阱在它們之間傳輸大量虛假網(wǎng)絡(luò)流量，并提供指向欺騙網(wǎng)絡(luò)其余部分的指針和線索。任何在幕后監(jiān)控網(wǎng)絡(luò)流量的攻擊者都可能被虛假網(wǎng)絡(luò)流所欺騙，這將導(dǎo)致他們獲得欺騙性資產(chǎn)，即使他們可能認(rèn)為它是安全的，因?yàn)樗雌饋?lái)在網(wǎng)絡(luò)中正常且充分使用。

 

TrapX DeceptionGrid最近在內(nèi)部部署和云計(jì)算基礎(chǔ)設(shè)施中添加了欺騙技術(shù)容器環(huán)境。通過(guò)檢測(cè)高級(jí)網(wǎng)絡(luò)攻擊并提供對(duì)利用應(yīng)用程序漏洞和容器之間橫向移動(dòng)的嘗試的可見性，DeceptionGrid 7.2為增強(qiáng)的事件響應(yīng)和主動(dòng)防御提供了全面的保護(hù)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。