如果說攻擊者所依賴的是什么，那就是進入組織內(nèi)部并避免發(fā)現(xiàn)。在網(wǎng)絡內(nèi)部發(fā)現(xiàn)惡意活動類似于在針堆中找到特定的針。組織努力獲取對內(nèi)部“東西向”流量的可見性以進行威脅檢測。有些開始于在網(wǎng)絡內(nèi)部部署IDS以檢測惡意流量，而另一些則使用內(nèi)部防火墻阻止它。諸如UEBA之類的解決方案嘗試分析收集的數(shù)據(jù)并識別可疑或惡意活動，而EDR解決方案則鎖定端點以獲取可見性并拒絕攻擊者立足。這些方法存在錯誤性警報問題，并且無需進行任何調(diào)整即可消除它們。

[[281972]]

此外，這些解決方案還可以從直接分析中提取實際的網(wǎng)絡流量，使用其內(nèi)部機制輸出結(jié)果。如果目標是內(nèi)部可見性，為什么不直接查看網(wǎng)絡流量進行數(shù)據(jù)包捕獲并進行分析?

幾種安全解決方案捕獲和分析網(wǎng)絡流量以進行檢測，分析和回放。這不僅使人們可以了解正在穿越網(wǎng)絡的內(nèi)容，而且還提供了巨大的取證價值，例如完整的標頭信息和封裝的有效載荷。熟練的憑證檢查員可以提取具有足夠的數(shù)據(jù)包捕獲(pcap)文件的二進制文件，命令和其他數(shù)據(jù)。這些解決方案中的許多解決方案都可以即時讀取和標記pcap，并通過匹配預加載或自定義簽名來警告何時檢測到潛在的惡意流量。

盡管它們還存在誤報警報問題，但它們提供的功能使分析人員可以搜索Packet Captures數(shù)據(jù)存儲區(qū)和模式匹配以查找特定的IoC，或重播流量以檢查發(fā)生了什么。例如，分析人員可以重播會話數(shù)據(jù)，并觀察攻擊者在通過RDP訪問的受感染系統(tǒng)上的操作。我將這種工具用作司法鑒定的一部分，并發(fā)現(xiàn)它非常有用。但是，它需要經(jīng)驗和完善的分析技能來查找和解釋pcap數(shù)據(jù)并提取相關(guān)信息以進行調(diào)查。

此外，就像大數(shù)據(jù)分析一樣，這些解決方案需要大量的存儲功能來容納足夠的pcap文件，以占據(jù)足夠長的調(diào)查時間。如果考慮到在任何給定時刻有多少流量通過網(wǎng)絡，并且這些解決方案必須捕獲足夠的pcap以最有效地覆蓋調(diào)查，那么很快就會意識到存儲是限制因素。希望重播兩周之久的流量的分析人員必須希望該解決方案具有可用的Packet Captures。盡管SOC可以設計解決方案以使其丟棄不相關(guān)的數(shù)據(jù)，但過濾量限制了分析人員可以使用的保真度。例如，過濾掉OT網(wǎng)絡段上的流量可以節(jié)省存儲空間，但是SOC失去了那些精明的攻擊者可以長時間隱藏的那些段的可見性。

人們總是可以花更多的錢在存儲容量上或?qū)⑵湫遁d到云上，但是增加收益只是為了為pcap存儲增加更多的SAN容量，而將數(shù)千兆字節(jié)的數(shù)據(jù)轉(zhuǎn)儲到云中則需要下載它進行分析。它給SOC提供的可見性非常出色畢竟，人們正在查看實際的網(wǎng)絡流量以發(fā)現(xiàn)可疑活動，但是其技能和存儲要求使其非常占用資源。

在完整的網(wǎng)絡流量和分析都依賴分析人員積極地尋找威脅的情況下，才能找到不良行為者，而欺騙平臺則采用為他們設置陷阱的方法。想象一下，通過一個誘餌和其他欺騙性資產(chǎn)(與生產(chǎn)端點，服務器，設備，應用程序，服務或數(shù)據(jù)相匹配)創(chuàng)建一個“暮光區(qū)域”網(wǎng)絡。誘餌環(huán)境的價值在于這樣一個事實，因為它沒有生產(chǎn)價值，并且對于常規(guī)操作是不可見的，因此沒有人可以與之互動。與誘餌的任何交互都是配置錯誤，違反策略或未經(jīng)授權(quán)的發(fā)現(xiàn)活動的結(jié)果，因此無需擔心誤報。有了足夠的真實誘餌資產(chǎn)，

一旦攻擊者使用誘餌系統(tǒng)，服務，應用程序或數(shù)據(jù)片段，欺騙平臺就會提醒其存在并記錄其活動。誘餌捕獲攻擊者在誘餌的磁盤，內(nèi)存空間和網(wǎng)絡接口上的所有活動，以捕獲丟棄的文件，識別內(nèi)存中的臨時網(wǎng)絡連接和進程并生成pcap。該平臺使這些可用于脫機分析，這意味著分析人員可以利用SOC使用的相同分析工具來分析欺騙平臺中的取證工件和數(shù)據(jù)包捕獲。此外，由于欺騙平臺提供的是惡意活動的積極記錄，因此無需梳理無關(guān)的pcap。