[[401002]]

網(wǎng)絡(luò)、網(wǎng)絡(luò)攻擊以及阻止網(wǎng)絡(luò)攻擊的策略都在不斷發(fā)展。“安全欺騙”就是其中一種新興的網(wǎng)絡(luò)防御策略。不過，如果詢問任何一位網(wǎng)絡(luò)安全專業(yè)人員如何定義欺騙技術(shù)，他可能會(huì)提到蜜罐或蜜網(wǎng)。這種說法并沒有錯(cuò)，只是已經(jīng)過時(shí)，就像人們對欺騙技術(shù)存在的諸多誤解一樣，例如認(rèn)為欺騙技術(shù)過于復(fù)雜，用例有限，并且僅對安全研究人員有用等等。本文將帶大家詳細(xì)了解關(guān)于欺騙技術(shù)的那些事。

何為欺騙技術(shù)(Deception Technology)

《孫子兵法》曾言，“一切戰(zhàn)爭都是建立在欺騙的基礎(chǔ)上的”。“欺騙”是戰(zhàn)爭中使用的經(jīng)典戰(zhàn)術(shù)，無論是作為乙方保護(hù)還是作為攻擊敵人的機(jī)制。網(wǎng)絡(luò)欺騙策略背后的想法亦如是。

欺騙技術(shù)的目的是防止設(shè)法滲透到網(wǎng)絡(luò)中的網(wǎng)絡(luò)犯罪分子造成任何重大破壞。該技術(shù)通過創(chuàng)建能夠模仿整個(gè)基礎(chǔ)架構(gòu)中合法技術(shù)資產(chǎn)的陷阱或欺騙誘餌，來欺騙網(wǎng)絡(luò)罪犯以為他們發(fā)現(xiàn)了一種提升特權(quán)和竊取憑據(jù)的方法，而一旦攻擊者觸發(fā)陷阱，警報(bào)就會(huì)傳輸?shù)街醒肫垓_服務(wù)器中，該服務(wù)器會(huì)記錄受影響的誘餌以及網(wǎng)絡(luò)犯罪分子所使用的攻擊媒介，以便防御者觀察攻擊者的行為。

與沙箱和蜜罐的區(qū)別

“安全欺騙”是安全行業(yè)中相對較新的一個(gè)術(shù)語，其誘使攻擊者以為自己訪問了機(jī)密或重要的內(nèi)容，以便防御者可以監(jiān)視其行為。相對較舊的技術(shù)(例如沙箱和蜜罐)則是以不同的方式來做著同樣的事情，因此很多人會(huì)將這些術(shù)語混為一談。下面就為大家解釋這三種技術(shù)之間的區(qū)別以及每種技術(shù)的理想用例。

沙箱(Sandboxing)

自網(wǎng)絡(luò)和第三方程序問世以來，幾乎就已經(jīng)存在分析網(wǎng)絡(luò)流量和程序的需求。沙箱于1970年代引入，用于測試人工智能應(yīng)用程序，它允許惡意軟件在封閉的環(huán)境中安裝和運(yùn)行，研究人員可以在封閉的環(huán)境中監(jiān)視其行為以識別潛在的風(fēng)險(xiǎn)和對策。

如今，有效的沙箱通常是在虛擬主機(jī)的專用虛擬機(jī)上執(zhí)行的。這么做可以在與網(wǎng)絡(luò)隔離的主機(jī)上用多種操作系統(tǒng)安全地測試惡意軟件。安全研究人員會(huì)在分析惡意軟件時(shí)采用沙箱技術(shù)，很多高級反惡意軟件產(chǎn)品也用沙箱來根據(jù)可疑文件的行為確定其是否真的是惡意軟件。這些種類的反惡意軟件解決方案正變得越來越重要，因?yàn)樵S多現(xiàn)代惡意軟件都被混淆以避免使用基于簽名的防病毒軟件。

理想用例——大多數(shù)企業(yè)無法像專門的研究人員或供應(yīng)商一樣，以復(fù)雜的技術(shù)能力和專業(yè)知識來進(jìn)行惡意軟件分析。小型企業(yè)通常會(huì)從提供商的沙盒部署服務(wù)中受益最大。

蜜罐(Honeypots)

蜜罐和蜜網(wǎng)就是為誘捕攻擊者而專門設(shè)置的脆弱系統(tǒng)。蜜罐是誘使攻擊者盜取有價(jià)值數(shù)據(jù)或進(jìn)一步探測目標(biāo)網(wǎng)絡(luò)的單個(gè)主機(jī)，1999年開始出現(xiàn)的蜜網(wǎng)則是為了探清攻擊者所用攻擊過程和策略。

蜜網(wǎng)由多個(gè)蜜罐構(gòu)成，常被配置成模擬一個(gè)實(shí)際的網(wǎng)絡(luò)，有文件服務(wù)器、Web服務(wù)器等等，目的是讓攻擊者誤以為成功滲透進(jìn)了網(wǎng)絡(luò)，但實(shí)際上進(jìn)入的是一個(gè)隔離環(huán)境，并提供給研究人員的進(jìn)行研究。

蜜罐可以讓研究人員觀測真實(shí)的攻擊者是怎么操作的，而沙箱僅揭示惡意軟件的行為。安全研究人員和分析師通常就是出于觀測攻擊者行動(dòng)的目的而使用蜜罐和蜜網(wǎng)，通過注意新攻擊方法和實(shí)現(xiàn)新防御加以應(yīng)對，來改善網(wǎng)絡(luò)安全狀況。蜜網(wǎng)還能浪費(fèi)攻擊者的時(shí)間，讓他們因毫無所獲而放棄攻擊。

理想用例——這種方式對于經(jīng)常成為黑客攻擊目標(biāo)的政府組織和金融機(jī)構(gòu)非常有用，但是任何中型或大型企業(yè)都將從蜜罐/蜜網(wǎng)中收益。中小型企業(yè)(SMB)也可以從中受益，這取決于他們的業(yè)務(wù)模型和安全狀況，但是很多SMB都沒有能夠建立或維護(hù)蜜罐的安全專家。

欺騙性防御技術(shù)

欺騙防御則是一個(gè)新的術(shù)語，其定義尚未定型，但基本指的是一系列更高級的蜜罐和蜜網(wǎng)產(chǎn)品，能夠基于所捕獲的數(shù)據(jù)為檢測和防御實(shí)現(xiàn)提供更高的自動(dòng)化程度。

欺騙技術(shù)分不同層次，有些類似高級版的蜜罐，有些具備真實(shí)網(wǎng)絡(luò)的所有特征，包括真正的數(shù)據(jù)和設(shè)備。這種欺騙技術(shù)可以模仿并分析不同類型的流量，提供對賬戶和文件的虛假訪問，更為神似模仿內(nèi)部網(wǎng)絡(luò)。有些安全欺騙產(chǎn)品還可以自動(dòng)部署，讓攻擊者陷入更多信息的循環(huán)中，令用戶能更具體更真實(shí)地響應(yīng)攻擊者。欺騙防御產(chǎn)品按既定意圖運(yùn)作時(shí)，黑客會(huì)以為已經(jīng)滲透到受限網(wǎng)絡(luò)中，正在收集關(guān)鍵數(shù)據(jù)。

理想用例——欺騙技術(shù)仍處于起步階段，而對于大多數(shù)新的安全技術(shù)而言，其最初的用例大多是大型企業(yè)，這些企業(yè)能夠逐步將其推向市場。目前，政府機(jī)構(gòu)、金融機(jī)構(gòu)和研究公司對該技術(shù)最為關(guān)注。不過，企業(yè)組織仍然需要安全分析師分析來自安全欺騙工具的數(shù)據(jù)，因此，沒有專業(yè)安全人員的小型公司通常無法從中收益。

總的來說，所有這些安全技術(shù)在預(yù)防與分析領(lǐng)域均具有其作用。從較高層次上看，沙箱允許惡意軟件安裝并運(yùn)行，以供技術(shù)人員觀察其惡意行為;蜜罐和蜜網(wǎng)可以關(guān)注分析黑客在以為已被滲透的網(wǎng)絡(luò)上會(huì)進(jìn)行的行動(dòng)軌跡;欺騙防御則是更新的高級入侵檢測及預(yù)防策略，提供更為真實(shí)的蜜網(wǎng)，易于部署且能給用戶提供更多信息，但需要更多的預(yù)算和更高的專業(yè)技能要求。

為什么需要欺騙技術(shù)?

早發(fā)現(xiàn)早防御

沒有安全解決方案可以阻止網(wǎng)絡(luò)上所有攻擊的發(fā)生，但是欺騙技術(shù)通過使攻擊者相信他們已經(jīng)在您的網(wǎng)絡(luò)上立足了，從而使攻擊者產(chǎn)生一種錯(cuò)誤的安全感。自此，你可以安全地監(jiān)視和記錄攻擊者的行為，因?yàn)樗麄儾⒉粫?huì)對誘餌系統(tǒng)造成任何實(shí)質(zhì)的損害。而你記錄的有關(guān)攻擊者和行為和技術(shù)的信息可用于進(jìn)一步保護(hù)網(wǎng)絡(luò)免受攻擊。

減少誤報(bào)和風(fēng)險(xiǎn)

無論是誤報(bào)還是警報(bào)疲勞都會(huì)阻礙安全工作，甚至根本無法分析，同時(shí)還會(huì)浪費(fèi)很多資源。過多的噪音可能導(dǎo)致IT團(tuán)隊(duì)變得自滿，而忽略了潛在的合法威脅。欺騙技術(shù)以最少的誤報(bào)率和高保真的警報(bào)，從而降低了噪音。

欺騙技術(shù)的風(fēng)險(xiǎn)也很低，因?yàn)樗鼘?shù)據(jù)沒有任何風(fēng)險(xiǎn)，也不會(huì)對資源或運(yùn)營造成影響。當(dāng)黑客訪問或嘗試使用欺騙層的一部分時(shí)，會(huì)生成真實(shí)、準(zhǔn)確的警報(bào)，告訴管理員他們需要采取措施。

隨意擴(kuò)展和自動(dòng)化

雖然對公司網(wǎng)絡(luò)和數(shù)據(jù)的威脅成為人們?nèi)找骊P(guān)注的問題，但是安全團(tuán)隊(duì)很少會(huì)增加預(yù)算來應(yīng)對大量新威脅。因此，欺騙技術(shù)可能是非常受歡迎的解決方案。自動(dòng)化警報(bào)消除了對手動(dòng)工作和干預(yù)的需求，同時(shí)該技術(shù)的設(shè)計(jì)使它可以隨著組織和威脅級別的增長而輕松擴(kuò)展。

從傳統(tǒng)網(wǎng)絡(luò)到物聯(lián)網(wǎng)

欺騙技術(shù)可用于為各種不同的設(shè)備提供面包屑，包括遺留環(huán)境，特定于行業(yè)的環(huán)境，甚至是IoT設(shè)備。

部署有效欺騙的7大戰(zhàn)術(shù)

作為一種主動(dòng)防御方法和策略，如何才能最大限度地發(fā)揮欺騙技術(shù)的能力，以下是使用欺騙式防御手段快速檢測威脅的七個(gè)最佳戰(zhàn)術(shù)技巧和實(shí)踐：

1. 使用真實(shí)計(jì)算機(jī)作為誘餌

KnowBe4的數(shù)據(jù)驅(qū)動(dòng)防御專家Roger Grimes稱，最好的欺騙誘餌是最接近真實(shí)生產(chǎn)資產(chǎn)的誘餌。如果欺騙設(shè)備與其他系統(tǒng)明顯不同，會(huì)很容易被攻擊者發(fā)現(xiàn)，因此，誘餌成功的關(guān)鍵是使其看起來像另一個(gè)生產(chǎn)系統(tǒng)。Grimes表示，攻擊者無法分辨生產(chǎn)環(huán)境中使用的生產(chǎn)資產(chǎn)和僅作為欺騙性蜜罐存在的生產(chǎn)資產(chǎn)之間的區(qū)別。

您的誘餌可以是企業(yè)打算淘汰的舊系統(tǒng)，也可以是生產(chǎn)環(huán)境中的新服務(wù)器。Grimes建議，請確保使用與實(shí)際生產(chǎn)系統(tǒng)相同的名稱——并將它們放在相同的位置-具有相同的服務(wù)和防御。

Acalvio的Moy說，關(guān)鍵在于要融入。避免使用明顯的跡象，例如通用MAC地址、常見的操作系統(tǒng)補(bǔ)丁程序以及與該網(wǎng)絡(luò)上的通用約定相符的系統(tǒng)名稱。

2. 確保您的誘餌顯得重要且有趣

威脅行為者討厭欺騙，因?yàn)樗麄冎榔垓_會(huì)導(dǎo)致他們掉進(jìn)“兔子洞”而不自知。Crypsis Group的首席顧問Jeremy Brown說，高級欺騙可以極大干擾攻擊者的活動(dòng)，并使他們分心數(shù)小時(shí)，數(shù)天甚至數(shù)周。

他表示，一種常見的欺騙式防御技術(shù)是建立虛擬服務(wù)器或物理服務(wù)器，這些服務(wù)器看上去存儲(chǔ)了重要信息。例如，運(yùn)行真實(shí)操作系統(tǒng)(例如Windows Server 2016)的誘餌域控制器對攻擊者來說是非常有吸引力的目標(biāo)。這是因?yàn)橛蚩刂破靼珹ctive Directory，而Active Directory則包含環(huán)境中用戶的所有權(quán)限和訪問控制列表。

同樣地，吸引攻擊者注意的另一種方法是創(chuàng)建在環(huán)境中未積極使用的真實(shí)管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權(quán)的賬戶，例如系統(tǒng)管理員、本地管理員或域管理員。如果發(fā)現(xiàn)賬戶中存在此類活動(dòng)，則說明網(wǎng)絡(luò)中存在攻擊行為。

3. 模擬非傳統(tǒng)終端設(shè)備

Fidelis產(chǎn)品副總裁Tim Roddy說，在網(wǎng)絡(luò)上部署誘餌時(shí)，不要忘記模擬非傳統(tǒng)的端點(diǎn)。攻擊者越來越多地尋找和利用物聯(lián)網(wǎng)(IoT)設(shè)備和其他互聯(lián)網(wǎng)連接的非PC設(shè)備中的漏洞。因此，請確保網(wǎng)絡(luò)上的誘餌看起來像安全攝像機(jī)、打印機(jī)、復(fù)印機(jī)、運(yùn)動(dòng)探測器、智能門鎖以及其他可能引起攻擊者注意的聯(lián)網(wǎng)設(shè)備。

記住，你的誘餌需要融合到攻擊者期望看到的網(wǎng)絡(luò)場景和設(shè)備類型中，這里也包括物聯(lián)網(wǎng)。

4. 像攻擊者一樣思考

在部署誘餌系統(tǒng)或其他誘餌時(shí)，請站在對手的角度考慮你的網(wǎng)絡(luò)薄弱的，利用這種思想來制定檢測目標(biāo)清單優(yōu)先級，以彌補(bǔ)防御系統(tǒng)中的漏洞。

此外，還要考慮攻擊者可能需要采取的步驟類型以及攻擊目標(biāo)。沿路徑布置一條面包屑痕跡，這些誘餌與對手可能的目標(biāo)有關(guān)。例如，如果攻擊者的目標(biāo)是憑據(jù)，請確保將偽造的憑據(jù)和其他基于Active Directory的欺騙手段作為策略的一部分。

5. 使用正確的面包屑講過攻擊者引誘過來

入侵員工PC的攻擊者通常會(huì)轉(zhuǎn)到注冊表和瀏覽器歷史記錄，以查看該用戶在何處查找內(nèi)部服務(wù)器、打印機(jī)和其他設(shè)備。Fidelis的Roddy說，面包屑是模仿這些設(shè)備的誘餌的地址。

一個(gè)好的做法是將這些誘餌的地址放在最終用戶設(shè)備上。如果設(shè)備受到威脅，攻擊者可能會(huì)跟隨面包屑進(jìn)入誘餌，從而警告管理員入侵已經(jīng)發(fā)生。

6. 主要將欺騙用于預(yù)警

不要僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為。相反地，最好使用欺騙手段作為預(yù)警系統(tǒng)來檢測入侵，并將跟蹤和監(jiān)視留給取證工具。

您想建立持續(xù)的監(jiān)控并花費(fèi)時(shí)間排除網(wǎng)絡(luò)上每項(xiàng)資產(chǎn)都能獲得的正常生產(chǎn)連接，例如與補(bǔ)丁和防病毒更新有關(guān)的連接。黑客不知道環(huán)境中的偽造或真實(shí)。它們將連接到看起來像生產(chǎn)資產(chǎn)的偽造欺騙資產(chǎn)，就像其他任何實(shí)際生產(chǎn)資產(chǎn)一樣容易。

Grimes表示，“根據(jù)定義，當(dāng)蜜罐獲得意外連接時(shí)，這可能是惡意的。不要讓蜜罐警報(bào)出現(xiàn)在SIEM中，也不要立即進(jìn)行調(diào)查。”

7. 保持欺騙的新鮮感

舊把戲是任何騙術(shù)的敵人。真正有效的欺騙技術(shù)，需要不斷翻新，以跟上用戶活動(dòng)，應(yīng)用程序乃至網(wǎng)絡(luò)暴露情況的變化。例如，新漏洞可能無法修補(bǔ)，但可以通過欺騙快速加以保護(hù)。

使用欺騙來增強(qiáng)在已知安全漏洞方面的檢測功能。這可能包括難以保護(hù)或修補(bǔ)的遠(yuǎn)程工作人員的便攜式計(jì)算機(jī)、VPN網(wǎng)關(guān)網(wǎng)絡(luò)、合作伙伴或承包商網(wǎng)絡(luò)以及憑據(jù)。

欺騙技術(shù)發(fā)展現(xiàn)狀及趨勢

根據(jù)IDG發(fā)布的研究報(bào)告指出，2020年的安全預(yù)算平均值為7270萬美元，高于2019年的5180萬美元，而這些安全預(yù)算正用于積極研究和投資各種安全解決方案。其中，一些關(guān)鍵解決方案包括零信任技術(shù)(40%);欺騙技術(shù)(32%);微細(xì)分(30%)和基于云的網(wǎng)絡(luò)安全服務(wù)(30%)。

Markets and Markets 發(fā)布的一項(xiàng)最新的市場研究報(bào)告顯示，在2021年欺騙防御技術(shù)的市場規(guī)模將從現(xiàn)在的10.4億美元增長到20.9億美元，復(fù)合年增長率(CAGR)約為15.1%。

而Mordor Intelligence則估計(jì)稱，到2025年，市場對網(wǎng)絡(luò)安全欺騙式防御工具的需求將達(dá)到25億美元左右，而2019年僅為12億美元。大部分需求將來自政府部門、全球金融機(jī)構(gòu)和其他頻繁發(fā)生網(wǎng)絡(luò)攻擊的目標(biāo)。

可以肯定的說，欺騙技術(shù)會(huì)變得越來越流行，而2021年的以下趨勢將推動(dòng)欺騙技術(shù)發(fā)展成主流：

MITRE Shield

MITRE公司在其官網(wǎng)上將Shield定義為“MITER正在開發(fā)的主動(dòng)防御知識庫，用于捕獲和組織關(guān)于積極防御和對手交戰(zhàn)的知識，旨在為防御者提供用于對抗網(wǎng)絡(luò)對手的工具。”此外，主動(dòng)防御被定義為“采取有限的進(jìn)攻行動(dòng)和反擊，以阻止敵人侵犯有爭議的地區(qū)或陣地”。鑒于眾多組織已經(jīng)開始采用MITRE ATT&CK，因此他們很可能會(huì)將Shield作為一種補(bǔ)充計(jì)劃。欺騙技術(shù)在Shield中具有大量主動(dòng)防御用例。

SOC現(xiàn)代化

隨著組織規(guī)?；妥詣?dòng)化操作、集成安全工具(例如將其集成到SOAPA體系結(jié)構(gòu)中)的使用，為了更好地了解其攻擊面而采用高級分析以及實(shí)施自動(dòng)化安全測試工具，2021年SOC現(xiàn)代化運(yùn)動(dòng)將蓬勃發(fā)展。而欺騙技術(shù)作為主動(dòng)傳感器和可調(diào)安全控制，將能夠很好地適應(yīng)這些變化。

勒索軟件應(yīng)對策略

教育、醫(yī)療保健和州、地方政府等行業(yè)在與勒索軟件的斗爭中需要幫助。欺騙技術(shù)不是萬能藥，但它可以幫助檢測跨協(xié)議(例如服務(wù)器消息塊(SMB))的橫向移動(dòng)，以最大程度地減少損害。還可以部署或調(diào)整欺騙技術(shù)誘餌，以防御其他網(wǎng)絡(luò)攻擊戰(zhàn)役的戰(zhàn)術(shù)、技術(shù)和程序(TTP)。

欺騙技術(shù)并不是一勞永逸的解決方案，但是根據(jù)已經(jīng)部署該技術(shù)的企業(yè)組織反映，欺騙技術(shù)是一種見效快的“速效藥”。CISO可以快速部署欺騙技術(shù)并獲得近期收益，就這一項(xiàng)好處就能夠增加欺騙技術(shù)在后疫情時(shí)代的受歡迎程度。

參考鏈接：

https://www.marketsandmarkets.com/Market-Reports/deception-technology-market-129235449.html

https://www.darkreading.com/vulnerabilities---threats/vulnerability-management/7-tips-for-effective-deception/d/d-id/1338175

https://www.idg.com/news/idgs-2020-security-priorities-research-outlines-new-security-practices-investments/

https://www.darkreading.com/endpoint/the-difference-between-sandboxing-honeypots-and-security-deception/a/d-id/1332663

https://www.csoonline.com/article/3600217/why-2021-will-be-a-big-year-for-deception-technology.html

如若轉(zhuǎn)載，請注明原文地址。