攻擊者突破企業(yè)網(wǎng)絡(luò)防御的能力不斷增強(qiáng)����,市場對欺騙式防御技術(shù)和戰(zhàn)術(shù)的興趣日益濃厚。
欺騙式防御并不等同于傳統(tǒng)的蜜罐技術(shù)�����,除了具備與攻擊者交互的能力外�����,欺騙式防御技術(shù)工具重在偽裝和混淆�����,使用誤導(dǎo)�����、錯(cuò)誤響應(yīng)和其他技巧誘使攻擊者遠(yuǎn)離合法目標(biāo),并將其引向蜜罐和其他誘騙系統(tǒng)�����,增加攻擊的難度和成本���,屬于主動防御的重要組成部分��。
如今�����,許多欺騙式防御工具都開始利用人工智能(AI)和機(jī)器學(xué)習(xí)(ML)來幫助組織及早發(fā)現(xiàn)入侵����,并幫助防御者發(fā)現(xiàn)攻擊者的工具和策略��。
在最近的一份報(bào)告中�����,Mordor Intelligence估計(jì)���,到2025年�����,市場對網(wǎng)絡(luò)安全欺騙式防御工具的需求將達(dá)到25億美元左右����,而2019年僅為12億美元。大部分需求將來自政府部門�����、全球金融機(jī)構(gòu)和其他頻繁發(fā)生網(wǎng)絡(luò)攻擊的目標(biāo)���。
Attivo Networks的首席技術(shù)官Tony Cole指出,欺騙式防御是一個(gè)有趣的概念�����,事實(shí)上這種戰(zhàn)術(shù)已經(jīng)以各種形式存在了數(shù)千年��。
他說:“欺騙式防御幾乎可以在企業(yè)中存在網(wǎng)絡(luò)安全隱患的任何地方部署�����,并且在端點(diǎn)防護(hù)和端點(diǎn)檢測與響應(yīng)工具的防護(hù)能力不充分的情況下�,欺騙式防御特別有用��。例如�,當(dāng)攻擊者搞定一個(gè)端點(diǎn)并且使用它來查詢Active Directory時(shí)��,你可以向攻擊者提供虛假信息����,而不會影響生產(chǎn)環(huán)境�����!
欺騙式防御技術(shù)有三個(gè)重要的用例
在關(guān)鍵任務(wù)環(huán)境中添加額外的保護(hù)層;
在已知存在安全弱點(diǎn)的區(qū)域增強(qiáng)檢測功能;
把潛伏在大量SIEM安全告警信息中的攻擊者給誘騙出來����。
總之,欺騙式防御技術(shù)不是單純的蜜罐或者沙箱�����,而是一種主動防御方法和策略�。打個(gè)比方,在各個(gè)網(wǎng)段中部署誘餌和陷阱���,類似在廚房踢腳線策略性地防止奶酪花生醬和捕鼠器�����。
以下��,安全專家們總結(jié)了使用欺騙式防御手段快速檢測威脅的七個(gè)優(yōu)秀戰(zhàn)術(shù)技巧和實(shí)踐��。
1. 使用真實(shí)計(jì)算機(jī)(資產(chǎn))作為誘餌
KnowBe4的數(shù)據(jù)驅(qū)動防御專家Roger Grimes說��,最好的欺騙誘餌是高度接近真實(shí)生產(chǎn)資產(chǎn)的誘餌�����。如果欺騙設(shè)備與其他系統(tǒng)顯著不同�����,會很容易被攻擊者發(fā)現(xiàn)��,因此�����,誘餌成功的關(guān)鍵是看起來像另一個(gè)生產(chǎn)系統(tǒng)��。Grimes說:“攻擊者無法分辨生產(chǎn)環(huán)境的生產(chǎn)資產(chǎn)和僅作為欺騙性蜜罐存在的生產(chǎn)資產(chǎn)之間的區(qū)別������!
“真實(shí)”誘餌可以是企業(yè)打算淘汰的舊系統(tǒng),也可以是生產(chǎn)環(huán)境中的新服務(wù)器��。Grimes建議��,請確保使用與實(shí)際生產(chǎn)系統(tǒng)相同的名稱����,并將它們放在相同的位置,具有相同的服務(wù)和防御����。
Acalvio的Moy說,欺騙性的關(guān)鍵是要融入��。避免使用明顯的差異因素���,例如通用MAC地址�����、常見的操作系統(tǒng)補(bǔ)丁程序����,以及與該網(wǎng)絡(luò)上的通用約定相符的系統(tǒng)名稱。
2. 確保您的誘餌看上去重要和有趣
攻擊者討厭欺騙��,因?yàn)槠垓_技術(shù)會導(dǎo)致他們掉進(jìn)兔子洞���。Crypsis Group的首席顧問Jeremy Brown說����,高級欺騙可以極大干擾攻擊者的活動�����,并使他們分心數(shù)小時(shí)��,數(shù)天甚至數(shù)周�。
他說:“一種常見的欺騙式防御技術(shù)是建立虛擬服務(wù)器或物理服務(wù)器���,這些服務(wù)器看上去存儲了重要信息�����!崩��,運(yùn)行真實(shí)操作系統(tǒng)(例如Windows Server 2016)的誘餌域控制器對攻擊者來說是非常有吸引力的目標(biāo)��。這是因?yàn)橛蚩刂破靼珹ctive Directory�,而Active Directory則包含環(huán)境中用戶的所有權(quán)限和訪問控制列表�。
同樣,吸引攻擊者注意的另一種方法是創(chuàng)建在環(huán)境中未積極使用的真實(shí)管理員賬戶����。威脅參與者傾向于尋找賦予他們更高特權(quán)的賬戶,例如系統(tǒng)管理員����,本地管理員或域管理員。誘餌賬戶的活躍信息�����,可以提醒防御者攻擊行為已經(jīng)開始 ����。”
3. 模擬非傳統(tǒng)終端設(shè)備(漏洞)
Fidelis產(chǎn)品副總裁Tim Roddy說�,在網(wǎng)絡(luò)上部署誘餌時(shí),不要忘記模擬非傳統(tǒng)的端點(diǎn)。攻擊者越來越多地尋找和利用物聯(lián)網(wǎng)(IoT)設(shè)備和其他互聯(lián)網(wǎng)連接的非PC設(shè)備中的漏洞��。Roddy說�����,因此�����,請確保網(wǎng)絡(luò)上的誘餌看起來像安全攝像機(jī)��、打印機(jī)��、復(fù)印機(jī)�、運(yùn)動探測器、智能門鎖以及其他可能引起攻擊者注意的聯(lián)網(wǎng)設(shè)備�����。
總之�����,你的高仿誘餌應(yīng)當(dāng)“融入”攻擊者期望看到的網(wǎng)絡(luò)場景和設(shè)備類型中��,這里也包括物聯(lián)網(wǎng)�。
4. 像攻擊者一樣思考
部署誘餌系統(tǒng)時(shí),請先站在攻擊者的角度審視你或者你的同行的網(wǎng)絡(luò)防御弱點(diǎn)����,以及適用的TTPs攻擊和手法。
目前這種攻擊型思維的一個(gè)最佳實(shí)踐就是基于ATT&CK框架的欺騙式防御�。ATT&CK是一個(gè)站在攻擊者的視角來描述攻擊中各階段用到的技術(shù)的模型,通過ATT&CK模型����,以剖析攻擊面為關(guān)鍵,旨在攻擊全鏈路上進(jìn)行欺騙性防御部署���,提高欺騙性防御的全面性和有效性��。
Acalvio的Moy說:“利用這種思想來制定優(yōu)先的檢測目標(biāo)清單�����,以彌補(bǔ)防御系統(tǒng)中的漏洞������!
總之,防御者要考慮攻擊者可能需要采取的步驟類型以及攻擊目標(biāo)�����。沿路徑布置一條面包屑痕跡�,這些誘餌與對手可能的目標(biāo)有關(guān)。例如��,如果攻擊者的目標(biāo)是憑據(jù)����,請確保將偽造的憑據(jù)和其他基于Active Directory的欺騙手段作為策略的一部分。
5. 使用正確的面包屑
闖入員工PC的入侵者通常會轉(zhuǎn)到注冊表和瀏覽器歷史記錄��,以查看該用戶在何處查找內(nèi)部服務(wù)器�,打印機(jī)和其他設(shè)備。Fidelis的Roddy說:“面包屑是模仿這些設(shè)備的誘餌的地址�������!
一個(gè)好的做法是將這些誘餌的地址放在最終用戶設(shè)備上����。Roddy說,如果設(shè)備受到威脅�����,攻擊者可能會跟隨面包屑進(jìn)入誘餌�,從而警告管理員已發(fā)生入侵。
6. 主要將欺騙用于預(yù)警
不要僅僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為����。KnowBe4的Grimes說,通常�,這不是欺騙式防御的“主業(yè)”。相反�,最好使用欺騙手段作為預(yù)警系統(tǒng)來檢測入侵,并將跟蹤和監(jiān)視留給取證工具�。
Grimes說:“您想建立持續(xù)的監(jiān)控并花費(fèi)時(shí)間排除網(wǎng)絡(luò)上每項(xiàng)資產(chǎn)都能獲得的正常生產(chǎn)連接,例如與補(bǔ)丁和防病毒更新有關(guān)的連接����������!焙诳筒恢拉h(huán)境中的偽造或真實(shí)�����。它們將連接到看起來像生產(chǎn)資產(chǎn)的偽造欺騙資產(chǎn),就像其他任何實(shí)際生產(chǎn)資產(chǎn)一樣容易����。
“根據(jù)定義,當(dāng)蜜罐獲得意外連接時(shí)�����,這可能是惡意的���,”格萊姆斯說���������!安灰屆酃蘧瘓(bào)出現(xiàn)在SIEM中�,也不要立即進(jìn)行調(diào)查��!
7. 保持欺騙的新鮮感
Acalvio的Moy說:“故技重施是騙術(shù)的致命傷����!闭嬲行У钠垓_技術(shù),需要花樣百出不斷翻新��,以跟上用戶活動���,應(yīng)用程序乃至網(wǎng)絡(luò)暴露情況的變化。他說:“例如��,新漏洞可能無法修補(bǔ)�����,但可以通過欺騙快速加以保護(hù)����。”
使用欺騙來增強(qiáng)在已知安全漏洞方面的檢測功能�。包括難以保護(hù)或修補(bǔ)的遠(yuǎn)程工作人員的便攜式計(jì)算機(jī)、網(wǎng)關(guān)網(wǎng)絡(luò)�、合作伙伴或承包商網(wǎng)絡(luò)以及憑據(jù)。在新冠疫情肆虐�����,遠(yuǎn)程工作流行的今天意義尤其重大。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
