現(xiàn)在市場(chǎng)上不缺欺騙防御類(lèi)產(chǎn)品,本文介紹能夠?qū)Σ煌钠垓_防御方案作出初步評(píng)估和篩選的11個(gè)問(wèn)題���,避免用戶在眼花繚亂的營(yíng)銷(xiāo)手段下��,花大價(jià)錢(qián)買(mǎi)回了效果微乎其微的東西�����。同時(shí)�����,供應(yīng)商也可以通過(guò)這11個(gè)角度產(chǎn)生新的思考���。
一、每個(gè)誘餌是否都是唯一的?
很多欺騙解決方案無(wú)法做到每個(gè)誘餌系統(tǒng)都是唯一的�����。也就是說(shuō)�����,如果你部署了100個(gè)FTP誘餌�����,這100個(gè)誘餌可能會(huì)反復(fù)地指向同一個(gè)FTP服務(wù)器。但高級(jí)的欺騙方案會(huì)通過(guò)虛擬化技術(shù)提供唯一的���、真實(shí)的��、可定制的誘餌�����。有的供應(yīng)商會(huì)通過(guò)仿真技術(shù)實(shí)現(xiàn)誘餌系統(tǒng)的大規(guī)模擴(kuò)展���,然后將攻擊者的交互信息傳遞至真實(shí)的虛擬機(jī)。仿真系統(tǒng)對(duì)攻擊方的吸引力與獨(dú)一無(wú)二的誘餌系統(tǒng)相比顯然相去甚遠(yuǎn)�����。
二�����、如何在誘餌中創(chuàng)建虛假內(nèi)容?
供應(yīng)商往往會(huì)在POC中設(shè)置幾個(gè)配置完美的誘餌吸引用戶���,但該供應(yīng)商如何在成千上百的誘餌中創(chuàng)建虛假內(nèi)容和真實(shí)應(yīng)用層數(shù)據(jù)這個(gè)問(wèn)題值得深究�。人類(lèi)大腦(特別是人才短缺的安全團(tuán)隊(duì))不擅長(zhǎng)通過(guò)人工方式創(chuàng)建大量虛假但可信度高的內(nèi)容�����,而且非常容易被高級(jí)攻擊者識(shí)破�����。
三����、該方案能夠阻止攻擊鏈中的哪些環(huán)節(jié)?
“攻擊鏈全覆蓋”是很多廠商在營(yíng)銷(xiāo)過(guò)程中都會(huì)“吹噓”的優(yōu)勢(shì)之一,但用戶還是應(yīng)深入了解其中的具體含義�����。一個(gè)好的欺騙平臺(tái)應(yīng)該涵蓋每個(gè)環(huán)節(jié)��,從偵察階段置于防火墻之前的誘餌(不會(huì)在每個(gè)隨機(jī)的網(wǎng)絡(luò)探測(cè)中被觸發(fā))���,到偽造的人物角色(電子郵件地址��、電話號(hào)碼)以及虛假數(shù)據(jù)�����。真正的欺騙方案絕不僅僅是部署一些網(wǎng)絡(luò)誘餌���,因此在選擇欺騙方案時(shí)應(yīng)該確保它是真正的全棧型平臺(tái)�����。
四�、如果用戶單位有多個(gè)分支機(jī)構(gòu)分布在不同城市�,如何實(shí)現(xiàn)欺騙方案的大規(guī)模部署?
如果用戶單位有多個(gè)分支機(jī)構(gòu),是否會(huì)出現(xiàn)需要調(diào)用大量設(shè)備的情況?是否需要更改網(wǎng)絡(luò)�����,創(chuàng)建GRE通道或VPN?很多廠商會(huì)聲明他們有充足的終端誘餌(實(shí)際可能并不充足)�,從而規(guī)避這個(gè)多地點(diǎn)的問(wèn)題。一個(gè)好的平臺(tái)應(yīng)該能夠?qū)崿F(xiàn)誘餌的遠(yuǎn)程部署����。
五、方案部署是否需要安裝代理或獲取管理權(quán)限?
欺騙功能的實(shí)現(xiàn)是否依賴(lài)于大量agent在大部分終端設(shè)備上的運(yùn)行?另外��,部署終端功能時(shí)是否需要獲取管理員權(quán)限�。真正有效的欺騙技術(shù)與這兩個(gè)條件完全無(wú)關(guān)。
六、誘餌的可信度如何判斷?
用戶應(yīng)組建自己信任的測(cè)試團(tuán)隊(duì)�����,通過(guò)藍(lán)隊(duì)攻擊的方式進(jìn)行對(duì)誘餌的可信度進(jìn)行測(cè)試與驗(yàn)證��。這也就要求欺騙方案所提供的環(huán)境應(yīng)該是像RDP���、SSH這樣的高交互式環(huán)境,人類(lèi)攻擊者(不僅是商業(yè)惡意程序)能夠運(yùn)行他們所喜歡的一切代碼��,但攻擊過(guò)程中的一舉一動(dòng)都在欺騙工具的監(jiān)控之中�。
七、這個(gè)欺騙方案已經(jīng)有了哪些實(shí)踐經(jīng)驗(yàn)和成功案例?
欺騙防御不僅是一項(xiàng)技術(shù)�����,更是一項(xiàng)實(shí)施可信的欺騙策略的完整活動(dòng)���。用戶應(yīng)充分了解目標(biāo)廠商在規(guī)劃�、建設(shè)和管理這些活動(dòng)時(shí)的實(shí)踐經(jīng)驗(yàn)�。一個(gè)好廠商一般已經(jīng)儲(chǔ)備了不少實(shí)際運(yùn)作的項(xiàng)目經(jīng)驗(yàn)。如果你把一個(gè)欺騙平臺(tái)部署在一個(gè)相對(duì)較大的網(wǎng)絡(luò)中��,很快就會(huì)受到某些傳統(tǒng)病毒的感染(如掃描子網(wǎng)的傳統(tǒng)蠕蟲(chóng))。聽(tīng)起來(lái)不錯(cuò)���,但這個(gè)并不是你真正想要阻止的高級(jí)威脅��。因此還是應(yīng)該問(wèn)清楚這個(gè)欺騙平臺(tái)的發(fā)展歷程和成功案例����。
八�����、這家廠商的藍(lán)隊(duì)攻擊能力如何?
大部分欺騙技術(shù)的支持者要么來(lái)自藍(lán)隊(duì)(模擬攻擊方)要么具有威脅狩獵的工作背景�。欺騙防御是目前制約攻擊方的最佳方法���;钴S的紅藍(lán)對(duì)抗表明該廠商非常熟悉惡意攻擊者的套路��,“攻擊者視角”往往是決定欺騙方案是否真的能夠給真實(shí)攻擊者致命一擊的關(guān)鍵�。
九���、欺騙平臺(tái)本身的安全性如何?
當(dāng)攻擊者在內(nèi)網(wǎng)滲透時(shí)入侵某個(gè)誘餌系統(tǒng)時(shí)��,我們希望的結(jié)果肯定是成功入侵�����,然后觀察攻擊活動(dòng)�����,收集威脅情報(bào)�。但不排除攻擊者會(huì)利用誘餌來(lái)攻擊其它系統(tǒng)的可能性�����。例如�,有的方案可能會(huì)采用VLAN間路由的方式,那么攻擊者就有可能通過(guò)誘餌系統(tǒng)繞過(guò)訪問(wèn)控制�。因此,欺騙方案中平臺(tái)本身的安全性也非常重要���。
另外�,還應(yīng)評(píng)估廠商方案中基礎(chǔ)操作平臺(tái)的安全性�,確保攻擊者不會(huì)破壞用于誘餌部署的主機(jī)設(shè)備。容器虛擬化也不是創(chuàng)建誘餌的理想方式�����,存在較大的安全風(fēng)險(xiǎn),攻擊者可能會(huì)通過(guò)誘餌系統(tǒng)提權(quán)�,進(jìn)而進(jìn)入核心欺騙設(shè)備。
十��、除了發(fā)現(xiàn)威脅���,該方案還能提供什么樣的取證和威脅控制服務(wù)?
欺騙方案能夠?yàn)橛脩籼峁┑驼`報(bào)率的告警服務(wù)�����。但除了獲取信息����,欺騙方案還能為我們做什么?通過(guò)數(shù)字取證調(diào)查威脅的根本原因��,并盡可能解除威脅�。你的目標(biāo)供應(yīng)商所提供的方案是否需要通過(guò)第三方產(chǎn)品才能實(shí)現(xiàn)取證和威脅控制功能?如是,那么用戶還需要購(gòu)買(mǎi)另一個(gè)工具才能對(duì)告警作出響應(yīng)�。
十一、(加分項(xiàng))廠商如何幫助我們構(gòu)建欺騙能力����,而不僅僅部署一項(xiàng)產(chǎn)品?
欺騙技術(shù)的關(guān)鍵目標(biāo)之一就是通過(guò)部署各類(lèi)誘餌系統(tǒng)進(jìn)行威脅捕獲。但如果沒(méi)有一個(gè)欺騙方案的整體策略�,用戶購(gòu)買(mǎi)的就只是一個(gè)產(chǎn)品����,而不是一種能力�����。一個(gè)真正具有長(zhǎng)遠(yuǎn)意義的欺騙能力應(yīng)該包括欺騙技術(shù)����、威脅建模�、完整的欺騙“故事線”、欺騙成功后的告警管理能力����。用戶應(yīng)該明確的是你不僅購(gòu)買(mǎi)了一項(xiàng)安全技術(shù),更是為你的安全團(tuán)隊(duì)構(gòu)建了一項(xiàng)全新的安全能力����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
