積極防禦欺騙如何改變了網路安全

網路攻擊的模式是眾所周知的，目標也是如此。黑客正試圖闖入以獲取有價值的資料或採取有利於他們的行動，並希望盡可能長時間不被發現。有許多解決方案致力於預防，系統鎖定，防止橫向移動，以及以其他方式檢測異常行為。

然而，檢測的挑戰是如何更快，更全面地做到這一點，以最高的成功機會，同時最大限度地減少運營開銷和誤報。這就是現在在各種產品中實現的欺騙技術至關重要的地方。

欺騙是過去在外部尋找**行為者的東西的演變，它起源於蜜罐的想法 - 外部**會吸引那些有不良意圖的人，以便能夠識別它們。雖然安全研究人員經常使用蜜罐，但它對於企業來說並不是一種流行的技術。欺騙本質上採取了一種新的方法，並在網路中移動威脅欺騙，為已經滲透到外圍防禦的威脅提供更有價值的洞察力。在這樣做的過程中，它提供了一種只生成高保真警報的方法，並且可以顯著減少檢測攻擊的時間。

今天使用欺騙方法，您可以利用看似可用的有價值的誘餌和資訊來充分利用內部基礎設施，任何人都不應該合法訪問這些誘餌和資訊。如果有人訪問這些資產，您就知道您有入侵者或至少存在導致安全風險的策略違規。當攻擊者已經在網路內部時，這種檢測機制特別有價值，例如內部人員，受信任的第三方，**商和承包商。

公司內部的欺騙就像你在電影中看到的關於大搶劫的那些看不見的雷射束絆網。當任何人試圖訪問這些內部誘餌或欺騙憑證時，會觸發雷射感測器的數字等效物，並且您知道自己受到了攻擊。您還知道攻擊來自網路內部以及攻擊者如何試圖違反您的系統。然後，您可以在嘗試傳播時立即檢測到攻擊，無論是通過憑據竊取還是偵察。

一旦檢測到攻擊，就可以開始採取對策。可以立即關閉攻擊者的行為，或者可以觀察攻擊者。通過觀察他們所做的事情，可能會獲得有關誰正在攻擊以及他們正在嘗試做什麼的更多資訊。然後可以自動編譯高階取證資料，幫助安全團隊不僅可以檢測，還可以搜尋威脅和消除威脅。欺騙可以是參與所謂的主動防禦的重要方式。在軍事方面，積極的防禦被定義為「採用有限的進攻行動和反擊來拒絕敵人的有爭議的區域或位置。」這些行動的目的是改變攻擊的不對稱性並增加成本對網路對手。

欺騙和平衡的網路安全框架

欺騙是一種適合我們平衡的網路安全框架的技術，作為nist定義的檢測類別的一部分。網路安全差距是什麼，如何整合新元件，如何新增資料倉儲以幫助未來證明投資組合，以及如何從投資組合中獲得更多的商業利益。

但同樣重要的是要理解，隨著我們推進均衡投資組合方法並使其變得更加成熟，增加成熟度的關鍵方面之一是捕獲和標準化分析師所做的工作。這是至關重要的，因此對網路安全事件的分析不會被困在個人分析師的個人電子**或文件中，而是可以共享和學習的劇本的一部分。這不僅有助於檢測攻擊，還可以防止攻擊，並有助於建立針對攻擊的自動協調響應。

如果公司能夠做到這一點，投資組合將能夠為業務增加價值，包括更深入地了解業務運營，例如識別關鍵事件或提供詳細的活動模型。我們不是將網路安全事件視為病態，而是將業務視為乙個整體，並確保業務的基本使命能夠以安全的方式進行。以這種方式支援業務的整體健康狀況。

在欺騙的情況下，可能會有大量的資訊積累，攻擊分析和相關性，以確保攻擊被停止，清除和阻止返回。安全控制之間的內部資訊共享使您能夠在自己的組織中更有效，並建立更強大的安全防禦。然後是更廣泛的觀點，即跨行業或更廣泛地共享攻擊資訊，以便每個人都可以從這些資訊和知識中受益。

是什麼讓欺騙起作用?

對於工作中的欺騙，你必須通過試圖誘騙他們與欺騙誘餌或誘餌進行互動來向對手展示看似真實的內容，這樣可以讓你了解它們在你的系統內以及它們如何執行攻擊。顯然，這是乙個古老的概念，用於商業和生活的各個方面。但我們關注的是如何在網路安全領域正確實施這一概念。

為了使這些工作起作用，你必須能夠提供乙個看似真實且對對手有吸引力的現實觀。如果您提供看似假的誘餌或目標，攻擊者將避免它們，因此，解決方案將無法正常工作。欺騙必須是真實和有吸引力的。這意味著真實的作業系統和憑證看起來與生產環境相同。

為了使欺騙有效，首先它必須是真實的。

攻擊者很複雜。為了欺騙他們，欺騙需要與生產資產和憑證相同。它需要足夠可信才能讓它們墮落。

此外，為了充分發揮欺騙的作用，它必須是全面的，涵蓋不斷變化的攻擊面。一些提供基於欺騙的網路安全的**商只關注一種形式的欺騙 - 如憑證，誘餌或資料檔案。但是，如果你能夠通過放入憑證和對映的驅動物件來吸引所有攻擊方法和服務，以吸引網路，雲端以及物聯網，pos和swift等專業場所的攻擊，那就更好了。使用今天的虛擬化技術，您可以使這些欺騙無處不在，這使您可以在任何地方發現攻擊的最高概率。在現代世界中，攻擊通常是多型的，這可能特別有用。

欺騙也必須是可擴充套件的。欺騙比其他檢測網路安全威脅的方法更有效。您沒有檢視試圖確定正常然後檢測異常的每個資料。相反，在欺騙的情況下，你會放入誘餌或誘餌，如果訪問它們，你就知道存在問題。沒有誤報。

因此，可伸縮性不是關於處理能力，而是關於設計和實現一套全面的真實誘餌，然後可以在整個環境中實施。一旦部署了這些誘餌，您就必須能夠定期管理和重新整理它們以保持真實性。部署和響應的自動化是可擴充套件性和易於持續運營的真正關鍵。

欺騙也是獨一無二的，因為組織可以安全地在欺騙沙箱中與攻擊者進行更深入的取證。安全分析師可以比其他形式的檢測更安全地觀察攻擊者，因為受到攻擊的資產是誘餌。在正常攻擊中，分析師希望立即阻止攻擊訪問有價值的資產。通過欺騙，您可以與攻擊者交戰，然後啟用對策。這可能是欺騙最獨特的方面，因為它改變了攻擊者和防禦者之間的權力平衡，並且你比其他人更了解他們。改變攻擊的不對稱性至少會減緩攻擊並增加攻擊者的成本。在某些情況下，這也可以起到威懾作用，驅使攻擊者找到乙個更容易的目標。

「部分基本問題是當你防止攻擊時，你沒有機會去研究它，」克蘭德爾說。「當你阻止它時，你會阻止它進入，但你沒有從中學習。丟失了有價值的資訊，這些資訊對於快速消除攻擊和防止攻擊返回至關重要。「

為什麼我們需要一套靈活的欺騙技術?

我們需要一套靈活的欺騙技術，因為我們希望能夠將感測器放置在可能受到攻擊的it房地產的任何部分，並促進所有攻擊方法的早期檢測。您可以爭辯說，攻擊者大部分時間都在追蹤資料或憑據，但在現代世界中，他們真正追求的是他們可以利用的任何有價值的東西，包括可用於挖掘加密貨幣或執行殭屍網路的計算資源。

欺騙系統會檢測哪種型別的活動?

最先進的欺騙系統檢測各種各樣的威脅，並且不依賴於已知簽名，資料庫查詢或模式匹配：

使用欺騙有什麼好處?

使用欺騙有很多好處。其中最重要的是它減少了停留時間和平均檢測和修復時間。此外，通過參與，它提供了更深入的對手智慧型取證，包括妥協指標(ioc)和戰術，技術和程式(ttp)。它也不依賴於了解每個攻擊向量或方法，並且旨在檢測早期偵察，憑證盜竊和橫向移動。此外，只要您認識到有乙個新的攻擊地點，您就可以輕鬆地在某些情況下自動將誘餌放在這些新的風險關鍵資產周圍。

我們為網路內的攻擊者設定陷阱、誘餌。

基於欺騙的網路安全技術允許公司在沒有網路安全之前獲得內部威脅可見性。無論您擁有最複雜的安全控制，還是沒有，您都需要盡快了解網路中的威脅以及它們是否會對您造成傷害。這對於大型和小型公司來說都很有價值，無論是老練還是簡單，都可以在煤礦裡找到金絲雀，知道什麼時候發生了不好的事情。

通過植入欺騙憑證來增強端點安全性，然後密切監視和捕獲有關嘗試使用此登入資訊的人的資訊。他們的端點解決方案還將提供可能的攻擊路徑的對映，以便快速了解攻擊者如何移動以獲取目標資產，以及是否存在暴露或配置錯誤的憑據，這將有助於他們快速執行此操作。特別感興趣的是，他們通過使用高互動欺騙來占用惡意軟體並延遲其傳播，為事件響應者花費時間以消除感染，然後造成更多傷害，從而在端點處對映欺騙性網路共享以解決勒索軟體攻擊。

欺騙不僅可以用於檢測測試人員繞過其他周邊防禦，還可以用於驗證滲透測試結果，因為檢測可以作為測試人員活動的非正式審計跟蹤。

最後，正如我之前提到的，欺騙提供了一種改變攻擊者和防禦者之間力量平衡的方法。過去，攻擊者擁有權力 - 他們只需要成功一次，而後衛必須一直成功。現在，在欺騙的情況下，防禦者可以快速發現攻擊，了解攻擊者的戰術，並建立乙個反對派的攻擊手冊，以超越他們的對手。攻擊分析和取證變得更具可操作性和強大功能，高保真警報可以實現事件響應操作的自動化，例如阻止，隔離和威脅搜尋。

單獨檢測是不夠的。你需要能夠對【攻擊】採取行動。

了解攻擊，對攻擊進行取證，然後對其進行響應。阻止，隔離，威脅搜尋它，為未來建立更好的防禦。這是積極防守的一部分。因此，盡早發現，縮短您的停留時間，並縮短您的響應時間或做出反應的時間。

中安威士：保護核心資料，捍衛網路安全

積極防禦欺騙如何改變了網路安全

如何學習網路安全

擬態防禦或助網路安全實現再平衡

如何去學習網路安全

積極防禦 欺騙如何改變了網路安全

如何學習網路安全

擬態防禦或助網路安全實現再平衡

如何去學習網路安全

相關推薦

積極防禦欺騙如何改變了網路安全