通常人们会听到 "欺骗", 他们会立即想到 "蜜罐", 这基本上是一个静态的诱饵, 除非攻击者偶然发现它, 否则什么都不做. 然而, 欺骗技术已经超越了今天的蜜罐概念. 通过积极引诱和诱饵攻击者到欺骗环境中.
企业及其安全运营中心正处于围攻. 安全事件正在从安全堆栈的所有角落被触发, 来自防火墙, 端点和服务器, 从入侵检测系统和其他安全解决方案.
更重要的是, 安全团队没有足够的人员或时间来分析即将到来的警报, 而且大多数 "安全事件" 甚至都没有暗示正在进行的攻击. 它们通常只是共享信息 (例如, 失败的连接) 或者我们称之为'误报'(当一个解决方案认为它找到了一个特定的漏洞, 但实际上他没有找到).
这一点很重要, 因为在今天, 攻击者利用隐形战术来利用这些安全挑战在一个企业内部的资产感染之后, 他们保持低调, 在寻找有价值的敏感数据时横向移动. 他们在网络中停留的时间越长, 就越难以发现他们的踪迹. 平均 "停留时间" 攻击者或恶意内部人员在组织网络中的持续时间以月为单位进行衡量, 估计值为 200 天以上.
这就是为什么对于大型和小型企业而言, 将其网络安全战略集中在早期检测和更快响应上至关重要. 有希望做到这一点的技术趋势之一是网络欺骗技术.
什么是欺骗技术?
孙子的《孙子兵法》中说得: "一切战争都是建立在欺骗的基础上的."
"欺骗" 是战争中使用的经典战术, 无论是作为保护还是作为攻击敌人的机制. 在第二次世界大战期间进行的最著名的欺骗行动之一, 是英国人在入侵西西里之前的战役中欺骗了德国人. 这是一个典型的策略性错误信息的行动, 目的是欺骗敌人, 转移他们的注意力, 使他们脱离真正的攻击发生地.
网络欺骗策略背后的想法是类似的. 企业通常在不同程度上了解攻击者正在寻找什么, 他们期望找到什么, 以及他们如何攻击和使用他们找到的信息?
欺骗的最终目的是引诱攻击者去 "诱饵" 资产, 这些资产看起来和感觉真实的, 但实际上并非如此. 这可以通过不同的方法完成, 包括网络中的陷阱, 端点和服务器上的陷阱, 数据陷阱等. 通过参与诱饵或欺骗环境, 攻击者或恶意内部人员基本上向企业暴露了自己, 但他们并不知道这一点.
5 种欺骗方式正在改变网络安全的前景
通常人们会听到 "欺骗", 他们会立即想到 "蜜罐", 这基本上是一个静态的诱饵, 除非攻击者偶然发现它, 否则什么都不做. 然而, 欺骗技术已经超越了今天的蜜罐概念. 通过积极引诱和诱饵攻击者到欺骗环境中.
以下是欺骗技术改变网络安全前景的五种方式:
1. 用最少的人力投入获得最大的准确度
当一个欺骗解决方案触发警报时, 企业知道这是一个准确的事件, 无论如何没有误报率! 根据定义, 对欺骗层的任何访问都是恶意的, 安全团队必须立即对其进行调查. 网络安全团队正女里将注意力集中在真正的威胁上, 这是因为安全攻击的多重层次产生了各种 "噪音", 而缺乏人员进行分类和调查每一个警报.
2. 对你的企业有所了解
欺骗将蜜罐概念提升到了另一个层次. 它在结构上学习并适应您组织的网络和云环境. 诱饵改变以匹配真实环境. 此外, 使用 "面包屑" 的解决方案可以策略性地诱使攻击者和恶意内部人员进入诱饵. 这种 "个性化" 对于现代欺骗防御至关重要, 确保欺骗组件对坏人总是看起来和感觉上都是真实的.
3. 为任何类型的攻击确保突破后的防御
网络攻击有多种形式. 欺骗提供了与攻击类型无关的违规后防御. 无论攻击是通过鱼叉式网络钓鱼, 偷渡式下载还是通过连接设备进行攻击, 欺骗都会让您知道有人在你的网络中寻找偷取数据.
4. 引发威胁猎杀行动
只有最大, 最成熟的安全组织才存在威胁追捕问题. 但即便是规模较小的公司, 也可以通过欺骗手段使这种非常有利的战略在欺骗中发挥作用, 欺骗提供了受感染资产的第一个真实信号, 威胁可以使用它快速开始调查过程.
5. 授权企业实施战略和积极防御
传统安全试图阻止和防止威胁. 这是一场持续不断的猫捉老鼠游戏. 欺骗改变了这个游戏, 使防御者有能力了解攻击者类似的方式, 攻击者试图了解他们的目标. 一旦他们知道攻击者在网络中, 就可以观察他们的行为和模式. 可以帮助安全团队更好地了解攻击者所追求的内容以及最佳的响应方式.
最后
欺骗是一种可以显著减少驻留时间的技术. 此外, 它易于安装, 不需要很多资源来管理, 并提高了安全团队的有效性和效率.
来源: http://netsecurity.51cto.com/art/201810/585428.htm