网络欺骗的目标是更有效地检测渗透到企业网络的攻击, 混淆和误导攻击者, 以及了解哪些资产已被入侵. 请记住, 欺骗防御可以利用攻击者的知识缺口, 同时他们试图在网络中横向移动. 下面介绍了主动网络欺骗防御的 5 个关键组成部分:
1. 发现
在设置安全计划时, 您需要做的第一件事就是了解您想要保护的内容. 在发现阶段, 欺骗系统需要学习网络布局, 发现网络活动并分析每个资产和设备. 资产应根据其位置, 用途, 类型, 协议等进行映射. 使用流量分析引擎将网络和资产映射为欺骗解决方案的一部分非常重要, 因为网络发现过程正在进行中, 定期扫描....... 通过持续的网络可见性, 欺骗解决方案始终了解网络中的变化, 并可相应地调整欺骗层.
2. 设置诱饵和面包屑
为了使欺骗有效, 其组件诱饵和面包屑需要类似于网络中的实际资产. 这是通过应用在 "发现" 阶段收集的信息来实现的. 对于所有意图和目的, 诱饵应该看起来与任何其他资产没有区别. 当以正确的方式构建时, 诱饵将看起来具有相同的操作系统, 在相同端口上运行的相同应用程序, 相同的协议, 甚至在某些情况下甚至类似的数据, 所有这些都取决于诱饵的交互级别. 如果诱饵是虚假资产, 那么面包屑就是引诱攻击者访问诱饵的诱饵. 面包屑是多种多样的, 因为它们可以是文件, 文档, 电子邮件消息和系统资源, 或者基本上系统上或网络上可能吸引攻击者的任何内容.
3. 分布
准确放置欺骗组件对于欺骗防御的成功与构建诱饵和面包屑一样重要. 在每个子网内, 您希望部署适合各自资源的欺骗. 必须根据在发现阶段收集的信息进行策略性地放置欺骗组件. 这有助于欺骗层的可信性, 并确保诱饵和面包屑将被攻击者 "消耗". 分发应该是完全自动化的, 以确保准确性和可扩展性.
4. 检测
智能欺骗通过准确检测人为和自动攻击以及未经授权访问网络资产, 使网络维护者能够重新掌控权力. 每次访问或尝试访问诱饵都会触发警报, 并将安全团队指向受感染的资产. 欺骗产品应该为防御者提供关于试图获取诱饵的机器的完整取证报告, 以及攻击的全部过程, 包括攻击者的内部 "过程", 以及尝试与命令和控制服务器来泄露数据等等. 当欺骗功能与网络流量分析引擎集成时, 这是可能的, 并且可以在与端点检测和响应产品集成式进行扩展.
5. 积极适应
组织网络本质上是动态的. 因此, 镜像网络资产的欺骗层也必须是动态的. 一旦检测到变化, 欺骗层必须主动并自动适应, 通过添加, 更新或重新分配诱饵和面包屑. 此过程在整个解决方案生命周期中反复重复.
对成功攻击的分析表明, 感染, 攻击的第一时刻和检测之间的关键时间太长了, 通常用几个月来衡量. 当一个企业得知受到攻击时, 更不用说当他们最终分析漏洞并评估风险时, 攻击者很可能已经用宝贵的资产来做了. 智能欺骗可以通过检测组织网络内部的攻击者活动并产生高保真警报来显着减少停留时间, 防御者可以放心地采取行动.
来源: http://netsecurity.51cto.com/art/201810/585699.htm