隨著黑客攻擊技術不斷的提升,防御技術也不斷的創(chuàng)新�。近幾年也出現了很多的新技術新名詞,如威脅情報����、態(tài)勢感知等。欺騙技術也是攻防升級后的新技術����,被評為Gartner2016年十大信息安全技術之一。
什么是欺騙技術?
孫子的《孫子兵法》中說的: “ 一切戰(zhàn)爭都是建立在欺騙的基礎上的�����?!?/span>
“欺騙”是戰(zhàn)爭中使用的經典戰(zhàn)術,無論是作為己方保護還是作為攻擊敵人的機制����。在第二次世界大戰(zhàn)期間進行的最著名的欺騙行動之一,是英國人在入侵西西里之前的戰(zhàn)役中欺騙了德國人�����。這是一個典型的策略性錯誤信息的行動����,目的是欺騙敵人,轉移他們的注意力���,使他們脫離真正的攻擊發(fā)生地���。
網絡欺騙策略背后的想法是類似的��。企業(yè)通常在不同程度上了解攻擊者正在尋找什么����,他們期望找到什么���,以及他們如何攻擊和使用他們找到的信息?
欺騙技術原理
欺騙技術是通過使用欺騙手段阻止或者擺脫攻擊者的認知過程�,擾亂攻擊者的自動化工具�,延遲攻擊者的行為或者擾亂破壞計劃。例如���,欺騙功能會制造假的漏洞�����、系統(tǒng)�����、分享和緩存���。如果攻擊者試圖攻擊這些假的資源�,那么這就是一個強烈的信號說明攻擊正在進行中����,因為合法用戶是不應該看到或者試圖訪問這些資源的。
與傳統(tǒng)蜜罐技術的差異
有些人認為欺騙技術概念或多或少指的就是現代動態(tài)蜜罐和蜜網���,基本上��,他們的理解是正確的�����。欺騙技術則是一個新的術語�,其定義尚未定型�����,基本指的就是一系列更高級的蜜罐和蜜網產品。
欺騙技術和傳統(tǒng)蜜罐欺騙技術在檢測網絡攻擊者方法上是存在一定的差異性��,以下是它們的不同之處:
01 完全相反的基本前提
蜜罐技術是使用組織基礎設施的邏輯視圖設計的�。這些蜜罐被部署在有價值的目標周圍�����,以試圖轉移攻擊者���。然而�����,當攻擊者遇到蜜罐時��,它已經在網絡最深處了����。
攻擊者將基礎設施視為社交地圖�。一旦他們確定了在網絡中的位置,他們就會看到相鄰的資源和資源之間的關系來決定他們下一步的行動����,欺騙技術是從攻擊者的角度設計的���,并提前識別攻擊。這種視角的轉變給了你在威脅情況下的巨大優(yōu)勢�,這些威脅總是壓倒性地支持攻擊者。
02 誘騙與糾纏
蜜罐的成功依賴于捕獲攻擊者的注意力并激勵他們轉移到蜜罐目的地�。這意味著你必須首先讓攻擊者在蜜罐之前阻止他們。與此同時�����,他們可能會在網絡中存在數月���,會泄露數據并造成損害��。
欺騙技術模擬實際的基礎設施及網絡中的實際資產信息���,來欺騙攻擊者進行攻擊,而攻擊者不會意識到這一點���。
03 有限的可伸縮性與自動化的可伸縮性
部署時通常采用增加在整個基礎架構中的蜜罐數量���,以增加捕獲攻擊者的可能性�。然而��,這種方法很快就會變得昂貴而復雜���。如果你有500臺機器并且需要50%的覆蓋率�����,則需要添加250臺新機器和IP地址,更不用說許可證和人力資源來管理這些機器�。
而欺騙技術的組織網絡本質上是動態(tài)的,部署的欺騙層上的基礎設施及網絡中的實際資產信息也是動態(tài)的�����,一旦檢測到變化����,欺騙層上的信息會主動并自動適應,通過添加���、更新或重新分配基礎設施及網絡中的實際資產信息����,來達到欺騙攻擊者的目的。
04 增加誤報與近零的誤報
一個攻擊者必須選擇蜜罐作為目的地�����,當它們存在于網絡中時��,終端用戶經常會與誘餌進行交互�,從而增加誤報。
欺騙技術使每個終端上的數據都被100%覆蓋�,但卻隱藏在用戶中。因為他們只能暴露在攻擊者的面前�����,誤報被消除�,每一次警報都是真實的威脅。
05 模仿與真實性
蜜罐上放置的誘餌是用組織認為會吸引攻擊者的數據或屬性��,但其根本是靜態(tài)的����。攻擊者會尋找蜜罐誘餌特定的特征,使自己能夠成功地避免使用蜜罐�。
然而,誘餌應該既有趣又能證明與攻擊者的真實互動����。
欺騙技術的誘餌是真實的����,隨著時間的推移而變化���。它們具有相同的屬性和實際的終端�、服務器�、數據、應用程序和周圍的網絡環(huán)境����。即使是在相同的環(huán)境中�����,也沒有兩臺計算機或用戶的欺騙行為是相同的�����,造成攻擊者無法確定什么是真實的��,什么是虛假的�。
06 延遲威脅響應與即時威脅響應
通過蜜罐技術����,組織的安全團隊必須希望攻擊者能夠與蜜罐交互足夠長的時間�,以解決來自多臺機器的大量錯誤的警報。這明顯推遲了有效的反應���。
此外���,由于攻擊者在組織網絡中已經深入,因此安全團隊在這一點上往往非常警惕�����,經常會導致錯誤的決策���。
有了欺騙技術���,安全團隊知道攻擊者在攻擊的早期就會欺騙。這給了他們更多的響應選擇和一個清晰的修復路徑��。
07 有用的取證和即時取證的來源攻擊
蜜罐的取證只能聚集在蜜罐誘餌本身�,它不提供對源機器或先前行為的洞察。
而欺騙技術可以為組織提供關于試獲取攻擊機器的完整取證報告����,以及攻擊的全部過程�,包括攻擊者的內部“過程”��,以及嘗試與命令和控制服務器來泄露數據等等��。
08 強調技術與轉變
蜜罐技術已經存在了很長時間�����,并且是基于對機器和技術能力的假設而設計的��。
欺騙技術可以幫助攻擊者擺脫困境��,因為它是圍繞著人類對新環(huán)境或新環(huán)境的反應而設計的��。當攻擊者登陸網絡時���,他會問兩個問題:
下一步我應該去哪里?
我怎么去呢?
只有在回答了這些問題之后,它才會進行下一個橫向移動��。當真實欺騙被部署到這些問題的答案時�����,就會產生一個欺騙的現實。這將會導致攻擊者在一個陷阱服務器上��,而不是它理想的目標��。在它身邊有許多欺騙手段����,攻擊者通常會做出不正確的決定
, 使它陷入欺騙和迷失方向���,這一點是它沒有意識到的��。與此同時��,它被發(fā)現卻不知道����。自動的取證反應跟蹤他的路徑和活動���,為組織提供有價值的數據來阻止和糾正攻擊���。
欺騙技術作為新興的網絡安全技術,在國內還未得到用戶的普遍認識。然而�,欺騙技術已經超越了今天的蜜罐概念。通過誘餌積極的引誘攻擊者到欺騙環(huán)境中�,從而達到防御的效果。
文章引用:http://netsecurity.51cto.com/art/201810/585827.htm?mobile
