隨著黑客攻擊技術(shù)不斷的提升����,防御技術(shù)也不斷的創(chuàng)新����。近幾年也出現(xiàn)了很多的新技術(shù)新名詞,如威脅情報(bào)���、態(tài)勢(shì)感知等�����。欺騙技術(shù)也是攻防升級(jí)后的新技術(shù),被評(píng)為Gartner2016年十大信息安全技術(shù)之一�����。
什么是欺騙技術(shù)?
孫子的《孫子兵法》中說的: “ 一切戰(zhàn)爭(zhēng)都是建立在欺騙的基礎(chǔ)上的?����!?/span>
“欺騙”是戰(zhàn)爭(zhēng)中使用的經(jīng)典戰(zhàn)術(shù)�����,無論是作為己方保護(hù)還是作為攻擊敵人的機(jī)制����。在第二次世界大戰(zhàn)期間進(jìn)行的最著名的欺騙行動(dòng)之一,是英國(guó)人在入侵西西里之前的戰(zhàn)役中欺騙了德國(guó)人��。這是一個(gè)典型的策略性錯(cuò)誤信息的行動(dòng)���,目的是欺騙敵人����,轉(zhuǎn)移他們的注意力��,使他們脫離真正的攻擊發(fā)生地���。
網(wǎng)絡(luò)欺騙策略背后的想法是類似的�。企業(yè)通常在不同程度上了解攻擊者正在尋找什么,他們期望找到什么�,以及他們?nèi)绾喂艉褪褂盟麄冋业降男畔?/span>?
欺騙技術(shù)原理
欺騙技術(shù)是通過使用欺騙手段阻止或者擺脫攻擊者的認(rèn)知過程,擾亂攻擊者的自動(dòng)化工具����,延遲攻擊者的行為或者擾亂破壞計(jì)劃。例如�����,欺騙功能會(huì)制造假的漏洞�、系統(tǒng)、分享和緩存���。如果攻擊者試圖攻擊這些假的資源����,那么這就是一個(gè)強(qiáng)烈的信號(hào)說明攻擊正在進(jìn)行中��,因?yàn)楹戏ㄓ脩羰遣粦?yīng)該看到或者試圖訪問這些資源的�����。
與傳統(tǒng)蜜罐技術(shù)的差異
有些人認(rèn)為欺騙技術(shù)概念或多或少指的就是現(xiàn)代動(dòng)態(tài)蜜罐和蜜網(wǎng)�,基本上,他們的理解是正確的�。欺騙技術(shù)則是一個(gè)新的術(shù)語,其定義尚未定型����,基本指的就是一系列更高級(jí)的蜜罐和蜜網(wǎng)產(chǎn)品。
欺騙技術(shù)和傳統(tǒng)蜜罐欺騙技術(shù)在檢測(cè)網(wǎng)絡(luò)攻擊者方法上是存在一定的差異性�,以下是它們的不同之處:
01 完全相反的基本前提
蜜罐技術(shù)是使用組織基礎(chǔ)設(shè)施的邏輯視圖設(shè)計(jì)的。這些蜜罐被部署在有價(jià)值的目標(biāo)周圍���,以試圖轉(zhuǎn)移攻擊者��。然而�����,當(dāng)攻擊者遇到蜜罐時(shí)���,它已經(jīng)在網(wǎng)絡(luò)最深處了。
攻擊者將基礎(chǔ)設(shè)施視為社交地圖��。一旦他們確定了在網(wǎng)絡(luò)中的位置,他們就會(huì)看到相鄰的資源和資源之間的關(guān)系來決定他們下一步的行動(dòng)����,欺騙技術(shù)是從攻擊者的角度設(shè)計(jì)的,并提前識(shí)別攻擊�����。這種視角的轉(zhuǎn)變給了你在威脅情況下的巨大優(yōu)勢(shì)�����,這些威脅總是壓倒性地支持攻擊者����。
02 誘騙與糾纏
蜜罐的成功依賴于捕獲攻擊者的注意力并激勵(lì)他們轉(zhuǎn)移到蜜罐目的地。這意味著你必須首先讓攻擊者在蜜罐之前阻止他們���。與此同時(shí)�����,他們可能會(huì)在網(wǎng)絡(luò)中存在數(shù)月�����,會(huì)泄露數(shù)據(jù)并造成損害���。
欺騙技術(shù)模擬實(shí)際的基礎(chǔ)設(shè)施及網(wǎng)絡(luò)中的實(shí)際資產(chǎn)信息�,來欺騙攻擊者進(jìn)行攻擊�,而攻擊者不會(huì)意識(shí)到這一點(diǎn)�。
03 有限的可伸縮性與自動(dòng)化的可伸縮性
部署時(shí)通常采用增加在整個(gè)基礎(chǔ)架構(gòu)中的蜜罐數(shù)量,以增加捕獲攻擊者的可能性���。然而����,這種方法很快就會(huì)變得昂貴而復(fù)雜�����。如果你有500臺(tái)機(jī)器并且需要50%的覆蓋率��,則需要添加250臺(tái)新機(jī)器和IP地址���,更不用說許可證和人力資源來管理這些機(jī)器��。
而欺騙技術(shù)的組織網(wǎng)絡(luò)本質(zhì)上是動(dòng)態(tài)的�,部署的欺騙層上的基礎(chǔ)設(shè)施及網(wǎng)絡(luò)中的實(shí)際資產(chǎn)信息也是動(dòng)態(tài)的,一旦檢測(cè)到變化���,欺騙層上的信息會(huì)主動(dòng)并自動(dòng)適應(yīng)�,通過添加����、更新或重新分配基礎(chǔ)設(shè)施及網(wǎng)絡(luò)中的實(shí)際資產(chǎn)信息,來達(dá)到欺騙攻擊者的目的����。
04 增加誤報(bào)與近零的誤報(bào)
一個(gè)攻擊者必須選擇蜜罐作為目的地,當(dāng)它們存在于網(wǎng)絡(luò)中時(shí)��,終端用戶經(jīng)常會(huì)與誘餌進(jìn)行交互��,從而增加誤報(bào)���。
欺騙技術(shù)使每個(gè)終端上的數(shù)據(jù)都被100%覆蓋�,但卻隱藏在用戶中����。因?yàn)樗麄冎荒鼙┞对诠粽叩拿媲埃`報(bào)被消除�����,每一次警報(bào)都是真實(shí)的威脅。
05 模仿與真實(shí)性
蜜罐上放置的誘餌是用組織認(rèn)為會(huì)吸引攻擊者的數(shù)據(jù)或?qū)傩?��,但其根本是靜態(tài)的�。攻擊者會(huì)尋找蜜罐誘餌特定的特征����,使自己能夠成功地避免使用蜜罐�����。
然而�����,誘餌應(yīng)該既有趣又能證明與攻擊者的真實(shí)互動(dòng)���。
欺騙技術(shù)的誘餌是真實(shí)的���,隨著時(shí)間的推移而變化。它們具有相同的屬性和實(shí)際的終端����、服務(wù)器����、數(shù)據(jù)�、應(yīng)用程序和周圍的網(wǎng)絡(luò)環(huán)境。即使是在相同的環(huán)境中�����,也沒有兩臺(tái)計(jì)算機(jī)或用戶的欺騙行為是相同的���,造成攻擊者無法確定什么是真實(shí)的��,什么是虛假的����。
06 延遲威脅響應(yīng)與即時(shí)威脅響應(yīng)
通過蜜罐技術(shù)���,組織的安全團(tuán)隊(duì)必須希望攻擊者能夠與蜜罐交互足夠長(zhǎng)的時(shí)間�,以解決來自多臺(tái)機(jī)器的大量錯(cuò)誤的警報(bào)����。這明顯推遲了有效的反應(yīng)�。
此外����,由于攻擊者在組織網(wǎng)絡(luò)中已經(jīng)深入,因此安全團(tuán)隊(duì)在這一點(diǎn)上往往非常警惕���,經(jīng)常會(huì)導(dǎo)致錯(cuò)誤的決策�����。
有了欺騙技術(shù)����,安全團(tuán)隊(duì)知道攻擊者在攻擊的早期就會(huì)欺騙�。這給了他們更多的響應(yīng)選擇和一個(gè)清晰的修復(fù)路徑�。
07 有用的取證和即時(shí)取證的來源攻擊
蜜罐的取證只能聚集在蜜罐誘餌本身,它不提供對(duì)源機(jī)器或先前行為的洞察���。
而欺騙技術(shù)可以為組織提供關(guān)于試獲取攻擊機(jī)器的完整取證報(bào)告�����,以及攻擊的全部過程�����,包括攻擊者的內(nèi)部“過程”��,以及嘗試與命令和控制服務(wù)器來泄露數(shù)據(jù)等等�����。
08 強(qiáng)調(diào)技術(shù)與轉(zhuǎn)變
蜜罐技術(shù)已經(jīng)存在了很長(zhǎng)時(shí)間�����,并且是基于對(duì)機(jī)器和技術(shù)能力的假設(shè)而設(shè)計(jì)的��。
欺騙技術(shù)可以幫助攻擊者擺脫困境����,因?yàn)樗菄@著人類對(duì)新環(huán)境或新環(huán)境的反應(yīng)而設(shè)計(jì)的。當(dāng)攻擊者登陸網(wǎng)絡(luò)時(shí)���,他會(huì)問兩個(gè)問題:
下一步我應(yīng)該去哪里?
我怎么去呢?
只有在回答了這些問題之后����,它才會(huì)進(jìn)行下一個(gè)橫向移動(dòng)��。當(dāng)真實(shí)欺騙被部署到這些問題的答案時(shí),就會(huì)產(chǎn)生一個(gè)欺騙的現(xiàn)實(shí)����。這將會(huì)導(dǎo)致攻擊者在一個(gè)陷阱服務(wù)器上,而不是它理想的目標(biāo)���。在它身邊有許多欺騙手段����,攻擊者通常會(huì)做出不正確的決定
���, 使它陷入欺騙和迷失方向�,這一點(diǎn)是它沒有意識(shí)到的�����。與此同時(shí)�,它被發(fā)現(xiàn)卻不知道��。自動(dòng)的取證反應(yīng)跟蹤他的路徑和活動(dòng)�,為組織提供有價(jià)值的數(shù)據(jù)來阻止和糾正攻擊。
欺騙技術(shù)作為新興的網(wǎng)絡(luò)安全技術(shù)��,在國(guó)內(nèi)還未得到用戶的普遍認(rèn)識(shí)。然而����,欺騙技術(shù)已經(jīng)超越了今天的蜜罐概念。通過誘餌積極的引誘攻擊者到欺騙環(huán)境中���,從而達(dá)到防御的效果���。
文章引用:http://netsecurity.51cto.com/art/201810/585827.htm?mobile
