欺骗性防御的七种技巧

如今，许多欺骗式防御工具都开始利用人工智能(AI)和机器学习(ML)来帮助组织及早发现入侵，并帮助防御者发现攻击者的工具和策略。

在最近的一份报告中，Mordor Intelligence估计，到2025年，市场对网络安全欺骗式防御工具的需求将达到25亿美元左右，而2019年仅为12亿美元。大部分需求将来自政府部门、全球金融机构和其他频繁发生网络攻击的目标。

Attivo Networks的首席技术官Tony Cole指出，欺骗式防御是一个有趣的概念，事实上这种战术已经以各种形式存在了数千年。

他说：“欺骗式防御几乎可以在企业中存在网络安全隐患的任何地方部署，并且在端点防护和端点检测与响应工具的防护能力不充分的情况下，欺骗式防御特别有用。例如，当攻击者搞定一个端点并且使用它来查询Active Directory时，你可以向攻击者提供虚假信息，而不会影响生产环境。”

欺骗式防御技术有三个重要的用例

在关键任务环境中添加额外的保护层;

在已知存在安全弱点的区域增强检测功能;

把潜伏在大量SIEM安全告警信息中的攻击者给诱骗出来。

总之，欺骗式防御技术不是单纯的蜜罐或者沙箱，而是一种主动防御方法和策略。打个比方，在各个网段中部署诱饵和陷阱，类似在厨房踢脚线策略性地防止奶酪花生酱和捕鼠器。

以下，安全专家们总结了使用欺骗式防御手段快速检测威胁的七个术技巧和实践。

1. 使用真实计算机(资产)作为诱饵

KnowBe4的数据驱动防御专家Roger Grimes说，最好的欺骗诱饵是高度接近真实生产资产的诱饵。如果欺骗设备与其他系统显著不同，会很容易被攻击者发现，因此，诱饵成功的关键是看起来像另一个生产系统。Grimes说：“攻击者无法分辨生产环境的生产资产和仅作为欺骗性蜜罐存在的生产资产之间的区别。”

“真实”诱饵可以是企业打算淘汰的旧系统，也可以是生产环境中的新服务器。Grimes建议，请确保使用与实际生产系统相同的名称，并将它们放在相同的位置，具有相同的服务和防御。

Acalvio的Moy说，欺骗性的关键是要融入。避免使用明显的差异因素，例如通用MAC地址、常见的操作系统补丁程序，以及与该网络上的通用约定相符的系统名称。

2. 确保您的诱饵看上去重要和有趣

攻击者讨厌欺骗，因为欺骗技术会导致他们掉进兔子洞。Crypsis Group的首席顾问Jeremy Brown说，高级欺骗可以极大干扰攻击者的活动，并使他们分心数小时，数天甚至数周。

他说：“一种常见的欺骗式防御技术是建立虚拟服务器或物理服务器，这些服务器看上去存储了重要信息。”例如，运行真实操作系统(例如Windows Server 2016)的诱饵域控制器对攻击者来说是非常有吸引力的目标。这是因为域控制器包含Active Directory，而Active Directory则包含环境中用户的所有权限和访问控制列表。

同样，吸引攻击者注意的另一种方法是创建在环境中未积极使用的真实管理员账户。威胁参与者倾向于寻找赋予他们更高特权的账户，例如系统管理员，本地管理员或域管理员。诱饵账户的活跃信息，可以提醒防御者攻击行为已经开始 。”

3. 模拟非传统终端设备(漏洞)

Fidelis产品副总裁Tim Roddy说，在网络上部署诱饵时，不要忘记模拟非传统的端点。攻击者越来越多地寻找和利用物联网(IoT)设备和其他互联网连接的非PC设备中的漏洞。Roddy说，因此，请确保网络上的诱饵看起来像安全摄像机、打印机、复印机、运动探测器、智能门锁以及其他可能引起攻击者注意的联网设备。

总之，你的高仿诱饵应当“融入”攻击者期望看到的网络场景和设备类型中，这里也包括物联网。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!