欺骗技术讨论通常会导致蜜罐, 然后就会有某种程度的混乱开始。添加一组用于欺骗的缩写词,,包括: 面包屑、诱饵、陷阱、信标,而且大多数新的主题都看到另一个安全研究项目。欺骗技术可能会混淆部署策略, 从而使遗留的观点在我们的脑海中虚假地站立。 针对欺骗防御影响部署策略的重大创新已得到发展。
首先, 安全研究需要的是传统的实际操作系统蜜罐专注于遏制和公开妥协。但是, 在网络内部部署数以千计的用户作为入侵后检测策略, 只会增加攻击面和风险级别。 正如我们需要技术娴熟的执法人员来侦测和发现包裹轰炸机和狙击手一样, 我们需要熟练的安全研究人员捕捉攻击工具和方法, 以了解可能的归属以及如何缓解这些攻击。
因此, 关于安全研究蜜罐的深入讨论将侧重于遏制作为一种部署策略。 蜜罐必须尽可能真实, 以避免攻击者检测, 所以安装他们的工具, 并开始他们的方法。 相反, 使用欺骗作为入侵后防御在内部侧重于检测 (vs 遏制), 其中创新改进了这种部署策略。随着时间的推移, 纯蜜罐建立在真正的操作系统进化成虚拟机, 使其更容易重置。 仿真服务将蜜罐演变成不易受损害的诱饵,然而,开放自动化和规模化。
考虑到入侵后欺骗策略的检测, 当攻击者发现媒介或低交互诱饵是对服务和数据的仿真时, 检测的目标早就完成了。 为了使欺骗确定性 (vs 攻击者统计发现诱饵), 诱饵被放置在真实资产, 然后导致攻击者进行攻击。 这些诱饵也被称为面包屑, 虚假数据, 伪造的凭据, 陷阱和信标。 现代欺骗的重点是面包屑和诱饵之间的链接, 以便尽可能最有效地进行检测。
我们知道大多数攻击都是通过网络钓鱼、社交工程或通过攻击进入立足点系统来达到的。很少是立足点系统是理想的资产或数据, 因此攻击使用侦察找到路径的横向移动到他们想要的。 这是一个机会, 了解攻击者想要引诱、检测和防御欺骗作为检测部署策略。 由于近60% 的攻击没有恶意软件的消息, 攻击环境发生了变化, 超过40% 的受威胁系统没有恶意软件的迹象, 超过95% 的恶意软件只会被看到一次, 将近一半的用户会打开电子邮件,攻击情况正在发生变化并在交互后一小时内点击附件。
那么, 自动化如何使欺骗成为早期的入侵检测防御的? 自动化使网络和分析资产的映射能够自动创建与环境匹配的模拟诱饵。 自动化然后部署诱饵和种子面包屑, 再加上监测环境中的任何变化, 使欺骗层尽可能现实, 只需要很少的人力。 对于用户未知的欺骗组件, 警报具有高保真度, 很少有误报来检测新入侵的立足点系统、攻击横向移动和内部威胁。欺骗对于无法安装防御的资产 (如企业 IoT 和遗留系统) 也是有效的。 例如企业物联网和遗留系统。自动化的现代欺骗解决方案可由一级安全分析师在每周不到五小时的时间内进行监控和维护。
最终结果是, 欺骗部署策略具有相反的目的。 一端是安全研究的纯蜜罐, 专注于遏制和开放的妥协作为一个网络监视, 其中仿真是无法有效收集恶意软件和攻击工具。 另一种是入侵后智能报警系统, 专注于检测, 在这种情况下, 仿真可实现自动化和扩展, 而不会危及网络内部的风险。 考虑到部署策略是检测,因此无需承担网络中真实操作系统诱饵或蜜罐的风险。
