最近两年,随着APT、内网威胁的迅速增长,攻击欺骗技术的检测能力的提升,攻击欺骗技术和传统蜜罐欺骗技术在检测网络攻击者方法上是存在一定的差异性,以下是它们的不同之处:
1. 完全相反的基本前提
蜜罐技术是使用组织基础设施的逻辑视图设计的。这些蜜罐被部署在有价值的目标周围,以试图转移攻击者。然而,当攻击者遇到蜜罐时,它已经在网络最深处了。
攻击者将基础设施视为社交地图。一旦他们确定了在网络中的位置,他们就会看到相邻的资源和资源之间的关系来决定他们下一步的行动,幻影欺骗技术是从攻击者的角度设计的,并提前识别攻击。这种视角的转变给了你在威胁情况下的巨大优势,这些威胁总是压倒性地支持攻击者。
2. 诱骗与纠缠
蜜罐的成功依赖于捕获攻击者的注意力并激励他们转移到蜜罐目的地。这意味着你必须首先让攻击者在蜜罐之前而阻止他们。与此同时,他们可能会在网络中存在数月,会泄露数据并造成损害。
幻影欺骗在网络中普遍存在,并反映出实际的基础设施。虚假的攻击者并不希望将攻击者吸引到目的地,而是几乎在他们获得网络访问权后(例如通常是第一次参与攻击的终结点),欺骗攻击者进行欺骗,而攻击者不会意识到这一点。
3. 有限的可伸缩性与自动化的可伸缩性
您可以增加部署在整个基础架构中的蜜罐数量,以增加捕获攻击者的可能性。然而,这种方法很快就会变得昂贵而复杂。如果你有500台机器并且需要50%的覆盖率,则需要添加500台新机器和IP地址,更不用说许可证和人力资源来管理这些机器。即使采用自动化,这种方法也会给网络和员工带来负担,并且不会产生更好的吸引力。在整个基础设施中都部署了幻影欺骗,并且几乎可以立即进行扩展,因为技术是无代理的。随着基础架构的扩展,欺骗会自动部署,几乎没有IT或网络的开销。
凭借幻影欺骗管理服务器(DMS),欺骗也根据网络中遇到的每一项资产量身定制,以便组织为每台机器或用户部署最佳,最可靠的欺骗手段,显著增加检测攻击者的机会。
4. 增加误报与近零的误报
一个攻击者必须选择蜜罐作为目的地,当它们存在于网络中时,终端用户经常会遇到并与诱饵进行交互,从而增加误报。幻影欺骗使每个终端上的数据都被100%覆盖,但却隐藏在用户中。因为他们只能暴露在攻击者的面前,误报被消除,每一次警报都是真实的威胁。
5. 模仿与真实性
蜜罐是用组织认为会吸引攻击者的数据或属性精心制作的。然而,诱饵应该既有趣又能证明与攻击者的真实互动。攻击者寻找特定的特征,使他们能够成功地避免使用蜜罐。
如果任何东西看起来有点“可疑”,他们会把它单独留下。幻影欺骗是真实的,随着时间的推移而变化。它们具有相同的属性和实际的终端、服务器、数据、应用程序和周围的网络环境。没有两台计算机或用户的欺骗行为是相同的——即使是在相同的环境中。攻击者无法确定什么是真实的,什么是虚假的。
此外,欺骗行为是精心策划的,随着时间的推移不断变化,在欺骗黑客的过程中扮演一个重要的角色,他们在学习环境和执行重复动作的过程中扮演着一个合适的角色。不断变化的欺骗也阻止了攻击者使用之前获取的网络信息,这进一步延迟了他们在网络上的横向移动。
6. 延迟威胁响应与即时威胁响应
通过蜜罐技术,组织的安全团队必须希望攻击者能够与蜜罐交互足够长的时间,以解决来自多台机器的大量错误的警报。这明显推迟了有效的反应。
此外,由于攻击者在组织网络中已经深入,因此安全团队在这一点上往往非常警惕,经常会导致错误的决策。
有了幻影欺骗,安全团队知道攻击者在攻击的早期就会欺骗。这给了他们更多的响应选择和一个清晰的修复路径。
7. 有用的取证和即时取证的来源攻击
取证只能聚集在蜜罐诱饵本身,它不提供对源机器或先前行为的洞察。
当攻击者被激活时,幻影欺骗会在源机器上提供即时的取证快照。他们继续提供数据,因为攻击者尝试不同的方法和途径。
8. 强调技术与转变
蜜罐技术已经存在了很长时间,并且是基于对机器和技术能力的假设而设计的。新的欺骗技术可以帮助攻击者摆脱困境,因为它是围绕着人类对新环境或新环境的反应而设计的。当攻击者登陆网络时,他会问两个问题
- 下一步我应该去哪里?
- 我怎么去呢?
只有在回答了这些问题之后,它才会进行下一个横向移动。当幻影的真实欺骗被部署到这些问题的答案时,就会产生一个欺骗的现实。这将会导致攻击者在一个陷阱服务器上,而不是它理想的目标。在它身边有许多欺骗手段,攻击者通常会做出不正确的决定 , 使它陷入欺骗和迷失方向,这一点是它没有意识到的。与此同时,它被发现却不知道。自动的取证反应跟踪他的路径和活动,为组织提供有价值的数据来阻止和纠正攻击。