网络、网络攻击以及阻止网络攻击的策略都在不断发展。“安全欺骗”就是其中一种新兴的网络防御策略。不过,如果询问任何一位网络安全专业人员如何定义欺骗技术,他可能会提到蜜罐或蜜网。这种说法并没有错,只是已经过时,就像人们对欺骗技术存在的诸多误解一样,例如认为欺骗技术过于复杂,用例有限,并且仅对安全研究人员有用等等。本文将带大家详细了解关于欺骗技术的那些事。
何为欺骗技术(Deception Technology)
《孙子兵法》曾言,“一切战争都是建立在欺骗的基础上的”。“欺骗”是战争中使用的经典战术,无论是作为乙方保护还是作为攻击敌人的机制。网络欺骗策略背后的想法亦如是。
欺骗技术的目的是防止设法渗透到网络中的网络犯罪分子造成任何重大破坏。该技术通过创建能够模仿整个基础架构中合法技术资产的陷阱或欺骗诱饵,来欺骗网络罪犯以为他们发现了一种提升特权和窃取凭据的方法,而一旦攻击者触发陷阱,警报就会传输到中央欺骗服务器中,该服务器会记录受影响的诱饵以及网络犯罪分子所使用的攻击媒介,以便防御者观察攻击者的行为。
与沙箱和蜜罐的区别
“安全欺骗”是安全行业中相对较新的一个术语,其诱使攻击者以为自己访问了机密或重要的内容,以便防御者可以监视其行为。相对较旧的技术(例如沙箱和蜜罐)则是以不同的方式来做着同样的事情,因此很多人会将这些术语混为一谈。下面就为大家解释这三种技术之间的区别以及每种技术的理想用例。
沙箱(Sandboxing)
自网络和第三方程序问世以来,几乎就已经存在分析网络流量和程序的需求。沙箱于1970年代引入,用于测试人工智能应用程序,它允许恶意软件在封闭的环境中安装和运行,研究人员可以在封闭的环境中监视其行为以识别潜在的风险和对策。
如今,有效的沙箱通常是在虚拟主机的专用虚拟机上执行的。这么做可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件。安全研究人员会在分析恶意软件时采用沙箱技术,很多高级反恶意软件产品也用沙箱来根据可疑文件的行为确定其是否真的是恶意软件。这些种类的反恶意软件解决方案正变得越来越重要,因为许多现代恶意软件都被混淆以避免使用基于签名的防病毒软件。
理想用例——大多数企业无法像专门的研究人员或供应商一样,以复杂的技术能力和专业知识来进行恶意软件分析。小型企业通常会从提供商的沙盒部署服务中受益最大。
蜜罐(Honeypots)
蜜罐和蜜网就是为诱捕攻击者而专门设置的脆弱系统。蜜罐是诱使攻击者盗取有价值数据或进一步探测目标网络的单个主机,1999年开始出现的蜜网则是为了探清攻击者所用攻击过程和策略。
蜜网由多个蜜罐构成,常被配置成模拟一个实际的网络,有文件服务器、Web服务器等等,目的是让攻击者误以为成功渗透进了网络,但实际上进入的是一个隔离环境,并提供给研究人员的进行研究。
蜜罐可以让研究人员观测真实的攻击者是怎么操作的,而沙箱仅揭示恶意软件的行为。安全研究人员和分析师通常就是出于观测攻击者行动的目的而使用蜜罐和蜜网,通过注意新攻击方法和实现新防御加以应对,来改善网络安全状况。蜜网还能浪费攻击者的时间,让他们因毫无所获而放弃攻击。
理想用例——这种方式对于经常成为黑客攻击目标的政府组织和金融机构非常有用,但是任何中型或大型企业都将从蜜罐/蜜网中收益。中小型企业(SMB)也可以从中受益,这取决于他们的业务模型和安全状况,但是很多SMB都没有能够建立或维护蜜罐的安全专家。
欺骗性防御技术
欺骗防御则是一个新的术语,其定义尚未定型,但基本指的是一系列更高级的蜜罐和蜜网产品,能够基于所捕获的数据为检测和防御实现提供更高的自动化程度。
欺骗技术分不同层次,有些类似高级版的蜜罐,有些具备真实网络的所有特征,包括真正的数据和设备。这种欺骗技术可以模仿并分析不同类型的流量,提供对账户和文件的虚假访问,更为神似模仿内部网络。有些安全欺骗产品还可以自动部署,让攻击者陷入更多信息的循环中,令用户能更具体更真实地响应攻击者。欺骗防御产品按既定意图运作时,黑客会以为已经渗透到受限网络中,正在收集关键数据。
理想用例——欺骗技术仍处于起步阶段,而对于大多数新的安全技术而言,其最初的用例大多是大型企业,这些企业能够逐步将其推向市场。目前,政府机构、金融机构和研究公司对该技术最为关注。不过,企业组织仍然需要安全分析师分析来自安全欺骗工具的数据,因此,没有专业安全人员的小型公司通常无法从中收益。
总的来说,所有这些安全技术在预防与分析领域均具有其作用。从较高层次上看,沙箱允许恶意软件安装并运行,以供技术人员观察其恶意行为;蜜罐和蜜网可以关注分析黑客在以为已被渗透的网络上会进行的行动轨迹;欺骗防御则是更新的高级入侵检测及预防策略,提供更为真实的蜜网,易于部署且能给用户提供更多信息,但需要更多的预算和更高的专业技能要求。
为什么需要欺骗技术?
早发现早防御
没有安全解决方案可以阻止网络上所有攻击的发生,但是欺骗技术通过使攻击者相信他们已经在您的网络上立足了,从而使攻击者产生一种错误的安全感。自此,你可以安全地监视和记录攻击者的行为,因为他们并不会对诱饵系统造成任何实质的损害。而你记录的有关攻击者和行为和技术的信息可用于进一步保护网络免受攻击。
减少误报和风险
无论是误报还是警报疲劳都会阻碍安全工作,甚至根本无法分析,同时还会浪费很多资源。过多的噪音可能导致IT团队变得自满,而忽略了潜在的合法威胁。欺骗技术以最少的误报率和高保真的警报,从而降低了噪音。
欺骗技术的风险也很低,因为它对数据没有任何风险,也不会对资源或运营造成影响。当黑客访问或尝试使用欺骗层的一部分时,会生成真实、准确的警报,告诉管理员他们需要采取措施。
随意扩展和自动化
虽然对公司网络和数据的威胁成为人们日益关注的问题,但是安全团队很少会增加预算来应对大量新威胁。因此,欺骗技术可能是非常受欢迎的解决方案。自动化警报消除了对手动工作和干预的需求,同时该技术的设计使它可以随着组织和威胁级别的增长而轻松扩展。
从传统网络到物联网
欺骗技术可用于为各种不同的设备提供面包屑,包括遗留环境,特定于行业的环境,甚至是IoT设备。
部署有效欺骗的7大战术
作为一种主动防御方法和策略,如何才能最大限度地发挥欺骗技术的能力,以下是使用欺骗式防御手段快速检测威胁的七个最佳战术技巧和实践:
1. 使用真实计算机作为诱饵
KnowBe4的数据驱动防御专家Roger Grimes称,最好的欺骗诱饵是最接近真实生产资产的诱饵。如果欺骗设备与其他系统明显不同,会很容易被攻击者发现,因此,诱饵成功的关键是使其看起来像另一个生产系统。Grimes表示,攻击者无法分辨生产环境中使用的生产资产和仅作为欺骗性蜜罐存在的生产资产之间的区别。
您的诱饵可以是企业打算淘汰的旧系统,也可以是生产环境中的新服务器。Grimes建议,请确保使用与实际生产系统相同的名称——并将它们放在相同的位置-具有相同的服务和防御。
Acalvio的Moy说,关键在于要融入。避免使用明显的迹象,例如通用MAC地址、常见的操作系统补丁程序以及与该网络上的通用约定相符的系统名称。
2. 确保您的诱饵显得重要且有趣
威胁行为者讨厌欺骗,因为他们知道欺骗会导致他们掉进“兔子洞”而不自知。Crypsis Group的首席顾问Jeremy Brown说,高级欺骗可以极大干扰攻击者的活动,并使他们分心数小时,数天甚至数周。
他表示,一种常见的欺骗式防御技术是建立虚拟服务器或物理服务器,这些服务器看上去存储了重要信息。例如,运行真实操作系统(例如Windows Server 2016)的诱饵域控制器对攻击者来说是非常有吸引力的目标。这是因为域控制器包含Active Directory,而Active Directory则包含环境中用户的所有权限和访问控制列表。
同样地,吸引攻击者注意的另一种方法是创建在环境中未积极使用的真实管理员账户。威胁参与者倾向于寻找赋予他们更高特权的账户,例如系统管理员、本地管理员或域管理员。如果发现账户中存在此类活动,则说明网络中存在攻击行为。
3. 模拟非传统终端设备
Fidelis产品副总裁Tim Roddy说,在网络上部署诱饵时,不要忘记模拟非传统的端点。攻击者越来越多地寻找和利用物联网(IoT)设备和其他互联网连接的非PC设备中的漏洞。因此,请确保网络上的诱饵看起来像安全摄像机、打印机、复印机、运动探测器、智能门锁以及其他可能引起攻击者注意的联网设备。
记住,你的诱饵需要融合到攻击者期望看到的网络场景和设备类型中,这里也包括物联网。
4. 像攻击者一样思考
在部署诱饵系统或其他诱饵时,请站在对手的角度考虑你的网络薄弱的,利用这种思想来制定检测目标清单优先级,以弥补防御系统中的漏洞。
此外,还要考虑攻击者可能需要采取的步骤类型以及攻击目标。沿路径布置一条面包屑痕迹,这些诱饵与对手可能的目标有关。例如,如果攻击者的目标是凭据,请确保将伪造的凭据和其他基于Active Directory的欺骗手段作为策略的一部分。
5. 使用正确的面包屑讲过攻击者引诱过来
入侵员工PC的攻击者通常会转到注册表和浏览器历史记录,以查看该用户在何处查找内部服务器、打印机和其他设备。Fidelis的Roddy说,面包屑是模仿这些设备的诱饵的地址。
一个好的做法是将这些诱饵的地址放在最终用户设备上。如果设备受到威胁,攻击者可能会跟随面包屑进入诱饵,从而警告管理员入侵已经发生。
6. 主要将欺骗用于预警
不要仅使用蜜罐和其他欺骗手段来试图跟踪或确定黑客的行为。相反地,最好使用欺骗手段作为预警系统来检测入侵,并将跟踪和监视留给取证工具。
您想建立持续的监控并花费时间排除网络上每项资产都能获得的正常生产连接,例如与补丁和防病毒更新有关的连接。黑客不知道环境中的伪造或真实。它们将连接到看起来像生产资产的伪造欺骗资产,就像其他任何实际生产资产一样容易。
Grimes表示,“根据定义,当蜜罐获得意外连接时,这可能是恶意的。不要让蜜罐警报出现在SIEM中,也不要立即进行调查。”
7. 保持欺骗的新鲜感
旧把戏是任何骗术的敌人。真正有效的欺骗技术,需要不断翻新,以跟上用户活动,应用程序乃至网络暴露情况的变化。例如,新漏洞可能无法修补,但可以通过欺骗快速加以保护。
使用欺骗来增强在已知安全漏洞方面的检测功能。这可能包括难以保护或修补的远程工作人员的便携式计算机、VPN网关网络、合作伙伴或承包商网络以及凭据。
欺骗技术发展现状及趋势
根据IDG发布的研究报告指出,2020年的安全预算平均值为7270万美元,高于2019年的5180万美元,而这些安全预算正用于积极研究和投资各种安全解决方案。其中,一些关键解决方案包括零信任技术(40%);欺骗技术(32%);微细分(30%)和基于云的网络安全服务(30%)。
Markets and Markets 发布的一项最新的市场研究报告显示,在2021年欺骗防御技术的市场规模将从现在的10.4亿美元增长到20.9亿美元,复合年增长率(CAGR)约为15.1%。
而Mordor Intelligence则估计称,到2025年,市场对网络安全欺骗式防御工具的需求将达到25亿美元左右,而2019年仅为12亿美元。大部分需求将来自政府部门、全球金融机构和其他频繁发生网络攻击的目标。
可以肯定的说,欺骗技术会变得越来越流行,而2021年的以下趋势将推动欺骗技术发展成主流:
MITRE Shield
MITRE公司在其官网上将Shield定义为“MITER正在开发的主动防御知识库,用于捕获和组织关于积极防御和对手交战的知识,旨在为防御者提供用于对抗网络对手的工具。”此外,主动防御被定义为“采取有限的进攻行动和反击,以阻止敌人侵犯有争议的地区或阵地”。鉴于众多组织已经开始采用MITRE ATT&CK,因此他们很可能会将Shield作为一种补充计划。欺骗技术在Shield中具有大量主动防御用例。
SOC现代化
随着组织规模化和自动化操作、集成安全工具(例如将其集成到SOAPA体系结构中)的使用,为了更好地了解其攻击面而采用高级分析以及实施自动化安全测试工具,2021年SOC现代化运动将蓬勃发展。而欺骗技术作为主动传感器和可调安全控制,将能够很好地适应这些变化。
勒索软件应对策略
教育、医疗保健和州、地方政府等行业在与勒索软件的斗争中需要帮助。欺骗技术不是万能药,但它可以帮助检测跨协议(例如服务器消息块(SMB))的横向移动,以最大程度地减少损害。还可以部署或调整欺骗技术诱饵,以防御其他网络攻击战役的战术、技术和程序(TTP)。
欺骗技术并不是一劳永逸的解决方案,但是根据已经部署该技术的企业组织反映,欺骗技术是一种见效快的“速效药”。CISO可以快速部署欺骗技术并获得近期收益,就这一项好处就能够增加欺骗技术在后疫情时代的受欢迎程度。
参考链接:
https://www.marketsandmarkets.com/Market-Reports/deception-technology-market-129235449.html
https://www.darkreading.com/vulnerabilities---threats/vulnerability-management/7-tips-for-effective-deception/d/d-id/1338175
https://www.idg.com/news/idgs-2020-security-priorities-research-outlines-new-security-practices-investments/
https://www.darkreading.com/endpoint/the-difference-between-sandboxing-honeypots-and-security-deception/a/d-id/1332663
https://www.csoonline.com/article/3600217/why-2021-will-be-a-big-year-for-deception-technology.html
如若转载,请注明原文地址。