积极防御：欺骗如何改变了网络安全

欺骗是过去在外部寻找邪恶行为者的东西的演变，它起源于蜜罐的想法 - 外部网站会吸引那些有不良意图的人，以便能够识别它们。虽然安全研究人员经常使用蜜罐，但它对于企业来说并不是一种流行的技术。

网络攻击的模式是众所周知的，目标也是如此。黑客正试图闯入以获取有价值的数据或采取有利于他们的行动，并希望尽可能长时间不被发现。有许多解决方案致力于预防，系统锁定，防止横向移动，以及以其他方式检测异常行为。

然而，检测的挑战是如何更快，更全面地做到这一点，以最高的成功机会，同时最大限度地减少运营开销和误报。这就是现在在各种产品中实现的欺骗技术至关重要的地方。

欺骗是过去在外部寻找邪恶行为者的东西的演变，它起源于蜜罐的想法 - 外部网站会吸引那些有不良意图的人，以便能够识别它们。虽然安全研究人员经常使用蜜罐，但它对于企业来说并不是一种流行的技术。欺骗本质上采取了一种新的方法，并在网络中移动威胁欺骗，为已经渗透到外围防御的威胁提供更有价值的洞察力。在这样做的过程中，它提供了一种只生成高保真警报的方法，并且可以显着减少检测攻击的时间。

今天使用欺骗方法，您可以利用看似可用的有价值的诱饵和信息来充分利用内部基础设施，任何人都不应该合法访问这些诱饵和信息。如果有人访问这些资产，您就知道您有入侵者或至少存在导致安全风险的策略违规。当攻击者已经在网络内部时，这种检测机制特别有价值，例如内部人员，受信任的第三方，供应商和承包商。

公司内部的欺骗就像你在电影中看到的关于大抢劫的那些看不见的激光束绊网。当任何人试图访问这些内部诱饵或欺骗凭证时，会触发激光传感器的数字等效物，并且您知道自己受到了攻击。您还知道攻击来自网络内部以及攻击者如何试图违反您的系统。然后，您可以在尝试传播时立即检测到攻击，无论是通过凭据窃取还是侦察。

一旦检测到攻击，就可以开始采取对策。可以立即关闭攻击者的行为，或者可以观察攻击者。通过观察他们所做的事情，可能会获得有关谁正在攻击以及他们正在尝试做什么的更多信息。然后可以自动编译高级取证数据，帮助安全团队不仅可以检测，还可以搜寻威胁和消除威胁。欺骗可以是参与所谓的主动防御的重要方式。在军事方面，积极的防御被定义为“采用有限的进攻行动和反击来拒绝敌人的有争议的区域或位置。”这些行动的目的是改变攻击的不对称性并增加成本对网络对手。

欺骗和平衡的网络安全框架

欺骗是一种适合我们平衡的网络安全框架的技术，作为NIST定义的检测类别的一部分。网络安全差距是什么，如何整合新组件，如何添加数据仓库以帮助未来证明投资组合，以及如何从投资组合中获得更多的商业利益。

但同样重要的是要理解，随着我们推进均衡投资组合方法并使其变得更加成熟，增加成熟度的关键方面之一是捕获和标准化分析师所做的工作。这是至关重要的，因此对网络安全事件的分析不会被困在个人分析师的个人电子表格或文档中，而是可以共享和学习的剧本的一部分。这不仅有助于检测攻击，还可以防止攻击，并有助于创建针对攻击的自动协调响应。

如果公司能够做到这一点，投资组合将能够为业务增加价值，包括更深入地了解业务运营，例如识别关键事件或提供详细的活动模型。我们不是将网络安全事件视为病态，而是将业务视为一个整体，并确保业务的基本使命能够以安全的方式进行。以这种方式支持业务的整体健康状况。

在欺骗的情况下，可能会有大量的信息积累，攻击分析和相关性，以确保攻击被停止，清除和阻止返回。安全控制之间的内部信息共享使您能够在自己的组织中更有效，并建立更强大的安全防御。然后是更广泛的观点，即跨行业或更广泛地共享攻击信息，以便每个人都可以从这些信息和知识中受益。

是什么让欺骗起作用?

对于工作中的欺骗，你必须通过试图诱骗他们与欺骗诱饵或诱饵进行交互来向对手展示看似真实的内容，这样可以让你了解它们在你的系统内以及它们如何执行攻击。显然，这是一个古老的概念，用于商业和生活的各个方面。但我们关注的是如何在网络安全领域正确实施这一概念。

为了使这些工作起作用，你必须能够提供一个看似真实且对对手有吸引力的现实观。如果您提供看似假的诱饵或目标，攻击者将避免它们，因此，解决方案将无法正常工作。欺骗必须是真实和有吸引力的。这意味着真实的操作系统和凭证看起来与生产环境相同。

为了使欺骗有效，首先它必须是真实的。

攻击者很复杂。为了欺骗他们，欺骗需要与生产资产和凭证相同。它需要足够可信才能让它们堕落。

此外，为了充分发挥欺骗的作用，它必须是全面的，涵盖不断变化的攻击面。一些提供基于欺骗的网络安全的供应商只关注一种形式的欺骗 - 如凭证，诱饵或数据文件。但是，如果你能够通过放入凭证和映射的驱动对象来吸引所有攻击方法和服务，以吸引网络，云端以及物联网，POS和SWIFT等专业场所的攻击，那就更好了。使用今天的虚拟化技术，您可以使这些欺骗无处不在，这使您可以在任何地方发现攻击的最高概率。在现代世界中，攻击通常是多态的，这可能特别有用。

欺骗也必须是可扩展的。欺骗比其他检测网络安全威胁的方法更有效。您没有查看试图确定正常然后检测异常的每个数据。相反，在欺骗的情况下，你会放入诱饵或诱饵，如果访问它们，你就知道存在问题。没有误报。

因此，可伸缩性不是关于处理能力，而是关于设计和实现一套全面的真实诱饵，然后可以在整个环境中实施。一旦部署了这些诱饵，您就必须能够定期管理和刷新它们以保持真实性。部署和响应的自动化是可扩展性和易于持续运营的真正关键。

欺骗也是独一无二的，因为组织可以安全地在欺骗沙箱中与攻击者进行更深入的取证。安全分析师可以比其他形式的检测更安全地观察攻击者，因为受到攻击的资产是诱饵。在正常攻击中，分析师希望立即阻止攻击访问有价值的资产。通过欺骗，您可以与攻击者交战，然后激活对策。这可能是欺骗最独特的方面，因为它改变了攻击者和防御者之间的权力平衡，并且你比其他人更了解他们。改变攻击的不对称性至少会减缓攻击并增加攻击者的成本。在某些情况下，这也可以起到威慑作用，驱使攻击者找到一个更容易的目标。

“部分基本问题是当你防止攻击时，你没有机会去研究它，”克兰德尔说。“当你阻止它时，你会阻止它进入，但你没有从中学习。丢失了有价值的信息，这些信息对于快速消除攻击和防止攻击返回至关重要。“

为什么我们需要一套灵活的欺骗技术?

我们需要一套灵活的欺骗技术，因为我们希望能够将传感器放置在可能受到攻击的IT房地产的任何部分，并促进所有攻击方法的早期检测。您可以争辩说，攻击者大部分时间都在追踪数据或凭据，但在现代世界中，他们真正追求的是他们可以利用的任何有价值的东西，包括可用于挖掘加密货币或运行僵尸网络的计算资源。

欺骗系统会检测哪种类型的活动?

最先进的欺骗系统检测各种各样的威胁，并且不依赖于已知签名，数据库查找或模式匹配：

使用欺骗有什么好处?

使用欺骗有很多好处。其中最重要的是它减少了停留时间和平均检测和修复时间。此外，通过参与，它提供了更深入的对手智能取证，包括妥协指标(IOC)和战术，技术和程序(TTP)。它也不依赖于了解每个攻击向量或方法，并且旨在检测早期侦察，凭证盗窃和横向移动。此外，只要您认识到有一个新的攻击地点，您就可以轻松地在某些情况下自动将诱饵放在这些新的风险关键资产周围。

我们为网络内的攻击者设置陷阱、诱饵。

基于欺骗的网络安全技术允许公司在没有网络安全之前获得内部威胁可见性。无论您拥有最复杂的安全控制，还是没有，您都需要尽快了解网络中的威胁以及它们是否会对您造成伤害。这对于大型和小型公司来说都很有价值，无论是老练还是简单，都可以在煤矿里找到金丝雀，知道什么时候发生了不好的事情。

通过植入欺骗凭证来增强端点安全性，然后密切监视和捕获有关尝试使用此登录信息的人的信息。他们的端点解决方案还将提供可能的攻击路径的映射，以便快速了解攻击者如何移动以获取目标资产，以及是否存在暴露或配置错误的凭据，这将有助于他们快速执行此操作。特别感兴趣的是，他们通过使用高交互欺骗来占用恶意软件并延迟其传播，为事件响应者花费时间以消除感染，然后造成更多伤害，从而在端点处映射欺骗性网络共享以解决勒索软件攻击。

欺骗不仅可以用于检测测试人员绕过其他周边防御，还可以用于验证渗透测试结果，因为检测可以作为测试人员活动的非正式审计跟踪。

最后，正如我之前提到的，欺骗提供了一种改变攻击者和防御者之间力量平衡的方法。过去，攻击者拥有权力 - 他们只需要成功一次，而后卫必须一直成功。现在，在欺骗的情况下，防御者可以快速发现攻击，了解攻击者的战术，并创建一个反对派的攻击手册，以超越他们的对手。攻击分析和取证变得更具可操作性和强大功能，高保真警报可以实现事件响应操作的自动化，例如阻止，隔离和威胁搜寻。

单独检测是不够的。你需要能够对【攻击】采取行动。

了解攻击，对攻击进行取证，然后对其进行响应。阻止，隔离，威胁搜寻它，为未来建立更好的防御。这是积极防守的一部分。因此，尽早发现，缩短您的停留时间，并缩短您的响应时间或做出反应的时间。

本文始发于微信公众号（疯猫网络）：积极防御：欺骗如何改变了网络安全