压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

好的誘餌和蜜罐不但讓攻擊者焦頭爛額，也有助于更快地檢測到威脅。

近年來，攻擊者突破企業(yè)網(wǎng)絡防御的能力不斷增強，市場對欺騙式防御技術和戰(zhàn)術的興趣日益濃厚。

欺騙式防御并不等同于傳統(tǒng)的蜜罐技術，除了具備與攻擊者交互的能力外，欺騙式防御技術工具重在偽裝和混淆，使用誤導、錯誤響應和其他技巧誘使攻擊者遠離合法目標，并將其引向蜜罐和其他誘騙系統(tǒng)，增加攻擊的難度和成本，屬于主動防御的重要組成部分。

如今，許多欺騙式防御工具都開始利用人工智能（AI）和機器學習（ML）來幫助組織及早發(fā)現(xiàn)入侵，并幫助防御者發(fā)現(xiàn)攻擊者的工具和策略。

在最近的一份報告中，Mordor Intelligence估計，到2025年，市場對網(wǎng)絡安全欺騙式防御工具的需求將達到25億美元左右，而2019年僅為12億美元。大部分需求將來自政府部門、全球金融機構和其他頻繁發(fā)生網(wǎng)絡攻擊的目標。

Attivo Networks的首席技術官Tony Cole指出，欺騙式防御是一個有趣的概念，事實上這種戰(zhàn)術已經(jīng)以各種形式存在了數(shù)千年。

欺騙式防御幾乎可以在企業(yè)中存在網(wǎng)絡安全隱患的任何地方部署，并且在端點防護和端點檢測與響應工具的防護能力不充分的情況下，欺騙式防御特別有用。例如，當攻擊者搞定一個端點并且使用它來查詢Active Directory時，你可以向攻擊者提供虛假信息，而不會影響生產(chǎn)環(huán)境。

欺騙式防御技術有三個重要的用例

• 在關鍵任務環(huán)境中添加額外的保護層；
• 在已知存在安全弱點的區(qū)域增強檢測功能；
• 把潛伏在大量SIEM安全告警信息中的攻擊者給誘騙出來。

總之，欺騙式防御技術不是單純的蜜罐或者沙箱，而是一種主動防御方法和策略。打個比方，在各個網(wǎng)段中部署誘餌和陷阱，類似在廚房踢腳線策略性地防止奶酪花生醬和捕鼠器。

以下，安全專家們總結了使用欺騙式防御手段快速檢測威脅的七個最佳戰(zhàn)術技巧和實踐。

使用真實計算機（資產(chǎn)）作為誘餌

KnowBe4的數(shù)據(jù)驅動防御專家Roger Grimes說，最好的欺騙誘餌是高度接近真實生產(chǎn)資產(chǎn)的誘餌。如果欺騙設備與其他系統(tǒng)顯著不同，會很容易被攻擊者發(fā)現(xiàn)，因此，誘餌成功的關鍵是看起來像另一個生產(chǎn)系統(tǒng)。Grimes說：

攻擊者無法分辨生產(chǎn)環(huán)境的生產(chǎn)資產(chǎn)和僅作為欺騙性蜜罐存在的生產(chǎn)資產(chǎn)之間的區(qū)別。

“真實”誘餌可以是企業(yè)打算淘汰的舊系統(tǒng)，也可以是生產(chǎn)環(huán)境中的新服務器。Grimes建議，請確保使用與實際生產(chǎn)系統(tǒng)相同的名稱，并將它們放在相同的位置，具有相同的服務和防御。

Acalvio的Moy說，欺騙性的關鍵是要融入。避免使用明顯的差異因素，例如通用MAC地址、常見的操作系統(tǒng)補丁程序，以及與該網(wǎng)絡上的通用約定相符的系統(tǒng)名稱。

確保您的誘餌看上去重要和有趣

攻擊者討厭欺騙，因為欺騙技術會導致他們掉進兔子洞。Crypsis Group的首席顧問Jeremy Brown說，高級欺騙可以極大干擾攻擊者的活動，并使他們分心數(shù)小時，數(shù)天甚至數(shù)周。

他說：

一種常見的欺騙式防御技術是建立虛擬服務器或物理服務器，這些服務器看上去存儲了重要信息。

例如，運行真實操作系統(tǒng)（例如Windows Server 2016）的誘餌域控制器對攻擊者來說是非常有吸引力的目標。這是因為域控制器包含Active Directory，而Active Directory則包含環(huán)境中用戶的所有權限和訪問控制列表。

同樣，吸引攻擊者注意的另一種方法是創(chuàng)建在環(huán)境中未積極使用的真實管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權的賬戶，例如系統(tǒng)管理員，本地管理員或域管理員。誘餌賬戶的活躍信息，可以提醒防御者攻擊行為已經(jīng)開始 。

模擬非傳統(tǒng)終端設備（漏洞）

Fidelis產(chǎn)品副總裁Tim Roddy說，在網(wǎng)絡上部署誘餌時，不要忘記模擬非傳統(tǒng)的端點。攻擊者越來越多地尋找和利用物聯(lián)網(wǎng)（IoT）設備和其他互聯(lián)網(wǎng)連接的非PC設備中的漏洞。Roddy說，因此，請確保網(wǎng)絡上的誘餌看起來像安全攝像機、打印機、復印機、運動探測器、智能門鎖以及其他可能引起攻擊者注意的聯(lián)網(wǎng)設備。

總之，你的高仿誘餌應當“融入”攻擊者期望看到的網(wǎng)絡場景和設備類型中，這里也包括物聯(lián)網(wǎng)。

像攻擊者一樣思考

部署誘餌系統(tǒng)時，請先站在攻擊者的角度審視你或者你的同行的網(wǎng)絡防御弱點，以及適用的TTPs攻擊和手法。

目前這種攻擊型思維的一個最佳實踐就是基于ATT&CK框架的欺騙式防御。ATT&CK是一個站在攻擊者的視角來描述攻擊中各階段用到的技術的模型，通過ATT&CK模型，以剖析攻擊面為關鍵，旨在攻擊全鏈路上進行欺騙性防御部署，提高欺騙性防御的全面性和有效性。

Acalvio的Moy說：

利用這種思想來制定優(yōu)先的檢測目標清單，以彌補防御系統(tǒng)中的漏洞。

總之，防御者要考慮攻擊者可能需要采取的步驟類型以及攻擊目標。沿路徑布置一條面包屑痕跡，這些誘餌與對手可能的目標有關。例如，如果攻擊者的目標是憑據(jù)，請確保將偽造的憑據(jù)和其他基于Active Directory的欺騙手段作為策略的一部分。

使用正確的面包屑

闖入員工PC的入侵者通常會轉到注冊表和瀏覽器歷史記錄，以查看該用戶在何處查找內(nèi)部服務器，打印機和其他設備。Fidelis的Roddy說：

面包屑是模仿這些設備的誘餌的地址。

一個好的做法是將這些誘餌的地址放在最終用戶設備上。Roddy說，如果設備受到威脅，攻擊者可能會跟隨面包屑進入誘餌，從而警告管理員已發(fā)生入侵。

主要將欺騙用于預警

不要僅僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為。KnowBe4的Grimes說，通常，這不是欺騙式防御的“主業(yè)”。相反，最好使用欺騙手段作為預警系統(tǒng)來檢測入侵，并將跟蹤和監(jiān)視留給取證工具。

Grimes說：

您想建立持續(xù)的監(jiān)控并花費時間排除網(wǎng)絡上每項資產(chǎn)都能獲得的正常生產(chǎn)連接，例如與補丁和防病毒更新有關的連接。

黑客不知道環(huán)境中的偽造或真實。它們將連接到看起來像生產(chǎn)資產(chǎn)的偽造欺騙資產(chǎn)，就像其他任何實際生產(chǎn)資產(chǎn)一樣容易。

根據(jù)定義，當蜜罐獲得意外連接時，這可能是惡意的，不要讓蜜罐警報出現(xiàn)在SIEM中，也不要立即進行調查。

保持欺騙的新鮮感

Acalvio的Moy說：“故技重施是騙術的致命傷。”真正有效的欺騙技術，需要花樣百出不斷翻新，以跟上用戶活動，應用程序乃至網(wǎng)絡暴露情況的變化。他說：“例如，新漏洞可能無法修補，但可以通過欺騙快速加以保護。”

使用欺騙來增強在已知安全漏洞方面的檢測功能。包括難以保護或修補的遠程工作人員的便攜式計算機、VPN網(wǎng)關網(wǎng)絡、合作伙伴或承包商網(wǎng)絡以及憑據(jù)。在新冠疫情肆虐，遠程工作流行的今天意義尤其重大。