下一代欺騙技術(shù)——早期威脅檢測

回想起當(dāng)許多與會者聽到“欺騙”一詞時，蜜罐仍然是我想到的第一件事。的確，當(dāng)欺騙技術(shù)在多年前首次出現(xiàn)時，蜜罐是描述欺騙工作方式的最類似技術(shù)，因為蜜罐試圖欺騙攻擊者與其進(jìn)行交互。但是，自20世紀(jì)90年代蜜罐問世并于21世紀(jì)首次商業(yè)化以來，欺騙已走了很長一段路。把新一代的欺騙技術(shù)叫做什么，只是不要叫它蜜罐。

定義下一代欺騙技術(shù)首先要說明它不是什么：一種愚蠢的，易于指紋識別的，旨在引誘不幸的，毫無戒心的黑客們注定要滅亡。

下一代欺騙技術(shù)——早期威脅檢測

當(dāng)今的欺騙技術(shù)提供了最早和最有效的檢測周邊威脅的手段，使用了從端點數(shù)據(jù)到誘餌的一系列欺騙手段。根據(jù)Gartner的定義，欺騙平臺包括用于實施，管理和監(jiān)視誘餌的系統(tǒng)，用于創(chuàng)建和分發(fā)誘餌的工具，以及隨后刷新或刪除這些欺騙的方法。為了有效地進(jìn)行檢測，欺騙必須是不可檢測的并且是不可避免的。

隨著市場的發(fā)展，出現(xiàn)了三種常見的欺騙類型。完全交互誘餌（蜜罐），部分或低交互仿真誘餌以及端點數(shù)據(jù)欺騙。讓我們花一點時間將這些欺騙類別進(jìn)一步細(xì)分。

完全交互誘餌（néeHoneypots）

完全交互式誘餌（FID）并不意味著早期檢測到威脅，而且它們并沒有——至少不是很好，而且根本無法始終如一。完全交互誘餌以主機(jī)的形式（物理的或虛擬的）存在于網(wǎng)絡(luò)上，其目的是要被犯罪分子攻擊和破壞。由于完全交互誘餌是在網(wǎng)絡(luò)上部署的完全功能性的系統(tǒng)，因此完全交互誘餌很難廣泛分布，并且維護(hù)和實施的資源非常繁瑣，因此通常只部署有限的完全交互誘餌，這意味著不適用于檢測用例。攻擊者必須將其絆倒或引誘到完全交互誘餌中，以使它們不會上升到檢測所需的“不可避免”或“無法避免”的水平。完全交互誘餌最初旨在讓防御者觀察正在進(jìn)行的攻擊，但仍可以在威脅研究中發(fā)揮作用。然而，越來越復(fù)雜的現(xiàn)成的工具，如蜜罐破壞者意味著今天的攻擊者不太可能被一個完全交互的誘餌長期愚弄。

部分或低交互仿真誘餌

部分交互或低交互誘餌使用仿真來欺騙攻擊者試圖與設(shè)備進(jìn)行交互。從概念上講，這些欺騙就像舞臺布景。攻擊者在企圖闖入時被“抓住”，但門的另一側(cè)沒有東西。這種誘餌的示例是設(shè)備或應(yīng)用程序，它非常詳細(xì)地模擬大型機(jī)管理員控制臺的登錄屏幕。當(dāng)攻擊者嘗試使用被盜的憑據(jù)登錄時，攻擊者會收到一條錯誤消息，并且系統(tǒng)會觸發(fā)警報。經(jīng)常部署仿真來保護(hù)諸如醫(yī)療和物聯(lián)網(wǎng)設(shè)備之類的“不可觸摸”的系統(tǒng)，并且隨著物聯(lián)網(wǎng)技術(shù)的廣泛普及，仿真在欺騙中扮演著更具戰(zhàn)略性的角色。仿真誘餌通常更易于部署和支持， 因此更容易避免。

但是請注意，試圖通過他們在任何一天所支持的仿真數(shù)來判斷欺騙商販?zhǔn)且粋€愚蠢的差事。任何單一供應(yīng)商都不太可能提供所設(shè)想的數(shù)百萬個IoT設(shè)備所需的所有仿真，因此在這里，API以及合作伙伴和客戶進(jìn)行仿真的能力可能會迅速發(fā)展。

端點數(shù)據(jù)欺騙

端點數(shù)據(jù)欺騙僅包含靜態(tài)數(shù)據(jù)組成。攻擊者首次進(jìn)入網(wǎng)絡(luò)時，他們會落在端點上。從那里開始，他們在成為“離開陸地”的過程中，部署了攻擊工具來調(diào)查環(huán)境并搜索合法的憑據(jù)，以提升其特權(quán)以及與其他端點和服務(wù)器的連接。一旦發(fā)現(xiàn)，該數(shù)據(jù)將用于惡意遍歷網(wǎng)絡(luò)。

作為阻止攻擊者的第一步，必須從網(wǎng)絡(luò)中刪除這些有效的憑據(jù)和連接。僅此一項“清理”操作就會減慢或阻止攻擊者“在陸地上生存”的能力，從而以一種通常不在補(bǔ)丁程序側(cè)重的漏洞管理解決方案所無法涵蓋的方式來減少潛在的攻擊面。欺騙供應(yīng)商對這一重要過程的處理方法各不相同，因此不要被營銷炒作所愚弄。在您自己的環(huán)境中執(zhí)行測試。攻擊風(fēng)險評估，它提供有關(guān)“憑據(jù)和連接”環(huán)境當(dāng)前狀態(tài)的令人驚訝的數(shù)據(jù)。

攻擊檢測過程的下一步是在攻擊者一定會遇到的地方放置虛假信息；例如，將偽造的憑據(jù)和連接數(shù)據(jù)放在只有攻擊者才能找到的端點的緩存中。領(lǐng)先的供應(yīng)商提供了許多不同的端點欺騙系列，包括文件，文件系統(tǒng)，電子郵件，RDP連接等等。一旦攻擊者與任何這些虛假數(shù)據(jù)進(jìn)行交互，就會觸發(fā)高保真警報，準(zhǔn)確顯示嘗試了什么以及在何處進(jìn)行了攻擊。供應(yīng)商在收集和分發(fā)此憑證信息的方法上有所不同。

是什么使當(dāng)今的欺騙技術(shù)成為下一代？

如今，機(jī)器智能和自動化技術(shù)使欺騙平臺能夠發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)，并知道攻擊者與它們之間的關(guān)系。智能欺騙系統(tǒng)可以推薦并制作針對每個系統(tǒng)定制的真實網(wǎng)絡(luò)，系統(tǒng)，應(yīng)用程序，服務(wù)器和數(shù)據(jù)欺騙，并表現(xiàn)為環(huán)境的本機(jī)。人工智能驅(qū)動的自動化還可以使復(fù)雜的網(wǎng)絡(luò)欺騙網(wǎng)絡(luò)不斷發(fā)展并與時俱進(jìn)，即使威脅和業(yè)務(wù)發(fā)生變化，即使在最大的網(wǎng)絡(luò)上也是如此。

最后，下一代欺騙技術(shù)還可以與其他安全解決方案輕松集成，從而使其威脅檢測功能可以增強(qiáng)其他技術(shù)的解決能力。例如，端點檢測和響應(yīng)（EDR）以及安全信息和事件管理（SIEM）系統(tǒng)可以在攻擊生命周期的更早點從下一代欺騙工具接收高保真警報。這樣，與下一代欺騙手段一道部署此類解決方案的組織可以在攻擊者能夠接近任何地方之前加快調(diào)查和緩解風(fēng)險。