精通安全的企业应该明白,他们需要假设他们的系统可能被破坏。这是零信任架构在当今如此受关注的原因之一,也是越来越多的企业拥有威胁猎人来寻找已经活跃在他们网络上的攻击者的原因。
这种做法越来越流行,因为网络威胁已经变得如此普遍,而传统的入侵检测/预防系统发送了太多的误报,网络威胁很容易被规避。然而,威胁猎人不能抓住一切,没有足够的员工拥有这些技能。那么,安全团队去哪里获得一些帮助和救济呢?越来越多的企业转向主动防御或欺骗技术来帮助识别网络攻击者在其系统中的活动。
顾名思义,欺骗技术是试图欺骗网络攻击者,让他们以为自己在渗透有价值的真实资产或访问有价值的数据,而他们实际上是在一个陷阱中摸索,这不仅使他们在无害的系统上浪费时间,而且更容易观察到他们的攻击措施。他们还帮助安全团队了解网络攻击者使用的工具、技术和程序。这种智能可以用来保护实际的系统。
欺骗技术为了发挥其作用,本质上是制造诱饵和陷阱来模拟自然系统。这些系统很有效,因为它们知道大多数网络攻击者是如何操作的。例如,当网络攻击者入侵系统时,他们通常会寻找建立持久性的方法,这通常意味着关闭后门。除了进入后门,网络攻击者还会尝试在企业内部横向移动,并会尝试使用窃取或猜测的访问凭据。当网络攻击者发现有价值的数据和系统时,他们会部署额外的恶意软件并泄露数据。
在传统异常检测和入侵检测/预防系统的帮助下,企业试图在其整个网络和系统中发现这些持续的网络攻击。但是,问题是这些工具依赖于签名或易受攻击的机器学习算法,并且会造成大量的误报。然而,欺骗技术触发事件的门槛更高,但这些事件往往是对参与者进行真实攻击的真实威胁。
虽然欺骗技术以端点、服务器、传统IT设备和网络设备而闻名,但它们也可以用于物联网设备,如销售点系统、医疗设备等。在为任何企业购买作弊技术时,您需要考虑以下几点:
可伸缩性:为了有效,欺骗技术必须能够部署在整个企业环境中。
集中管理:随着规模的扩大,数以千计的终端以及管理这些欺骗性资产的需求最好从一个集中的控制台进行管理。
敏捷性:欺骗技术还必须部署在各种形式的因素中:内部部署设施、云平台、网络设备、端点和物联网设备。
集成:收集的信息欺骗技术对于安全运营中心、事件响应团队和威胁猎人来说非常有价值。它对其他安全工具也很有价值,如安全信息和事件管理器、防火墙、漏洞管理器和传统的入侵检测和防御系统。寻找可以直接共享数据的欺骗技术,这与现有的安全工具箱配合得很好。
顶级欺骗工具
以下是目前市场上可用的一些作弊技术:
(1)Acalvio ShadowPlex
Acalvio的ShadowPlex平台可以大规模提供企业级的欺骗服务。据该公司称,ShadowPlex旨在最大限度地减少行政开销和日常管理。他们的安装框架灵活可扩展,可以用于诱饵部署,可以选择通过云平台或者内部部署来管理仪表盘。
当网络攻击者与诱饵进行交互时,可以在时间线中检查信息,详细的事件数据(如数据包捕获、日志捕获和攻击中使用的凭据)。当使用所谓的“高交互模式”时,ShadowPlex将提供所有键入的键击、它们连接的网络、任何文件修改以及诱饵中使用的任何系统进程和工具。企业环境是不断变化的,ShadowPlex会对环境进行持续评估,并适当更新诱饵。
ShadowPlex可以与威胁跟踪和安全运营团队使用的工具配合使用。由于它很少产生误报,这些团队将获得可用于事件响应和主动威胁跟踪的数据。ShadowPlex集成了安全信息和事件管理(SIEM)以及安全运营中心(SOC)团队的日志管理解决方案,如Splunk、ArcSight和QRadar。
ShadowPlex还可以保护物联网(IoT)传感器和设备,甚至是构成大部分操作技术(oT)领域的工业控制中心。对于物联网和运营技术设备来说,有欺骗技术保护是必不可少的,因为很多设备本身的原生安全性有限或者没有。这也使它成为医疗保健环境的良好选择。它可以模仿像台式电脑和医疗设备这样的东西,并根据他们的兴趣引诱网络攻击者进入其中的任何一个。
(2)Attivo威胁防御欺骗和响应平台
2022年3月,SentinelOne公司收购Attivo Networks公司。虽然分析人士认为,这次收购的主要动机是Attivo监控密码和评估用户异常身份安全的能力,但SentinelOne公司也收购了Attivo Networks的网络和基于云的欺骗能力。Attivo是欺骗技术最早在产品中加入响应功能的开发者之一。该公司通过其Attivo威胁预防欺骗和响应平台进一步推动了这一工作。该平台可以部署在内部、云平台、数据中心或混合操作环境中。所有部署的诱饵似乎都是网络中使用的真实资产。
Attivo威胁防御欺骗和响应平台与其他欺骗工具集的目标相同,即部署网络攻击者将与之交互的虚假资产,但实际用户要么不知道,要么没有理由接触这些资产。有些诱饵比其他诱饵更公开,这有助于发现内部威胁或监视员工。在大多数情况下,欺骗资产旨在捕捉潜入网络并试图进入更深路径的威胁,获取凭据,横向移动或完全窃取数据。
一旦网络攻击者与Attivo威胁防御欺骗和响应平台的欺骗性资产进行交互,它不仅会生成警报。它还与网络攻击者进行交互,并发回入侵者可能预期的各种响应。它可以激活沙箱,使得网络攻击者上传的任何恶意软件或黑客工具都可以进入沙箱环境。这不仅可以保护网络,还可以检查恶意软件,以确定网络攻击者的意图和策略。
该平台还允许管理员采取措施,例如隔离被网络攻击者用作启动平台的系统,或者使受感染用户的凭证过期。一旦用户开始信任平台,一旦收集到任何重要的威胁情报,这些操作就可以设置为自动发生。而欺骗响应平台不仅提供了良好的欺骗技术,还能帮助防御方快速提高响应能力,这是一个重要的优势。
(3)虚幻的阴影
虚幻网络旨在使网络攻击者成功的横向移动变得虚幻。它通过为网络攻击者创造一个敌对的环境来做到这一点,因为他们试图通过将终端变成欺骗工具来在企业环境中活动。据该公司称,其无代理设计可以防止黑客检测到作弊行为,Illusive Networks声称,其作弊技术在与微软、Mandiant、美国国防部和思科等机构和企业的140多次红队演习中保持不败。
因为它是无代理的,所以Illustrated Shadow可以直接部署在内部设施、云平台或混合云中。正如所料,虚幻的影子诱饵以凭证、网络连接、数据和系统以及攻击者可能感兴趣的其他项目的形式出现。Illusive Shadow还会随着企业环境的变化自动扩展变化,会为每台机器定制端点诱饵。
分析师和安全运营中心(SOC)团队将对Illustrated Shadow的管理控制台如何模拟网络攻击者的接近度感兴趣,因为他们正在与诱饵、关键资产和攻击者的行动时间表进行交互。
(4)反制网络欺骗平台
CounterCraft的在线欺骗平台通过ActiveLures捕获攻击者,active lures可以是定制的,也可以是基于模板的。这些ActiveLure的“碎屑”分布在端点、服务器,甚至是GitHub等平台的线上。欺骗不会随着诱惑而停止;诱饵的作用是将攻击者吸引到ActiveSense环境中。
ActiveSense环境基于由代理收集并通过安全且分段的环境发回的数据。整个系统旨在提供网络攻击者活动的实时信息。据CounterCraft称,ActiveSense环境可以通过CounterCraft平台快速部署和控制。
整个欺骗系统旨在在现有环境中灵活工作,并与现有的安全、信息和事件管理系统以及威胁情报系统集成。它也适用于企业安全团队已经习惯的格式,如SysLog或OpenIOC。收集的威胁信息也可以自动发送到其他机器,以支持其他安全系统。
了解网络攻击者的一个有效方法是通过可视化图表来模拟他们的活动。CounterCraft的攻击图和欺骗平台的实时反馈可以帮助安全团队了解攻击者的战术、工具和程序。
(5)费德利斯欺骗平台
费德利斯欺骗平台声称它可以轻松部署欺骗技术。欺骗资产通过下拉菜单和向导进行部署。您可以选择让费德利斯欺骗平台查看环境,并自动部署欺骗资产。它很好地部署了与环境中任何其他资产相匹配的资产。它将监测网络的发展和扩大,并就如何在欺骗网络中反映这些变化提出建议。例如,如果一家公司安装了一批新的物联网安全摄像头,费德利斯欺骗平台将检测到这一点,并提供部署具有类似特征的假摄像头。它完全支持几乎所有的物联网设备,很多设备也可以在oT中找到。
除了易于部署之外,费德利斯欺骗平台还控制其虚假资产,允许它们相互通信并执行普通同类设备会执行的操作。它甚至开始实施一些令人惊讶的高级策略,如毒害地址解析协议表,使其看起来像欺骗资产一样活跃,就像它们保护的真实资产一样。
费德利斯欺骗平台的独特之处在于,它还产生以真实方式与欺骗性资产互动的虚假用户。试图确定资产是否真实的黑客会看到用户与他们互动的证据并放松警惕,而不会意识到用户本身就是精心策划的骗局的一部分。
(6)TrapX霸天虎(现在的CommVault)
2022年2月,数据治理和安全服务提供商CommVault收购了最受欢迎的欺骗平台之一TrapX和pathideongrid,因为它拥有虚假但真实的欺骗资产。在欺骗网格的帮助下,企业通常会在受保护的网络上部署成千上万的虚假资产。
霸天虎部署的欺骗资产包括网络设备、欺骗令牌和主动陷阱。由于大多数部署,主要的欺骗性资产被设计成看起来像全功能的计算机或设备,TrapX有几个为金融或医疗保健等行业设计的模板。它可以模仿从自动取款机到销售点设备到几乎任何物联网资产的一切。此外,霸天虎还可以用完整的操作系统部署欺骗性资产。它们被称为FullOS traps,旨在让网络攻击者相信他们正在使用真实资产,同时全面监控他们为收集威胁情报所做的一切。
TrapX部署了一个较小的作弊令牌。但同样重要的是。与全功能欺骗性资产不同,令牌只是普通文件、配置脚本和其他类型的诱饵,网络攻击者使用它们来收集有关他们试图入侵的系统和网络的信息。他们不与网络攻击者互动,但当他们访问、复制或查看网络攻击者时,他们会提醒安全团队。
陷阱主动提高了由霸天虎部署的欺骗性资产的数量。这些陷阱在它们之间传输大量虚假的网络流量,并为欺骗网络的其余部分提供指针和线索。任何在幕后监控网络流量的攻击者都可能被虚假的网络流量所欺骗,这将导致他们获得欺骗性的资产,尽管他们可能认为这是安全的,因为它看起来很正常,并且在网络中得到充分的使用。
TrapX霸天虎最近在内部部署和云计算基础设施中增加了欺骗技术容器环境。霸天虎7.2通过检测高级网络攻击并提供利用应用程序漏洞和容器间横向移动的可见性,为增强的事件响应和主动防御提供全面保护。
维吾尔族简介