当前位置:西部数码新闻资讯门户 > 互联网 > 正文
积极防御:欺骗如何改变了网络安全
网络攻击的模式是众所周知的,目标也是如此。黑客正试图闯入以获取有价值的数据或采取有利于他们的行动,并希望尽可能长时间不被发现。有许多解决方案致力于预防,系统锁定,防止横向移动,以及以其他方式检测异常行为。
然而,检测的挑战是如何更快,更全面地做到这一点,以最高的成功机会,同时最大限度地减少运营开销和误报。这就是现在在各种产品中实现的欺骗技术至关重要的地方。
欺骗是过去在外部寻找邪恶行为者的东西的演变,它起源于蜜罐的想法 – 外部网站会吸引那些有不良意图的人,以便能够识别它们。虽然安全研究人员经常使用蜜罐,但它对于企业来说并不是一种流行的技术。欺骗本质上采取了一种新的方法,并在网络中移动威胁欺骗,为已经渗透到外围防御的威胁提供更有价值的洞察力。在这样做的过程中,它提供了一种只生成高保真警报的方法,并且可以显着减少检测攻击的时间。
今天使用欺骗方法,您可以利用看似可用的有价值的诱饵和信息来充分利用内部基础设施,任何人都不应该合法访问这些诱饵和信息。如果有人访问这些资产,您就知道您有入侵者或至少存在导致安全风险的策略违规。当攻击者已经在网络内部时,这种检测机制特别有价值,例如内部人员,受信任的第三方,供应商和承包商。
公司内部的欺骗就像你在电影中看到的关于大抢劫的那些看不见的激光束绊网。当任何人试图访问这些内部诱饵或欺骗凭证时,会触发激光传感器的数字等效物,并且您知道自己受到了攻击。您还知道攻击来自网络内部以及攻击者如何试图违反您的系统。然后,您可以在尝试传播时立即检测到攻击,无论是通过凭据窃取还是侦察。
一旦检测到攻击,就可以开始采取对策。可以立即关闭攻击者的行为,或者可以观察攻击者。通过观察他们所做的事情,可能会获得有关谁正在攻击以及他们正在尝试做什么的更多信息。然后可以自动编译高级取证数据,帮助安全团队不仅可以检测,还可以搜寻威胁和消除威胁。欺骗可以是参与所谓的主动防御的重要方式。在军事方面,积极的防御被定义为“采用有限的进攻行动和反击来拒绝敌人的有争议的区域或位置。”这些行动的目的是改变攻击的不对称性并增加成本对网络对手。
欺骗和平衡的网络安全框架
欺骗是一种适合我们平衡的网络安全框架的技术,作为NIST定义的检测类别的一部分。网络安全差距是什么,如何整合新组件,如何添加数据仓库以帮助未来证明投资组合,以及如何从投资组合中获得更多的商业利益。
但同样重要的是要理解,随着我们推进均衡投资组合方法并使其变得更加成熟,增加成熟度的关键方面之一是捕获和标准化分析师所做的工作。这是至关重要的,因此对网络安全事件的分析不会被困在个人分析师的个人电子表格或文档中,而是可以共享和学习的剧本的一部分。这不仅有助于检测攻击,还可以防止攻击,并有助于创建针对攻击的自动协调响应。
如果公司能够做到这一点,投资组合将能够为业务增加价值,包括更深入地了解业务运营,例如识别关键事件或提供详细的活动模型。我们不是将网络安全事件视为病态,而是将业务视为一个整体,并确保业务的基本使命能够以安全的方式进行。以这种方式支持业务的整体健康状况。
在欺骗的情况下,可能会有大量的信息积累,攻击分析和相关性,以确保攻击被停止,清除和阻止返回。安全控制之间的内部信息共享使您能够在自己的组织中更有效,并建立更强大的安全防御。然后是更广泛的观点,即跨行业或更广泛地共享攻击信息,以便每个人都可以从这些信息和知识中受益。
是什么让欺骗起作用?
对于工作中的欺骗,你必须通过试图诱骗他们与欺骗诱饵或诱饵进行交互来向对手展示看似真实的内容,这样可以让你了解它们在你的系统内以及它们如何执行攻击。显然,这是一个古老的概念,用于商业和生活的各个方面。但我们关注的是如何在网络安全领域正确实施这一概念。
为了使这些工作起作用,你必须能够提供一个看似真实且对对手有吸引力的现实观。如果您提供看似假的诱饵或目标,攻击者将避免它们,因此,解决方案将无法正常工作。欺骗必须是真实和有吸引力的。这意味着真实的操作系统和凭证看起来与生产环境相同。
为了使欺骗有效,首先它必须是真实的。
攻击者很复杂。为了欺骗他们,欺骗需要与生产资产和凭证相同。它需要足够可信才能让它们堕落。
此外,为了充分发挥欺骗的作用,它必须是全面的,涵盖不断变化的攻击面。一些提供基于欺骗的网络安全的供应商只关注一种形式的欺骗 – 如凭证,诱饵或数据文件。但是,如果你能够通过放入凭证和映射的驱动对象来吸引所有攻击方法和服务,以吸引网络,云端以及物联网,POS和SWIFT等专业场所的攻击,那就更好了。使用今天的虚拟化技术,您可以使这些欺骗无处不在,这使您可以在任何地方发现攻击的最高概率。在现代世界中,攻击通常是多态的,这可能特别有用。
欺骗也必须是可扩展的。欺骗比其他检测网络安全威胁的方法更有效。您没有查看试图确定正常然后检测异常的每个数据。相反,在欺骗的情况下,你会放入诱饵或诱饵,如果访问它们,你就知道存在问题。没有误报。
因此,可伸缩性不是关于处理能力,而是关于设计和实现一套全面的真实诱饵,然后可以在整个环境中实施。一旦部署了这些诱饵,您就必须能够定期管理和刷新它们以保持真实性。部署和响应的自动化是可扩展性和易于持续运营的真正关键。
欺骗也是独一无二的,因为组织可以安全地在欺骗沙箱中与攻击者进行更深入的取证。安全分析师可以比其他形式的检测更安全地观察攻击者,因为受到攻击的资产是诱饵。在正常攻击中,分析师希望立即阻止攻击访问有价值的资产。通过欺骗,您可以与攻击者交战,然后激活对策。这可能是欺骗最独特的方面,因为它改变了攻击者和防御者之间的权力平衡,并且你比其他人更了解他们。改变攻击的不对称性至少会减缓攻击并增加攻击者的成本。在某些情况下,这也可以起到威慑作用,驱使攻击者找到一个更容易的目标。
“部分基本问题是当你防止攻击时,你没有机会去研究它,”克兰德尔说。“当你阻止它时,你会阻止它进入,但你没有从中学习。丢失了有价值的信息,这些信息对于快速消除攻击和防止攻击返回至关重要。“
为什么我们需要一套灵活的欺骗技术?
