<noframes id="5hrf5"><address id="5hrf5"></address>

<sub id="5hrf5"><listing id="5hrf5"><listing id="5hrf5"></listing></listing></sub>

        首頁 > 信息安全 > 正文

        欺騙性防御的七種戰術

        2020-07-16 10:03:11  來源:安全牛

        摘要:近年來,攻擊者突破企業網絡防御的能力不斷增強,市場對欺騙式防御技術和戰術的興趣日益濃厚。
        關鍵詞: 防御 戰術
          近年來,攻擊者突破企業網絡防御的能力不斷增強,市場對欺騙式防御技術和戰術的興趣日益濃厚。
         
          欺騙式防御并不等同于傳統的蜜罐技術,除了具備與攻擊者交互的能力外,欺騙式防御技術工具重在偽裝和混淆,使用誤導、錯誤響應和其他技巧誘使攻擊者遠離合法目標,并將其引向蜜罐和其他誘騙系統,增加攻擊的難度和成本,屬于主動防御的重要組成部分。
         
          如今,許多欺騙式防御工具都開始利用人工智能(AI)和機器學習(ML)來幫助組織及早發現入侵,并幫助防御者發現攻擊者的工具和策略。
         
          在最近的一份報告中,Mordor Intelligence估計,到2025年,市場對網絡安全欺騙式防御工具的需求將達到25億美元左右,而2019年僅為12億美元。大部分需求將來自政府部門、全球金融機構和其他頻繁發生網絡攻擊的目標。
         
          Attivo Networks的首席技術官Tony Cole指出,欺騙式防御是一個有趣的概念,事實上這種戰術已經以各種形式存在了數千年。
         
          他說:“欺騙式防御幾乎可以在企業中存在網絡安全隱患的任何地方部署,并且在端點防護和端點檢測與響應工具的防護能力不充分的情況下,欺騙式防御特別有用。例如,當攻擊者搞定一個端點并且使用它來查詢Active Directory時,你可以向攻擊者提供虛假信息,而不會影響生產環境。”
         
          欺騙式防御技術有三個重要的用例
         
          在關鍵任務環境中添加額外的保護層;
         
          在已知存在安全弱點的區域增強檢測功能;
         
          把潛伏在大量SIEM安全告警信息中的攻擊者給誘騙出來。
         
          總之,欺騙式防御技術不是單純的蜜罐或者沙箱,而是一種主動防御方法和策略。打個比方,在各個網段中部署誘餌和陷阱,類似在廚房踢腳線策略性地防止奶酪花生醬和捕鼠器。
         
          以下,安全專家們總結了使用欺騙式防御手段快速檢測威脅的七個優秀戰術技巧和實踐。
         
          1. 使用真實計算機(資產)作為誘餌
         
          KnowBe4的數據驅動防御專家Roger Grimes說,最好的欺騙誘餌是高度接近真實生產資產的誘餌。如果欺騙設備與其他系統顯著不同,會很容易被攻擊者發現,因此,誘餌成功的關鍵是看起來像另一個生產系統。Grimes說:“攻擊者無法分辨生產環境的生產資產和僅作為欺騙性蜜罐存在的生產資產之間的區別。”
         
          “真實”誘餌可以是企業打算淘汰的舊系統,也可以是生產環境中的新服務器。Grimes建議,請確保使用與實際生產系統相同的名稱,并將它們放在相同的位置,具有相同的服務和防御。
         
          Acalvio的Moy說,欺騙性的關鍵是要融入。避免使用明顯的差異因素,例如通用MAC地址、常見的操作系統補丁程序,以及與該網絡上的通用約定相符的系統名稱。
         
          2. 確保您的誘餌看上去重要和有趣
         
          攻擊者討厭欺騙,因為欺騙技術會導致他們掉進兔子洞。Crypsis Group的首席顧問Jeremy Brown說,高級欺騙可以極大干擾攻擊者的活動,并使他們分心數小時,數天甚至數周。
         
          他說:“一種常見的欺騙式防御技術是建立虛擬服務器或物理服務器,這些服務器看上去存儲了重要信息。”例如,運行真實操作系統(例如Windows Server 2016)的誘餌域控制器對攻擊者來說是非常有吸引力的目標。這是因為域控制器包含Active Directory,而Active Directory則包含環境中用戶的所有權限和訪問控制列表。
         
          同樣,吸引攻擊者注意的另一種方法是創建在環境中未積極使用的真實管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權的賬戶,例如系統管理員,本地管理員或域管理員。誘餌賬戶的活躍信息,可以提醒防御者攻擊行為已經開始 。”
         
          3. 模擬非傳統終端設備(漏洞)
         
          Fidelis產品副總裁Tim Roddy說,在網絡上部署誘餌時,不要忘記模擬非傳統的端點。攻擊者越來越多地尋找和利用物聯網(IoT)設備和其他互聯網連接的非PC設備中的漏洞。Roddy說,因此,請確保網絡上的誘餌看起來像安全攝像機、打印機、復印機、運動探測器、智能門鎖以及其他可能引起攻擊者注意的聯網設備。
         
          總之,你的高仿誘餌應當“融入”攻擊者期望看到的網絡場景和設備類型中,這里也包括物聯網。
         
          4. 像攻擊者一樣思考
         
          部署誘餌系統時,請先站在攻擊者的角度審視你或者你的同行的網絡防御弱點,以及適用的TTPs攻擊和手法。
         
          目前這種攻擊型思維的一個最佳實踐就是基于ATT&CK框架的欺騙式防御。ATT&CK是一個站在攻擊者的視角來描述攻擊中各階段用到的技術的模型,通過ATT&CK模型,以剖析攻擊面為關鍵,旨在攻擊全鏈路上進行欺騙性防御部署,提高欺騙性防御的全面性和有效性。
         
          Acalvio的Moy說:“利用這種思想來制定優先的檢測目標清單,以彌補防御系統中的漏洞。”
         
          總之,防御者要考慮攻擊者可能需要采取的步驟類型以及攻擊目標。沿路徑布置一條面包屑痕跡,這些誘餌與對手可能的目標有關。例如,如果攻擊者的目標是憑據,請確保將偽造的憑據和其他基于Active Directory的欺騙手段作為策略的一部分。
         
          5. 使用正確的面包屑
         
          闖入員工PC的入侵者通常會轉到注冊表和瀏覽器歷史記錄,以查看該用戶在何處查找內部服務器,打印機和其他設備。Fidelis的Roddy說:“面包屑是模仿這些設備的誘餌的地址。”
         
          一個好的做法是將這些誘餌的地址放在最終用戶設備上。Roddy說,如果設備受到威脅,攻擊者可能會跟隨面包屑進入誘餌,從而警告管理員已發生入侵。
         
          6. 主要將欺騙用于預警
         
          不要僅僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為。KnowBe4的Grimes說,通常,這不是欺騙式防御的“主業”。相反,最好使用欺騙手段作為預警系統來檢測入侵,并將跟蹤和監視留給取證工具。
         
          Grimes說:“您想建立持續的監控并花費時間排除網絡上每項資產都能獲得的正常生產連接,例如與補丁和防病毒更新有關的連接。”黑客不知道環境中的偽造或真實。它們將連接到看起來像生產資產的偽造欺騙資產,就像其他任何實際生產資產一樣容易。
         
          “根據定義,當蜜罐獲得意外連接時,這可能是惡意的,”格萊姆斯說。“不要讓蜜罐警報出現在SIEM中,也不要立即進行調查。”
         
          7. 保持欺騙的新鮮感
         
          Acalvio的Moy說:“故技重施是騙術的致命傷。”真正有效的欺騙技術,需要花樣百出不斷翻新,以跟上用戶活動,應用程序乃至網絡暴露情況的變化。他說:“例如,新漏洞可能無法修補,但可以通過欺騙快速加以保護。”
         
          使用欺騙來增強在已知安全漏洞方面的檢測功能。包括難以保護或修補的遠程工作人員的便攜式計算機、網關網絡、合作伙伴或承包商網絡以及憑據。在新冠疫情肆虐,遠程工作流行的今天意義尤其重大。

        第三十屆CIO班招生
        法國布雷斯特商學院碩士班招生
        北達軟EXIN網絡空間與IT安全基礎認證培訓
        北達軟EXIN DevOps Professional認證培訓
        責編:zhangwenwen
        韩日三级片- 视频 - 在线观看 - 影视资讯 - av片