姜唐

網(wǎng)絡(luò)欺騙的目標(biāo)是更有效地檢測滲透到企業(yè)網(wǎng)絡(luò)的攻擊，混淆和誤導(dǎo)攻擊者，以及了解哪些資產(chǎn)已被入侵。請記住，欺騙防御可以利用攻擊者的知識缺口，同時他們試圖在網(wǎng)絡(luò)中橫向移動。下面介紹了主動網(wǎng)絡(luò)欺騙防御的5個關(guān)鍵組成部分：

1.發(fā)現(xiàn)

在設(shè)置安全計劃時，需要做的第一件事就是了解自己想要保護(hù)的內(nèi)容。在發(fā)現(xiàn)階段，欺騙系統(tǒng)需要學(xué)習(xí)網(wǎng)絡(luò)布局，發(fā)現(xiàn)網(wǎng)絡(luò)活動并分析每個資產(chǎn)和設(shè)備。資產(chǎn)應(yīng)根據(jù)其位置、用途、類型和協(xié)議等進(jìn)行映射。使用流量分析引擎將網(wǎng)絡(luò)和資產(chǎn)映射為欺騙解決方案的一部分非常重要，因為網(wǎng)絡(luò)發(fā)現(xiàn)過程正在進(jìn)行中，定期掃描......。通過持續(xù)的網(wǎng)絡(luò)可見性，欺騙解決方案始終了解網(wǎng)絡(luò)中的變化，并相應(yīng)地調(diào)整欺騙層。

2.設(shè)置誘餌和面包屑

為了使欺騙有效，其組件誘餌和面包屑需要類似于網(wǎng)絡(luò)中的實際資產(chǎn)。這是通過應(yīng)用在“發(fā)現(xiàn)”階段收集的信息來實現(xiàn)的。對于所有意圖和目的，誘餌應(yīng)該看起來與任何其他資產(chǎn)沒有區(qū)別。當(dāng)以正確的方式構(gòu)建時，誘餌將看起來具有相同的操作系統(tǒng)，在相同端口上運行的相同應(yīng)用程序、相同的協(xié)議，甚至在某些情況下有類似的數(shù)據(jù)，所有這些都取決于誘餌的交互級別。如果誘餌是虛假資產(chǎn)，那么面包屑就是引誘攻擊者訪問的誘餌。面包屑是多種多樣的，因為它們可以是文件、文檔、電子郵件消息和系統(tǒng)資源，或者是基本系統(tǒng)，也或是網(wǎng)絡(luò)上可能吸引攻擊者的任何內(nèi)容。

3.分布

準(zhǔn)確放置欺騙組件對于欺騙防御的成功與構(gòu)建誘餌和面包屑一樣重要。在每個子網(wǎng)內(nèi)部署適合資源的欺騙。

必須根據(jù)在發(fā)現(xiàn)階段收集的信息進(jìn)行策略性地放置欺騙組件，這有助于欺騙層的可信性，并確保誘餌和面包屑將被攻擊者“消耗”。分發(fā)應(yīng)該是完全自動化的，以確保準(zhǔn)確性和可擴(kuò)展性。

4.檢測

智能欺騙通過準(zhǔn)確檢測人為和自動攻擊以及未經(jīng)授權(quán)訪問網(wǎng)絡(luò)資產(chǎn)，使網(wǎng)絡(luò)維護(hù)者能夠重新掌控權(quán)力。每次訪問或嘗試訪問誘餌都會觸發(fā)警報，并將安全團(tuán)隊指向受感染的資產(chǎn)。欺騙產(chǎn)品應(yīng)該為防御者提供關(guān)于試圖獲取誘餌的機(jī)器的完整取證報告，以及攻擊的全部過程，包括攻擊者的內(nèi)部“過程”，以及嘗試與命令和控制服務(wù)器來泄露數(shù)據(jù)等。當(dāng)欺騙功能與網(wǎng)絡(luò)流量分析引擎集成時（這是可能的），可以在與端點檢測和響應(yīng)產(chǎn)品集成時進(jìn)行擴(kuò)展。

5.積極適應(yīng)

組織的網(wǎng)絡(luò)本質(zhì)上是動態(tài)的。因此鏡像網(wǎng)絡(luò)資產(chǎn)的欺騙層也必須是動態(tài)的。一旦檢測到變化，欺騙層必須主動并自動適應(yīng)，通過添加、更新或重新分配誘餌和面包屑。此過程在整個解決方案生命周期中反復(fù)重復(fù)。

對成功攻擊的分析表明，感染、攻擊的第一時刻和檢測之間的關(guān)鍵時間太長了，通常用幾個月來衡量。當(dāng)一個企業(yè)得知受到攻擊時，更不用說當(dāng)他們最終分析漏洞并評估風(fēng)險時，攻擊者很可能已經(jīng)用寶貴的資產(chǎn)來運作了。智能欺騙可以通過檢測組織網(wǎng)絡(luò)內(nèi)部的攻擊者活動并產(chǎn)生高保真警報來顯著減少停留時間，因此防御者可以放心地采取行動。