胡立

網(wǎng)絡(luò)欺騙通過創(chuàng)建作為生產(chǎn)資產(chǎn)的誘餌來實現(xiàn)，并且旨在吸引對手。這與欺騙誘餌或誘餌配對，顯示為誘人的憑據(jù)、應(yīng)用程序或數(shù)據(jù)，并將導(dǎo)致攻擊者參與欺騙環(huán)境。欺騙的使用有效導(dǎo)致攻擊者通過網(wǎng)絡(luò)，揭示動機、技術(shù)和意圖，可用于收集對手情報，生成可操作的警報以及加速事件響應(yīng)。

與物理戰(zhàn)爭一樣，通過使用欺騙性技術(shù)，網(wǎng)絡(luò)防御者可以誤導(dǎo)或混淆攻擊者，從而增強他們的防御能力。欺騙、指導(dǎo)和引導(dǎo)對手遠離關(guān)鍵資產(chǎn)的能力，使攻擊者無法實現(xiàn)其目標(biāo)并揭示他如何能夠通過網(wǎng)絡(luò)；它還具有增加攻擊者成本的好處，因為他們必須從虛假中解讀真實內(nèi)容，并且經(jīng)常不得不重新開始攻擊。

蜜罐最初是為研究設(shè)計的，并且在網(wǎng)絡(luò)外部放置了誘餌以確定誰在攻擊該組織。它不是為擴展而設(shè)計的，操作效率非常低。

商業(yè)欺騙技術(shù)專為網(wǎng)內(nèi)威脅檢測而設(shè)計，能夠檢測來自所有矢量和攻擊面的威脅。

為實現(xiàn)這一目標(biāo)，欺騙必須通過3個主要障礙：首先，要有吸引力和可信；第二，擴大覆蓋所有攻擊面；第三，易于操作。為了具有吸引力和可信度，欺騙必須與生產(chǎn)環(huán)境相同，運行相同的操作系統(tǒng)和服務(wù)。

早期的蜜罐技術(shù)被模仿，并且攻擊者不需要花費很長時間來弄清如何識別和避免它們。全面的欺騙技術(shù)平臺支持無限的可擴展性，涵蓋從用戶網(wǎng)絡(luò)到云數(shù)據(jù)中心到獨特物聯(lián)網(wǎng)或ICS部署的所有內(nèi)容。在端點上植入誘餌以誘使攻擊者并將其重定向到欺騙環(huán)境中也很重要，蜜罐缺乏此功能。最后一個重要區(qū)別在于欺騙的準(zhǔn)備、部署和操作。

機器學(xué)習(xí)可以在一小時內(nèi)自動完成此過程，而蜜罐則需要在攻擊后手動設(shè)置和重建。欺騙的直觀性使管理變得非常簡單，而蜜罐則需要高技能資源。最新的欺騙方法還提供自動攻擊分析、事件響應(yīng)自動化以及攻擊路徑，網(wǎng)絡(luò)設(shè)備更改和攻擊時間失效重放的可見性工具。這些功能在蜜罐中根本不存在。

大多數(shù)傳統(tǒng)的安全控制和技術(shù)旨在創(chuàng)建計算機系統(tǒng)的邊界，并專注于阻止外圍的非法訪問嘗試。這些“墻”不斷受到自動化開發(fā)工具的攻擊，攻擊者將不斷在計算機上進行偵察或進行網(wǎng)絡(luò)釣魚活動，直到他們發(fā)現(xiàn)漏洞無法滲透到未被發(fā)現(xiàn)的網(wǎng)絡(luò)中。

在整個停止攻擊的過程中，系統(tǒng)防御者在此過程中對入侵者的目標(biāo)或動機了解甚少或根本沒有學(xué)習(xí)。遺憾的是，立即轉(zhuǎn)移攻擊的愿望也付出了代價。一個可能無意中使得保護計算機系統(tǒng)的任務(wù)變得更加困難，但是在每次不成功的攻擊之后對手都會變得更強大。

欺騙技術(shù)通過準(zhǔn)備組織來改變攻擊的不對稱性，無論網(wǎng)絡(luò)攻擊的類型如何，攻擊面如何都能提供早期檢測，收集有關(guān)攻擊起源、工具、技術(shù)和動機的信息，提供攻擊分析，從而賦予權(quán)力防御者采取果斷行動、自動化響應(yīng)，建立主動防御。

該組織還受益于高保真警報，這些警報具有可操作性和自動化功能，可用于了解攻擊、信息共享和響應(yīng)事件。

擁有網(wǎng)絡(luò)欺騙計劃的價值是多方面的，可以增加IT資產(chǎn)風(fēng)險管理和數(shù)字風(fēng)險管理的價值：

及早準(zhǔn)確檢測繞過外圍防御的威脅，這包括早期偵察、橫向移動以及難以檢測的憑證盜竊。

洞察防御者的安全狀態(tài)的可靠性以及攻擊者如何突破防御。這將更全面了解您的網(wǎng)絡(luò)優(yōu)勢和劣勢，并確定攻擊者最有可能嘗試獲取訪問權(quán)限的區(qū)域。

意識到可能受到攻擊的風(fēng)險和業(yè)務(wù)功能。正確規(guī)劃、設(shè)計和實施欺騙活動可以識別前所未知和潛在易受攻擊的資產(chǎn)，以及攻擊者可以利用的路徑在環(huán)境中移動。

欺騙、指導(dǎo)和引導(dǎo)對手遠離關(guān)鍵資產(chǎn)的能力，否定犯罪者的目標(biāo)并揭示他如何通過網(wǎng)絡(luò)。應(yīng)用這種在他們不知情的情況下誤導(dǎo)或混淆攻擊者的能力，以加強整體防御能力。

減少與使用物聯(lián)網(wǎng)或云等新技術(shù)相關(guān)的增加安全風(fēng)險模型，這可能是競爭性業(yè)務(wù)產(chǎn)品和服務(wù)所需要的。

收集對手情報，果斷地應(yīng)用以阻止攻擊、威脅搜捕和根除威脅。組織可以設(shè)置欺騙和陷阱以降低返回風(fēng)險。

筆者測試期間的證據(jù)或?qū)?nèi)部人員和供應(yīng)鏈相關(guān)的安全計劃彈性或風(fēng)險的持續(xù)漏洞評估。

欺騙還有增加攻擊者成本的好處，因為他們現(xiàn)在必須從虛假中解讀真實內(nèi)容，并且經(jīng)常不得不重新開始攻擊或完全放棄攻擊。增加攻擊的復(fù)雜性是一種強大的威懾力，導(dǎo)致成為攻擊主要目標(biāo)的可能性降低。

許多人爭辯說，網(wǎng)絡(luò)戰(zhàn)已經(jīng)在網(wǎng)絡(luò)中移動，并且沒有現(xiàn)實的方法可以讓攻擊者徹底離開。欺騙技術(shù)是為主動防御而構(gòu)建，可以及早準(zhǔn)確地檢測網(wǎng)絡(luò)內(nèi)攻擊者，并提供了解攻擊者所在位置所需的根本原因分析、工具、技術(shù)、方法和動機。

好處包括能夠改變攻擊的不對稱性并迫使攻擊者在100%的時間內(nèi)保持正確或顯示他們的存在。

它為防御者提供了進攻策略，旨在及早準(zhǔn)確地探測威脅，無論攻擊媒介或表面如何，快速阻止攻擊和加強防御所需的對手情報。

欺騙技術(shù)的本質(zhì)為組織提供了許多優(yōu)勢：它們被迫浪費時間和資源，并由防御者指導(dǎo)特定的行為模式。它還使對手揭示了自己的弱點和方法，這創(chuàng)造了一個活躍的循環(huán)，防御者可以通過它來改善自己的防御。

與其他簡單阻止攻擊的安全控制不同，欺騙技術(shù)提供了一種高度的交互欺騙環(huán)境，可以針對威脅情報以及有關(guān)工具、技術(shù)、目標(biāo)以及威脅如何通過網(wǎng)絡(luò)信息研究攻擊者的活動。憑證和應(yīng)用程序欺騙還將提供有關(guān)企圖盜竊和重用合法憑據(jù)的見解。與命令和控制安全通信的功能還將提供對多態(tài)或時間觸發(fā)活動的寶貴見解，并將提高防御者根除威脅和防止其返回的能力。誘餌文檔等高級功能對于了解攻擊者的目標(biāo)和提供地理位置信息也很有用。

鑒于其準(zhǔn)確性和有效性，欺騙正成為安全堆棧中的檢測控制。許多組織專門為2019年的欺騙項目編制預(yù)算，預(yù)計將繼續(xù)推動采用的快速趨勢。此外，根據(jù)報告，在未來兩年內(nèi)，欺騙技術(shù)市場估計將增長84 %。

欺騙技術(shù)在過去幾年已經(jīng)成熟，現(xiàn)在全球范圍內(nèi)廣泛應(yīng)用于各種攻擊面的網(wǎng)絡(luò)、端點、應(yīng)用和數(shù)據(jù)欺騙技術(shù)，包括數(shù)據(jù)中心、云、用戶網(wǎng)絡(luò)、遠程辦公室、物聯(lián)網(wǎng)、ICS、POS和基礎(chǔ)設(shè)施。我們的有影攻擊誘捕系統(tǒng)是全面的欺騙平臺，可有助于收集對手情報，并通過本地集成自動化事件響應(yīng)。