欺骗技术 是一个类别 事件检测和响应技术 这有助于安全团队进行检测, 分析, 并通过引诱攻击者与部署在您网络中的虚假IT资产进行交互来防御高级威胁.
欺骗方法可以针对特定的恶意行为提供高保真的警报, 其中许多问题很难通过日志分析或分析来识别 SIEM工具 独自一人. 好处:您可以在攻击链的早期识别可疑活动, 以及在你的内部网络上混淆和误导对手. 本页将概述欺骗技术,并深入研究三个例子: Honeypots、蜂蜜用户和蜂蜜凭证.
不管你是想把欺骗技术想象成一条挂在鱼钩上的虫子, 一大块切达干酪藏在捕鼠器里, 或者是引诱水手走向死亡的诱人的海妖之歌的音符, 传达的信息是一样的:欺骗技术是诱饵. 通过设置看起来是合法IT资产的不可抗拒的陷阱, 它诱使内部网络上的攻击者与他们进行交互, 触发警报,给你的团队时间, 洞察力, 以及他们需要有效回应的环境.
因为在您的组织中,没有人需要将欺骗技术作为其工作的一部分, 它记录的任何活动都是自动可疑的. 因此, 欺骗技术的一个主要优点是高保真警报,可以识别非常具体的恶意行为.
欺骗技术可以减少攻击者在您的网络上停留的时间, 加快检测和补救的平均时间, 减少警觉性疲劳, 并提供重要的信息 妥协指标(ioc) 战术、技术和程序(TTPs).
欺骗技术可以帮助检测以下类型的威胁:
对于一个 欺骗技术解决方案 要有效率, 它必须看起来足够合法,才能骗过老练的攻击者, 同时巧妙地折叠到您现有的威胁检测策略. 在理想的情况下, 这种欺骗技术很容易部署, 根据需要自动更新, 并且可以将生成的警报直接发送到你的 安全信息和事件管理(SIEM) 平台.
以下是一些欺骗技术的具体例子:
蜜罐是在您的网络中与生产系统一起部署的诱饵系统或服务器. 它们可以看起来像网络上的任何其他机器,也可以被部署成攻击者可能攻击的目标. 蜜罐有许多应用程序和用例, 因为他们的工作是将恶意流量从重要系统转移出去, 识别异常网络扫描, 并揭露攻击者及其手段的信息.
就目标而言,有两种类型的蜜罐. 研究蜜罐收集有关攻击的信息,专门用于研究野外的恶意行为. 看看你的环境和更广阔的世界, 他们收集有关攻击者趋势的信息, 恶意软件菌株, 以及被对手盯上的漏洞. 这可以告知您的预防性防御、补丁优先级和未来的投资.
生产Honeypots, 部署在您的网络上, 有助于揭示整个环境中的内部妥协,并为团队提供更多的响应时间. 信息收集仍然是一个优先事项, 蜜罐为您提供了额外的监控机会,并填补了识别网络扫描和横向移动的常见检测空白.
简单、低维护, 蜜罐可以帮助您打破攻击链,并通过高保真警报和上下文信息降低攻击者的速度. 想了解更多关于蜜罐的知识? 查看我们的网页 蜜罐技术.
蜂蜜用户是假的用户账号, 通常部署在活动目录中, 检测并警告来自恶意行为者的密码猜测尝试. 一旦攻击者进入了您的网络,他们很可能会尝试纵向攻击 蛮力攻击.
这包括查询Active 导演y以枚举员工帐户,并在这些帐户中尝试少量常用密码. 通过定义和监控蜂蜜用户(没有商业目的的帐户),您可以轻松识别这种隐秘的密码猜测技术.
攻击者将更有可能瞄准描述有趣(但可信)的账户, 所以将其命名为“PatchAdmin”或类似的东西可以帮助诱使他们与之互动. 需要注意的是,这个虚拟用户帐户不应该与组织中的真人相关联,也不应该用于任何有效的身份验证.
一旦攻击者危及端点, 他们通常会从资产中获取密码,并尝试在其他地方访问网络上的其他资源. 蜂蜜凭据通过作为注入到端点的假凭据来帮助对抗这种技术. 如果试图使用蜂蜜凭证进行身份验证,则会产生警告.
无论用户是尝试使用蜂蜜凭据登录到资产还是试图使用蜂蜜凭据枢轴到另一个端点, 这些凭证实际上并不授予对任何系统的访问权限, 所以使用起来非常安全.
蜂蜜凭证还能清晰地显示入侵者在你的网络中横向移动的痕迹——就像银行把爆炸染料包放在钱袋里,以便在钱上做标记,以后再识别它.
将欺骗技术与其他安全措施一起使用将有助于加强您的防御并帮助您及早发现危害. 任何类型的欺骗技术都会有所帮助, 使用正确的类型来弥补现有的检测漏洞将产生最有效的纵深防御方法.