好的誘餌和蜜罐不但讓攻擊者焦頭爛額,也有助于更快地檢測到威脅。
近年來,攻擊者突破企業網絡防御的能力不斷增強,市場對欺騙式防御技術和戰術的興趣日益濃厚。
欺騙式防御并不等同于傳統的蜜罐技術,除了具備與攻擊者交互的能力外,欺騙式防御技術工具重在偽裝和混淆,使用誤導、錯誤響應和其他技巧誘使攻擊者遠離合法目標,并將其引向蜜罐和其他誘騙系統,增加攻擊的難度和成本,屬于主動防御的重要組成部分。
如今,許多欺騙式防御工具都開始利用人工智能(AI)和機器學習(ML)來幫助組織及早發現入侵,并幫助防御者發現攻擊者的工具和策略。
在最近的一份報告中,Mordor Intelligence估計,到2025年,市場對網絡安全欺騙式防御工具的需求將達到25億美元左右,而2019年僅為12億美元。大部分需求將來自政府部門、全球金融機構和其他頻繁發生網絡攻擊的目標。
Attivo Networks的首席技術官Tony Cole指出,欺騙式防御是一個有趣的概念,事實上這種戰術已經以各種形式存在了數千年。
欺騙式防御技術有三個重要的用例
總之,欺騙式防御技術不是單純的蜜罐或者沙箱,而是一種主動防御方法和策略。打個比方,在各個網段中部署誘餌和陷阱,類似在廚房踢腳線策略性地防止奶酪花生醬和捕鼠器。
以下,安全專家們總結了使用欺騙式防御手段快速檢測威脅的七個最佳戰術技巧和實踐。
使用真實計算機(資產)作為誘餌
KnowBe4的數據驅動防御專家Roger Grimes說,最好的欺騙誘餌是高度接近真實生產資產的誘餌。如果欺騙設備與其他系統顯著不同,會很容易被攻擊者發現,因此,誘餌成功的關鍵是看起來像另一個生產系統。Grimes說:
“真實”誘餌可以是企業打算淘汰的舊系統,也可以是生產環境中的新服務器。Grimes建議,請確保使用與實際生產系統相同的名稱,并將它們放在相同的位置,具有相同的服務和防御。
Acalvio的Moy說,欺騙性的關鍵是要融入。避免使用明顯的差異因素,例如通用mac地址、常見的操作系統補丁程序,以及與該網絡上的通用約定相符的系統名稱。
確保您的誘餌看上去重要和有趣
攻擊者討厭欺騙,因為欺騙技術會導致他們掉進兔子洞。Crypsis Group的首席顧問Jeremy Brown說,高級欺騙可以極大干擾攻擊者的活動,并使他們分心數小時,數天甚至數周。
他說:
例如,運行真實操作系統(例如windows Server 2016)的誘餌域控制器對攻擊者來說是非常有吸引力的目標。這是因為域控制器包含Active Directory,而Active Directory則包含環境中用戶的所有權限和訪問控制列表。
同樣,吸引攻擊者注意的另一種方法是創建在環境中未積極使用的真實管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權的賬戶,例如系統管理員,本地管理員或域管理員。誘餌賬戶的活躍信息,可以提醒防御者攻擊行為已經開始 。
模擬非傳統終端設備(漏洞)
Fidelis產品副總裁Tim Roddy說,在網絡上部署誘餌時,不要忘記模擬非傳統的端點。攻擊者越來越多地尋找和利用物聯網(IoT)設備和其他互聯網連接的非PC設備中的漏洞。Roddy說,因此,請確保網絡上的誘餌看起來像安全攝像機、打印機、復印機、運動探測器、智能門鎖以及其他可能引起攻擊者注意的聯網設備。
總之,你的高仿誘餌應當“融入”攻擊者期望看到的網絡場景和設備類型中,這里也包括物聯網。
像攻擊者一樣思考
部署誘餌系統時,請先站在攻擊者的角度審視你或者你的同行的網絡防御弱點,以及適用的TTPs攻擊和手法。
目前這種攻擊型思維的一個最佳實踐就是基于ATT&CK框架的欺騙式防御。ATT&CK是一個站在攻擊者的視角來描述攻擊中各階段用到的技術的模型,通過ATT&CK模型,以剖析攻擊面為關鍵,旨在攻擊全鏈路上進行欺騙性防御部署,提高欺騙性防御的全面性和有效性。
Acalvio的Moy說:
總之,防御者要考慮攻擊者可能需要采取的步驟類型以及攻擊目標。沿路徑布置一條面包屑痕跡,這些誘餌與對手可能的目標有關。例如,如果攻擊者的目標是憑據,請確保將偽造的憑據和其他基于Active Directory的欺騙手段作為策略的一部分。
使用正確的面包屑
闖入員工PC的入侵者通常會轉到注冊表和瀏覽器歷史記錄,以查看該用戶在何處查找內部服務器,打印機和其他設備。Fidelis的Roddy說:
一個好的做法是將這些誘餌的地址放在最終用戶設備上。Roddy說,如果設備受到威脅,攻擊者可能會跟隨面包屑進入誘餌,從而警告管理員已發生入侵。
主要將欺騙用于預警
不要僅僅使用蜜罐和其他欺騙手段來試圖跟蹤或確定黑客的行為。KnowBe4的Grimes說,通常,這不是欺騙式防御的“主業”。相反,最好使用欺騙手段作為預警系統來檢測入侵,并將跟蹤和監視留給取證工具。
Grimes說:
黑客不知道環境中的偽造或真實。它們將連接到看起來像生產資產的偽造欺騙資產,就像其他任何實際生產資產一樣容易。
保持欺騙的新鮮感
Acalvio的Moy說:“故技重施是騙術的致命傷。”真正有效的欺騙技術,需要花樣百出不斷翻新,以跟上用戶活動,應用程序乃至網絡暴露情況的變化。他說:“例如,新漏洞可能無法修補,但可以通過欺騙快速加以保護。”
使用欺騙來增強在已知安全漏洞方面的檢測功能。包括難以保護或修補的遠程工作人員的便攜式計算機、VPN網關網絡、合作伙伴或承包商網絡以及憑據。在新冠疫情肆虐,遠程工作流行的今天意義尤其重大。
