亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

好的誘餌和蜜罐不但讓攻擊者焦頭爛額，也有助于更快地檢測(cè)到威脅。

近年來(lái)，攻擊者突破企業(yè)網(wǎng)絡(luò)防御的能力不斷增強(qiáng)，市場(chǎng)對(duì)欺騙式防御技術(shù)和戰(zhàn)術(shù)的興趣日益濃厚。

欺騙式防御并不等同于傳統(tǒng)的蜜罐技術(shù)，除了具備與攻擊者交互的能力外，欺騙式防御技術(shù)工具重在偽裝和混淆，使用誤導(dǎo)、錯(cuò)誤響應(yīng)和其他技巧誘使攻擊者遠(yuǎn)離合法目標(biāo)，并將其引向蜜罐和其他誘騙系統(tǒng)，增加攻擊的難度和成本，屬于主動(dòng)防御的重要組成部分。

如今，許多欺騙式防御工具都開(kāi)始利用人工智能（AI）和機(jī)器學(xué)習(xí)（ML）來(lái)幫助組織及早發(fā)現(xiàn)入侵，并幫助防御者發(fā)現(xiàn)攻擊者的工具和策略。

在最近的一份報(bào)告中，Mordor Intelligence估計(jì)，到2025年，市場(chǎng)對(duì)網(wǎng)絡(luò)安全欺騙式防御工具的需求將達(dá)到25億美元左右，而2019年僅為12億美元。大部分需求將來(lái)自政府部門(mén)、全球金融機(jī)構(gòu)和其他頻繁發(fā)生網(wǎng)絡(luò)攻擊的目標(biāo)。

Attivo Networks的首席技術(shù)官Tony Cole指出，欺騙式防御是一個(gè)有趣的概念，事實(shí)上這種戰(zhàn)術(shù)已經(jīng)以各種形式存在了數(shù)千年。

欺騙式防御幾乎可以在企業(yè)中存在網(wǎng)絡(luò)安全隱患的任何地方部署，并且在端點(diǎn)防護(hù)和端點(diǎn)檢測(cè)與響應(yīng)工具的防護(hù)能力不充分的情況下，欺騙式防御特別有用。例如，當(dāng)攻擊者搞定一個(gè)端點(diǎn)并且使用它來(lái)查詢Active Directory時(shí)，你可以向攻擊者提供虛假信息，而不會(huì)影響生產(chǎn)環(huán)境。

欺騙式防御技術(shù)有三個(gè)重要的用例

• 在關(guān)鍵任務(wù)環(huán)境中添加額外的保護(hù)層；
• 在已知存在安全弱點(diǎn)的區(qū)域增強(qiáng)檢測(cè)功能；
• 把潛伏在大量SIEM安全告警信息中的攻擊者給誘騙出來(lái)。

總之，欺騙式防御技術(shù)不是單純的蜜罐或者沙箱，而是一種主動(dòng)防御方法和策略。打個(gè)比方，在各個(gè)網(wǎng)段中部署誘餌和陷阱，類似在廚房踢腳線策略性地防止奶酪花生醬和捕鼠器。

以下，安全專家們總結(jié)了使用欺騙式防御手段快速檢測(cè)威脅的七個(gè)最佳戰(zhàn)術(shù)技巧和實(shí)踐。

使用真實(shí)計(jì)算機(jī)（資產(chǎn)）作為誘餌

KnowBe4的數(shù)據(jù)驅(qū)動(dòng)防御專家Roger Grimes說(shuō)，最好的欺騙誘餌是高度接近真實(shí)生產(chǎn)資產(chǎn)的誘餌。如果欺騙設(shè)備與其他系統(tǒng)顯著不同，會(huì)很容易被攻擊者發(fā)現(xiàn)，因此，誘餌成功的關(guān)鍵是看起來(lái)像另一個(gè)生產(chǎn)系統(tǒng)。Grimes說(shuō)：

攻擊者無(wú)法分辨生產(chǎn)環(huán)境的生產(chǎn)資產(chǎn)和僅作為欺騙性蜜罐存在的生產(chǎn)資產(chǎn)之間的區(qū)別。

“真實(shí)”誘餌可以是企業(yè)打算淘汰的舊系統(tǒng)，也可以是生產(chǎn)環(huán)境中的新服務(wù)器。Grimes建議，請(qǐng)確保使用與實(shí)際生產(chǎn)系統(tǒng)相同的名稱，并將它們放在相同的位置，具有相同的服務(wù)和防御。

Acalvio的Moy說(shuō)，欺騙性的關(guān)鍵是要融入。避免使用明顯的差異因素，例如通用MAC地址、常見(jiàn)的操作系統(tǒng)補(bǔ)丁程序，以及與該網(wǎng)絡(luò)上的通用約定相符的系統(tǒng)名稱。

確保您的誘餌看上去重要和有趣

攻擊者討厭欺騙，因?yàn)槠垓_技術(shù)會(huì)導(dǎo)致他們掉進(jìn)兔子洞。Crypsis Group的首席顧問(wèn)Jeremy Brown說(shuō)，高級(jí)欺騙可以極大干擾攻擊者的活動(dòng)，并使他們分心數(shù)小時(shí)，數(shù)天甚至數(shù)周。

他說(shuō)：

一種常見(jiàn)的欺騙式防御技術(shù)是建立虛擬服務(wù)器或物理服務(wù)器，這些服務(wù)器看上去存儲(chǔ)了重要信息。

例如，運(yùn)行真實(shí)操作系統(tǒng)（例如Windows Server 2016）的誘餌域控制器對(duì)攻擊者來(lái)說(shuō)是非常有吸引力的目標(biāo)。這是因?yàn)橛蚩刂破靼珹ctive Directory，而Active Directory則包含環(huán)境中用戶的所有權(quán)限和訪問(wèn)控制列表。

同樣，吸引攻擊者注意的另一種方法是創(chuàng)建在環(huán)境中未積極使用的真實(shí)管理員賬戶。威脅參與者傾向于尋找賦予他們更高特權(quán)的賬戶，例如系統(tǒng)管理員，本地管理員或域管理員。誘餌賬戶的活躍信息，可以提醒防御者攻擊行為已經(jīng)開(kāi)始 。

模擬非傳統(tǒng)終端設(shè)備（漏洞）

Fidelis產(chǎn)品副總裁Tim Roddy說(shuō)，在網(wǎng)絡(luò)上部署誘餌時(shí)，不要忘記模擬非傳統(tǒng)的端點(diǎn)。攻擊者越來(lái)越多地尋找和利用物聯(lián)網(wǎng)（IoT）設(shè)備和其他互聯(lián)網(wǎng)連接的非PC設(shè)備中的漏洞。Roddy說(shuō)，因此，請(qǐng)確保網(wǎng)絡(luò)上的誘餌看起來(lái)像安全攝像機(jī)、打印機(jī)、復(fù)印機(jī)、運(yùn)動(dòng)探測(cè)器、智能門(mén)鎖以及其他可能引起攻擊者注意的聯(lián)網(wǎng)設(shè)備。

總之，你的高仿誘餌應(yīng)當(dāng)“融入”攻擊者期望看到的網(wǎng)絡(luò)場(chǎng)景和設(shè)備類型中，這里也包括物聯(lián)網(wǎng)。

像攻擊者一樣思考

部署誘餌系統(tǒng)時(shí)，請(qǐng)先站在攻擊者的角度審視你或者你的同行的網(wǎng)絡(luò)防御弱點(diǎn)，以及適用的TTPs攻擊和手法。

目前這種攻擊型思維的一個(gè)最佳實(shí)踐就是基于ATT&CK框架的欺騙式防御。ATT&CK是一個(gè)站在攻擊者的視角來(lái)描述攻擊中各階段用到的技術(shù)的模型，通過(guò)ATT&CK模型，以剖析攻擊面為關(guān)鍵，旨在攻擊全鏈路上進(jìn)行欺騙性防御部署，提高欺騙性防御的全面性和有效性。

Acalvio的Moy說(shuō)：

利用這種思想來(lái)制定優(yōu)先的檢測(cè)目標(biāo)清單，以彌補(bǔ)防御系統(tǒng)中的漏洞。

總之，防御者要考慮攻擊者可能需要采取的步驟類型以及攻擊目標(biāo)。沿路徑布置一條面包屑痕跡，這些誘餌與對(duì)手可能的目標(biāo)有關(guān)。例如，如果攻擊者的目標(biāo)是憑據(jù)，請(qǐng)確保將偽造的憑據(jù)和其他基于Active Directory的欺騙手段作為策略的一部分。

使用正確的面包屑

闖入員工PC的入侵者通常會(huì)轉(zhuǎn)到注冊(cè)表和瀏覽器歷史記錄，以查看該用戶在何處查找內(nèi)部服務(wù)器，打印機(jī)和其他設(shè)備。Fidelis的Roddy說(shuō)：

面包屑是模仿這些設(shè)備的誘餌的地址。

一個(gè)好的做法是將這些誘餌的地址放在最終用戶設(shè)備上。Roddy說(shuō)，如果設(shè)備受到威脅，攻擊者可能會(huì)跟隨面包屑進(jìn)入誘餌，從而警告管理員已發(fā)生入侵。

主要將欺騙用于預(yù)警

不要僅僅使用蜜罐和其他欺騙手段來(lái)試圖跟蹤或確定黑客的行為。KnowBe4的Grimes說(shuō)，通常，這不是欺騙式防御的“主業(yè)”。相反，最好使用欺騙手段作為預(yù)警系統(tǒng)來(lái)檢測(cè)入侵，并將跟蹤和監(jiān)視留給取證工具。

Grimes說(shuō)：

您想建立持續(xù)的監(jiān)控并花費(fèi)時(shí)間排除網(wǎng)絡(luò)上每項(xiàng)資產(chǎn)都能獲得的正常生產(chǎn)連接，例如與補(bǔ)丁和防病毒更新有關(guān)的連接。

黑客不知道環(huán)境中的偽造或真實(shí)。它們將連接到看起來(lái)像生產(chǎn)資產(chǎn)的偽造欺騙資產(chǎn)，就像其他任何實(shí)際生產(chǎn)資產(chǎn)一樣容易。

根據(jù)定義，當(dāng)蜜罐獲得意外連接時(shí)，這可能是惡意的，不要讓蜜罐警報(bào)出現(xiàn)在SIEM中，也不要立即進(jìn)行調(diào)查。

保持欺騙的新鮮感

Acalvio的Moy說(shuō)：“故技重施是騙術(shù)的致命傷。”真正有效的欺騙技術(shù)，需要花樣百出不斷翻新，以跟上用戶活動(dòng)，應(yīng)用程序乃至網(wǎng)絡(luò)暴露情況的變化。他說(shuō)：“例如，新漏洞可能無(wú)法修補(bǔ)，但可以通過(guò)欺騙快速加以保護(hù)。”

使用欺騙來(lái)增強(qiáng)在已知安全漏洞方面的檢測(cè)功能。包括難以保護(hù)或修補(bǔ)的遠(yuǎn)程工作人員的便攜式計(jì)算機(jī)、VPN網(wǎng)關(guān)網(wǎng)絡(luò)、合作伙伴或承包商網(wǎng)絡(luò)以及憑據(jù)。在新冠疫情肆虐，遠(yuǎn)程工作流行的今天意義尤其重大。