主動網絡欺騙防御的五個關鍵組成部分
網絡欺騙的目標是更有效地檢測滲透到企業網絡的攻擊,混淆和誤導攻擊者,以及了解哪些資產已被入侵。請記住,欺騙防御可以利用攻擊者的知識缺口,同時他們試圖在網絡中橫向移動。下面介紹了主動網絡欺騙防御的5個關鍵組成部分:
1. 發現
在設置安全計劃時,您需要做的第一件事就是了解您想要保護的內容。在發現階段,欺騙系統需要學習網絡布局,發現網絡活動并分析每個資產和設備。資產應根據其位置,用途,類型,協議等進行映射。使用流量分析引擎將網絡和資產映射為欺騙解決方案的一部分非常重要,因為網絡發現過程正在進行中,定期掃描......。通過持續的網絡可見性,欺騙解決方案始終了解網絡中的變化,并可相應地調整欺騙層。
2. 設置誘餌和面包屑
為了使欺騙有效,其組件誘餌和面包屑需要類似于網絡中的實際資產。這是通過應用在“發現”階段收集的信息來實現的。對于所有意圖和目的,誘餌應該看起來與任何其他資產沒有區別。當以正確的方式構建時,誘餌將看起來具有相同的操作系統,在相同端口上運行的相同應用程序,相同的協議,甚至在某些情況下甚至類似的數據,所有這些都取決于誘餌的交互級別。如果誘餌是虛假資產,那么面包屑就是引誘攻擊者訪問誘餌的誘餌。面包屑是多種多樣的,因為它們可以是文件,文檔,電子郵件消息和系統資源,或者基本上系統上或網絡上可能吸引攻擊者的任何內容。
3. 分布
準確放置欺騙組件對于欺騙防御的成功與構建誘餌和面包屑一樣重要。在每個子網內,您希望部署適合各自資源的欺騙。必須根據在發現階段收集的信息進行策略性地放置欺騙組件。這有助于欺騙層的可信性,并確保誘餌和面包屑將被攻擊者“消耗”。分發應該是完全自動化的,以確保準確性和可擴展性。
4. 檢測
智能欺騙通過準確檢測人為和自動攻擊以及未經授權訪問網絡資產,使網絡維護者能夠重新掌控權力。每次訪問或嘗試訪問誘餌都會觸發警報,并將安全團隊指向受感染的資產。欺騙產品應該為防御者提供關于試圖獲取誘餌的機器的完整取證報告,以及攻擊的全部過程,包括攻擊者的內部“過程”,以及嘗試與命令和控制服務器來泄露數據等等。當欺騙功能與網絡流量分析引擎集成時,這是可能的,并且可以在與端點檢測和響應產品集成式進行擴展。
5. 積極適應
組織網絡本質上是動態的。因此,鏡像網絡資產的欺騙層也必須是動態的。一旦檢測到變化,欺騙層必須主動并自動適應,通過添加,更新或重新分配誘餌和面包屑。此過程在整個解決方案生命周期中反復重復。
對成功攻擊的分析表明,感染,攻擊的第一時刻和檢測之間的關鍵時間太長了,通常用幾個月來衡量。當一個企業得知受到攻擊時,更不用說當他們最終分析漏洞并評估風險時,攻擊者很可能已經用寶貴的資產來做了。智能欺騙可以通過檢測組織網絡內部的攻擊者活動并產生高保真警報來顯著減少停留時間,防御者可以放心地采取行動。
