欺騙技術(shù)討論通常會(huì)導(dǎo)致蜜罐, 然后就會(huì)有某種程度的混亂開始。添加一組用于欺騙的縮寫詞,，包括： 面包屑、誘餌、陷阱、信標(biāo)，而且大多數(shù)新的主題都看到另一個(gè)安全研究項(xiàng)目。欺騙技術(shù)可能會(huì)混淆部署策略, 從而使遺留的觀點(diǎn)在我們的腦海中虛假地站立。 針對(duì)欺騙防御影響部署策略的重大創(chuàng)新已得到發(fā)展。

首先, 安全研究需要的是傳統(tǒng)的實(shí)際操作系統(tǒng)蜜罐專注于遏制和公開妥協(xié)。但是, 在網(wǎng)絡(luò)內(nèi)部部署數(shù)以千計(jì)的用戶作為入侵后檢測(cè)策略, 只會(huì)增加攻擊面和風(fēng)險(xiǎn)級(jí)別。 正如我們需要技術(shù)嫻熟的執(zhí)法人員來(lái)偵測(cè)和發(fā)現(xiàn)包裹轟炸機(jī)和狙擊手一樣, 我們需要熟練的安全研究人員捕捉攻擊工具和方法, 以了解可能的歸屬以及如何緩解這些攻擊。

因此, 關(guān)于安全研究蜜罐的深入討論將側(cè)重于遏制作為一種部署策略。 蜜罐必須盡可能真實(shí), 以避免攻擊者檢測(cè), 所以安裝他們的工具, 并開始他們的方法。 相反, 使用欺騙作為入侵后防御在內(nèi)部側(cè)重于檢測(cè) (vs 遏制), 其中創(chuàng)新改進(jìn)了這種部署策略。隨著時(shí)間的推移, 純蜜罐建立在真正的操作系統(tǒng)進(jìn)化成虛擬機(jī), 使其更容易重置。 仿真服務(wù)將蜜罐演變成不易受損害的誘餌，然而，開放自動(dòng)化和規(guī)?；?。

考慮到入侵后欺騙策略的檢測(cè), 當(dāng)攻擊者發(fā)現(xiàn)媒介或低交互誘餌是對(duì)服務(wù)和數(shù)據(jù)的仿真時(shí), 檢測(cè)的目標(biāo)早就完成了。 為了使欺騙確定性 (vs 攻擊者統(tǒng)計(jì)發(fā)現(xiàn)誘餌), 誘餌被放置在真實(shí)資產(chǎn), 然后導(dǎo)致攻擊者進(jìn)行攻擊。 這些誘餌也被稱為面包屑, 虛假數(shù)據(jù), 偽造的憑據(jù), 陷阱和信標(biāo)。 現(xiàn)代欺騙的重點(diǎn)是面包屑和誘餌之間的鏈接, 以便盡可能最有效地進(jìn)行檢測(cè)。

我們知道大多數(shù)攻擊都是通過(guò)網(wǎng)絡(luò)釣魚、社交工程或通過(guò)攻擊進(jìn)入立足點(diǎn)系統(tǒng)來(lái)達(dá)到的。很少是立足點(diǎn)系統(tǒng)是理想的資產(chǎn)或數(shù)據(jù), 因此攻擊使用偵察找到路徑的橫向移動(dòng)到他們想要的。 這是一個(gè)機(jī)會(huì), 了解攻擊者想要引誘、檢測(cè)和防御欺騙作為檢測(cè)部署策略。 由于近60% 的攻擊沒(méi)有惡意軟件的消息, 攻擊環(huán)境發(fā)生了變化, 超過(guò)40% 的受威脅系統(tǒng)沒(méi)有惡意軟件的跡象, 超過(guò)95% 的惡意軟件只會(huì)被看到一次, 將近一半的用戶會(huì)打開電子郵件,攻擊情況正在發(fā)生變化并在交互后一小時(shí)內(nèi)點(diǎn)擊附件。

那么, 自動(dòng)化如何使欺騙成為早期的入侵檢測(cè)防御的? 自動(dòng)化使網(wǎng)絡(luò)和分析資產(chǎn)的映射能夠自動(dòng)創(chuàng)建與環(huán)境匹配的模擬誘餌。 自動(dòng)化然后部署誘餌和種子面包屑, 再加上監(jiān)測(cè)環(huán)境中的任何變化, 使欺騙層盡可能現(xiàn)實(shí), 只需要很少的人力。 對(duì)于用戶未知的欺騙組件, 警報(bào)具有高保真度, 很少有誤報(bào)來(lái)檢測(cè)新入侵的立足點(diǎn)系統(tǒng)、攻擊橫向移動(dòng)和內(nèi)部威脅。欺騙對(duì)于無(wú)法安裝防御的資產(chǎn) (如企業(yè) IoT 和遺留系統(tǒng)) 也是有效的。 例如企業(yè)物聯(lián)網(wǎng)和遺留系統(tǒng)。自動(dòng)化的現(xiàn)代欺騙解決方案可由一級(jí)安全分析師在每周不到五小時(shí)的時(shí)間內(nèi)進(jìn)行監(jiān)控和維護(hù)。

最終結(jié)果是, 欺騙部署策略具有相反的目的。 一端是安全研究的純蜜罐, 專注于遏制和開放的妥協(xié)作為一個(gè)網(wǎng)絡(luò)監(jiān)視, 其中仿真是無(wú)法有效收集惡意軟件和攻擊工具。 另一種是入侵后智能報(bào)警系統(tǒng), 專注于檢測(cè), 在這種情況下, 仿真可實(shí)現(xiàn)自動(dòng)化和擴(kuò)展, 而不會(huì)危及網(wǎng)絡(luò)內(nèi)部的風(fēng)險(xiǎn)。 考慮到部署策略是檢測(cè),因此無(wú)需承擔(dān)網(wǎng)絡(luò)中真實(shí)操作系統(tǒng)誘餌或蜜罐的風(fēng)險(xiǎn)。