精通安全的企業(yè)應該明白，需要假設他們的系統(tǒng)可能遭到破壞。這是零信任架構(gòu)如今受到如此多關注的原因之一，這也是越來越多的企業(yè)擁有威脅獵手以尋找已經(jīng)在其網(wǎng)絡上活躍的攻擊者的原因。

這種做法越來越流行，因為網(wǎng)絡威脅變得如此普遍，而傳統(tǒng)的入侵檢測/預防系統(tǒng)發(fā)送了太多誤報信息，網(wǎng)絡威脅也很容易規(guī)避。盡管如此，威脅獵手無法捕捉到所有東西，而且沒有足夠的員工具備這些技能。那么，安全團隊去哪里獲得一些幫助和緩解呢?越來越多的企業(yè)轉(zhuǎn)向主動防御或欺騙技術(shù)，以幫助識別網(wǎng)絡攻擊者在其系統(tǒng)中的移動。

顧名思義，欺騙技術(shù)就是試圖欺騙網(wǎng)絡攻擊者，讓他們認為正在滲透具有價值的實際資產(chǎn)或訪問有價值的數(shù)據(jù)，而他們實際上是在陷阱中摸索，這不僅讓他們在無害的系統(tǒng)上浪費時間，而且更容易觀察他們的攻擊措施。他們還為安全團隊了解網(wǎng)絡攻擊者正在使用的工具、技術(shù)和程序提供幫助。然后，該智能可用于保護實際系統(tǒng)。

為了發(fā)揮作用，欺騙技術(shù)本質(zhì)上創(chuàng)造了模擬自然系統(tǒng)的誘餌和陷阱。這些系統(tǒng)之所以有效，是因為了解大多數(shù)網(wǎng)絡攻擊者的操作方式。例如，當網(wǎng)絡攻擊者侵入系統(tǒng)時，他們通常會尋找建立持久性的方法，這通常意味著關閉后門。除了進入后門之外，網(wǎng)絡攻擊者還會嘗試在企業(yè)內(nèi)部橫向移動，將會嘗試使用被盜或猜測的訪問憑據(jù)。當網(wǎng)絡攻擊者發(fā)現(xiàn)有價值的數(shù)據(jù)和系統(tǒng)時，他們將部署額外的惡意軟件并泄露數(shù)據(jù)。

借助傳統(tǒng)的異常檢測和入侵檢測/預防系統(tǒng)，企業(yè)試圖在其整個網(wǎng)絡和系統(tǒng)上發(fā)現(xiàn)這些正在進行的網(wǎng)絡攻擊。盡管如此，問題在于這些工具依賴于簽名或易受攻擊的機器學習算法，并會引發(fā)大量誤報。然而，欺騙技術(shù)觸發(fā)事件的門檻更高，但這些事件往往是真正的威脅參與者進行真正的攻擊。

雖然欺騙技術(shù)以端點、服務器、傳統(tǒng)IT設備和網(wǎng)絡設備而聞名，但它們也可以用于物聯(lián)網(wǎng)設備，如銷售點系統(tǒng)、醫(yī)療設備等。在為任何企業(yè)購買欺騙技術(shù)時，都需要考慮以下幾點：

• 擴展能力：為了行之有效，欺騙技術(shù)必須能夠在整個企業(yè)環(huán)境中部署。
• 集中管理：隨著規(guī)模的擴大，成千上萬的端點和管理這些欺騙性資產(chǎn)的需求，最好是從集中式控制臺進行管理。
• 敏捷性：欺騙技術(shù)還必須部署在各種形式的因素中：內(nèi)部部署設施、云平臺、網(wǎng)絡設備、端點和物聯(lián)網(wǎng)設備。
• 集成：收集到的信息欺騙技術(shù)對于安全運營中心、事件響應團隊和威脅獵手來說非常寶貴。它對其他安全工具也很有價值，例如安全信息和事件管理器、防火墻、漏洞管理器以及傳統(tǒng)的入侵檢測和預防系統(tǒng)。尋找可以直接共享數(shù)據(jù)的欺騙技術(shù)，這與現(xiàn)有的安全工具箱配合得很好。

頂級欺騙工具

以下是目前市場上可用的一些欺騙技術(shù)：

(1)Acalvio ShadowPlex

Acalvio公司的ShadowPlex平臺可以大規(guī)模提供企業(yè)級欺騙服務。該公司表示，ShadowPlex旨在盡可能減少管理開銷和日常管理。他們的安裝框架靈活且可擴展，可用于誘餌部署，并可選擇通過云平臺或內(nèi)部部署管理儀表板。

當網(wǎng)絡攻擊者與誘餌交互時，可以在時間線、詳細的事件數(shù)據(jù)(例如數(shù)據(jù)包捕獲、日志捕獲和攻擊中使用的憑據(jù))中檢查信息。當使用所謂的“高交互模式”時，ShadowPlex將提供所有鍵入的擊鍵行為、它們連接的網(wǎng)絡、任何文件修改以及誘餌中使用的任何系統(tǒng)進程和工具。企業(yè)環(huán)境在不斷變化，ShadowPlex擁有對環(huán)境的持續(xù)評估并適當?shù)馗抡T餌。

ShadowPlex可與威脅追蹤和安全運營團隊使用的工具配合使用。因為它產(chǎn)生很少的誤報，所以這些團隊將獲得可用于事件響應和主動威脅追蹤的數(shù)據(jù)。ShadowPlex與安全信息和事件管理 (SIEM)和安全運營中心(SOC)團隊的日志管理解決方案集成，例如Splunk、ArcSight和QRadar。

ShadowPlex還可以保護物聯(lián)網(wǎng)(IoT)傳感器和設備，甚至是構(gòu)成大部分運營技術(shù)(OT)領域的工業(yè)控制中心。對于物聯(lián)網(wǎng)和運營技術(shù)設備而言，擁有欺騙技術(shù)來保護它們至關重要，因為許多設備本身的原生安全性有限或沒有。這也使其成為醫(yī)療保健環(huán)境的不錯選擇。它可以模仿臺式電腦和醫(yī)療設備之類的東西，根據(jù)他們的興趣引誘網(wǎng)絡攻擊者進入其中任何一個。

(2)Attivo威脅防御欺騙和響應平臺

2022年3月，SentinelOne公司收購了Attivo Networks公司，雖然分析師認為此次收購的主要動機是Attivo監(jiān)控密碼和用戶異常的身份安全評估能力，但SentinelOne公司還獲得了Attivo Networks的網(wǎng)絡和基于云的欺騙能力。Attivo是首批為其產(chǎn)品添加響應功能的欺騙技術(shù)開發(fā)商之一，該公司通過其Attivo威脅防御欺騙和響應平臺進一步推動了這一點。該平臺可以部署在內(nèi)部部署、云平臺、數(shù)據(jù)中心或混合運營環(huán)境中。所有部署的誘餌似乎都是在網(wǎng)絡中使用的真實資產(chǎn)。

Attivo威脅防御欺騙和響應平臺的目標與其他欺騙工具集相同，即部署網(wǎng)絡攻擊者將與之交互的虛假資產(chǎn)，但實際用戶或者不知道，或者沒有理由接觸這些資產(chǎn)。一些誘餌比其他誘餌更公開一些，這有助于找出內(nèi)部威脅或窺探員工。在大多數(shù)情況下，欺騙資產(chǎn)旨在捕獲威脅者潛入網(wǎng)絡并試圖進入一條更深入的路徑，獲取憑據(jù)，橫向移動或徹底竊取數(shù)據(jù)。

一旦網(wǎng)絡攻擊者與Attivo威脅防御欺騙和響應平臺的一項欺騙性資產(chǎn)進行交互，它不僅僅會生成警報。它還與網(wǎng)絡攻擊者交互，發(fā)回侵入者可能期望的各種響應。它可以激活沙盒，以便網(wǎng)絡攻擊者上傳的任何惡意軟件或黑客工具進入沙盒環(huán)境。這不僅可以保護網(wǎng)絡，還可以檢查惡意軟件以確定網(wǎng)絡攻擊者的意圖和策略。

該平臺還允許管理員采取措施，例如隔離被網(wǎng)絡攻擊者用作啟動平臺的系統(tǒng)或使受感染用戶的憑據(jù)過期。一旦用戶開始信任該平臺，一旦收集到任何重要的威脅情報，就可以將這些操作設置為自動發(fā)生。欺騙和響應平臺不僅提供了良好的欺騙技術(shù)，還幫助防御者快速提升響應能力，這是一個重要優(yōu)勢。

(3)Illusive Shadow

Illusive Networks公司旨在使網(wǎng)絡攻擊者的成功橫向移動變得虛幻。它通過為網(wǎng)絡攻擊者創(chuàng)建一個敵對的環(huán)境來實現(xiàn)這一點，因為他們試圖通過將端點變成欺騙工具來在企業(yè)環(huán)境中到處移動。該公司稱，其無代理設計可防止黑客檢測到欺騙行為，Illusive Networks公司聲稱其欺騙技術(shù)在與微軟、Mandiant、美國國防部和思科等機構(gòu)和企業(yè)進行的140多次紅隊演習中保持不敗。

因為它是無代理的，所以Illusive Shadow可以直接部署在內(nèi)部部署設施、云平臺或混合云中。正如人們所預料的那樣，Illusive Shadow誘餌以憑據(jù)、網(wǎng)絡連接、數(shù)據(jù)和系統(tǒng)以及攻擊者可能感興趣的其他項目的形式出現(xiàn)。Illusive Shadow還會隨著企業(yè)環(huán)境的變化而自動擴展和更改，并將為每臺機器定制端點誘餌。

安全分析師和安全運營中心(SOC)團隊將對Illusive Shadow的管理控制臺如何模擬網(wǎng)絡攻擊者的接近程度感興趣，因為他們正在與誘餌、關鍵資產(chǎn)和攻擊者行動的時間表進行交互。

(4)CounterCraft網(wǎng)絡欺騙平臺

CounterCraft的網(wǎng)絡欺騙平臺通過ActiveLures捕獲攻擊者，可以自定義或基于模板。這些ActiveLure的“面包屑”分布在端點、服務器，甚至在GitHub等平臺上在線。欺騙并沒有隨著誘惑而停止;誘餌的工作是將攻擊者吸引到ActiveSense環(huán)境中。

ActiveSense環(huán)境基于代理收集的數(shù)據(jù)，并通過安全和分段的環(huán)境發(fā)回。整個系統(tǒng)旨在實時提供有關網(wǎng)絡攻擊者活動的情報。CounterCraft公司表示，ActiveSense環(huán)境可以通過CounterCraft平臺快速部署和控制。

整個欺騙系統(tǒng)旨在靈活地在現(xiàn)有環(huán)境中工作，并與現(xiàn)有的安全、信息和事件管理系統(tǒng)以及威脅情報系統(tǒng)集成。它還適用于企業(yè)安全團隊已經(jīng)習慣的格式，例如SysLog或OpenIOC。收集的威脅信息也可以自動發(fā)送到其他機器以支持其他安全系統(tǒng)。

了解網(wǎng)絡攻擊者的一種有效方法是通過可視化圖表對他們的活動進行建模。CounterCraft的攻擊圖和來自欺騙平臺的實時反饋，可以幫助安全團隊了解攻擊者的戰(zhàn)術(shù)、工具和程序。

(5)Fidelis Deception平臺

Fidelis Deception平臺聲稱可以輕松部署欺騙技術(shù)。欺騙資產(chǎn)通過下拉菜單和向?qū)Р渴穑蛇x擇讓Fidelis Deception平臺查看環(huán)境并自動部署欺騙資產(chǎn)。它在部署與環(huán)境中其他任何內(nèi)容相匹配的資產(chǎn)方面做得很好。它將監(jiān)控網(wǎng)絡的發(fā)展和擴展，就如何反映欺騙網(wǎng)絡中的這些變化提出建議。例如，如果一家企業(yè)安裝了一批新的物聯(lián)網(wǎng)安全攝像頭，F(xiàn)idelis Deception平臺將檢測到這一點，并提供部署具有類似特征的假攝像頭。它完全支持幾乎所有物聯(lián)網(wǎng)設備，并且在OT中也可以找到許多設備。

除了易于部署之外，F(xiàn)idelis Deception平臺還控制其虛假資產(chǎn)，讓它們相互通信并執(zhí)行相同類型的普通設備會執(zhí)行的操作。它甚至開始實施一些令人驚訝的高級策略，例如毒化地址解析協(xié)議表，使其看起來像欺騙資產(chǎn)一樣活躍，就像它們所保護的真實資產(chǎn)一樣。

Fidelis Deception平臺的獨特之處在于它還產(chǎn)生了以真實方式與欺騙性資產(chǎn)交互的假用戶。試圖確定資產(chǎn)是否真實的黑客會看到用戶與之交互的證據(jù)并放松警惕，不知道用戶本身就是精心策劃的騙局的一部分。

(6)TrapX DeceptionGrid(現(xiàn)為CommVault)

2022年2月，數(shù)據(jù)治理和安全服務商CommVault公司收購了最流行的欺騙平臺之一的TrapX和DeceptionGrid，因為它擁有虛假但真實的欺騙資產(chǎn)。借助DeceptionGrid，企業(yè)通常會在受保護的網(wǎng)絡上部署數(shù)千個虛假資產(chǎn)。

DeceptionGrid部署的欺騙資產(chǎn)包括網(wǎng)絡設備、欺騙令牌和主動陷阱。從大多數(shù)部署開始，主要的欺騙性資產(chǎn)被設計成看起來像功能齊全的計算機或設備，TrapX有幾個為金融或醫(yī)療保健等行業(yè)設計的模板。它可以模仿從自動取款機到銷售點設備再到幾乎任何物聯(lián)網(wǎng)資產(chǎn)的一切。此外，DeceptionGrid可以部署具有完整操作系統(tǒng)的欺騙性資產(chǎn)。它們被稱為FullOS陷阱，旨在讓網(wǎng)絡攻擊者相信他們正在使用真實資產(chǎn)，同時全面監(jiān)控他們?yōu)槭占{情報所做的一切。

TrapX部署的欺騙令牌更小。但同樣重要。與功能齊全的欺騙性資產(chǎn)不同，令牌只是普通文件、配置腳本和其他類型的誘餌，網(wǎng)絡攻擊者用來收集有關他們試圖入侵的系統(tǒng)和網(wǎng)絡的信息。它們不會與網(wǎng)絡攻擊者交互，但會在他們訪問、復制或查看它們時提醒安全團隊。

主動陷阱完善了DeceptionGrid部署的欺騙性資產(chǎn)的數(shù)量。這些陷阱在它們之間傳輸大量虛假網(wǎng)絡流量，并提供指向欺騙網(wǎng)絡其余部分的指針和線索。任何在幕后監(jiān)控網(wǎng)絡流量的攻擊者都可能被虛假網(wǎng)絡流所欺騙，這將導致他們獲得欺騙性資產(chǎn)，即使他們可能認為它是安全的，因為它看起來在網(wǎng)絡中正常且充分使用。

TrapX DeceptionGrid最近在內(nèi)部部署和云計算基礎設施中添加了欺騙技術(shù)容器環(huán)境。通過檢測高級網(wǎng)絡攻擊并提供對利用應用程序漏洞和容器之間橫向移動的嘗試的可見性，DeceptionGrid 7.2為增強的事件響應和主動防御提供了全面的保護。