精通安全的企业应该明白,需要假设他们的系统可能遭到破坏。这是零信任架构如今受到如此多关注的原因之一,这也是越来越多的企业拥有威胁猎手以寻找已经在其网络上活跃的攻击者的原因。
这种做法越来越流行,因为网络威胁变得如此普遍,而传统的入侵检测/预防系统发送了太多误报信息,网络威胁也很容易规避。尽管如此,威胁猎手无法捕捉到所有东西,而且没有足够的员工具备这些技能。那么,安全团队去哪里获得一些帮助和缓解呢?越来越多的企业转向主动防御或欺骗技术,以帮助识别网络攻击者在其系统中的移动。
顾名思义,欺骗技术就是试图欺骗网络攻击者,让他们认为正在渗透具有价值的实际资产或访问有价值的数据,而他们实际上是在陷阱中摸索,这不仅让他们在无害的系统上浪费时间,而且更容易观察他们的攻击措施。他们还为安全团队了解网络攻击者正在使用的工具、技术和程序提供帮助。然后,该智能可用于保护实际系统。
为了发挥作用,欺骗技术本质上创造了模拟自然系统的诱饵和陷阱。这些系统之所以有效,是因为了解大多数网络攻击者的操作方式。例如,当网络攻击者侵入系统时,他们通常会寻找建立持久性的方法,这通常意味着关闭后门。除了进入后门之外,网络攻击者还会尝试在企业内部横向移动,将会尝试使用被盗或猜测的访问凭据。当网络攻击者发现有价值的数据和系统时,他们将部署额外的恶意软件并泄露数据。
借助传统的异常检测和入侵检测/预防系统,企业试图在其整个网络和系统上发现这些正在进行的网络攻击。尽管如此,问题在于这些工具依赖于签名或易受攻击的机器学习算法,并会引发大量误报。然而,欺骗技术触发事件的门槛更高,但这些事件往往是真正的威胁参与者进行真正的攻击。
虽然欺骗技术以端点、服务器、传统IT设备和网络设备而闻名,但它们也可以用于物联网设备,如销售点系统、医疗设备等。在为任何企业购买欺骗技术时,都需要考虑以下几点:
- 扩展能力:为了行之有效,欺骗技术必须能够在整个企业环境中部署。
- 集中管理:随着规模的扩大,成千上万的端点和管理这些欺骗性资产的需求,最好是从集中式控制台进行管理。
- 敏捷性:欺骗技术还必须部署在各种形式的因素中:内部部署设施、云平台、网络设备、端点和物联网设备。
- 集成:收集到的信息欺骗技术对于安全运营中心、事件响应团队和威胁猎手来说非常宝贵。它对其他安全工具也很有价值,例如安全信息和事件管理器、防火墙、漏洞管理器以及传统的入侵检测和预防系统。寻找可以直接共享数据的欺骗技术,这与现有的安全工具箱配合得很好。
顶级欺骗工具
以下是目前市场上可用的一些欺骗技术:
(1)Acalvio ShadowPlex
Acalvio公司的ShadowPlex平台可以大规模提供企业级欺骗服务。该公司表示,ShadowPlex旨在尽可能减少管理开销和日常管理。他们的安装框架灵活且可扩展,可用于诱饵部署,并可选择通过云平台或内部部署管理仪表板。
当网络攻击者与诱饵交互时,可以在时间线、详细的事件数据(例如数据包捕获、日志捕获和攻击中使用的凭据)中检查信息。当使用所谓的“高交互模式”时,ShadowPlex将提供所有键入的击键行为、它们连接的网络、任何文件修改以及诱饵中使用的任何系统进程和工具。企业环境在不断变化,ShadowPlex拥有对环境的持续评估并适当地更新诱饵。
ShadowPlex可与威胁追踪和安全运营团队使用的工具配合使用。因为它产生很少的误报,所以这些团队将获得可用于事件响应和主动威胁追踪的数据。ShadowPlex与安全信息和事件管理 (SIEM)和安全运营中心(SOC)团队的日志管理解决方案集成,例如Splunk、ArcSight和QRadar。
ShadowPlex还可以保护物联网(IoT)传感器和设备,甚至是构成大部分运营技术(OT)领域的工业控制中心。对于物联网和运营技术设备而言,拥有欺骗技术来保护它们至关重要,因为许多设备本身的原生安全性有限或没有。这也使其成为医疗保健环境的不错选择。它可以模仿台式电脑和医疗设备之类的东西,根据他们的兴趣引诱网络攻击者进入其中任何一个。
(2)Attivo威胁防御欺骗和响应平台
2022年3月,SentinelOne公司收购了Attivo Networks公司,虽然分析师认为此次收购的主要动机是Attivo监控密码和用户异常的身份安全评估能力,但SentinelOne公司还获得了Attivo Networks的网络和基于云的欺骗能力。Attivo是首批为其产品添加响应功能的欺骗技术开发商之一,该公司通过其Attivo威胁防御欺骗和响应平台进一步推动了这一点。该平台可以部署在内部部署、云平台、数据中心或混合运营环境中。所有部署的诱饵似乎都是在网络中使用的真实资产。
Attivo威胁防御欺骗和响应平台的目标与其他欺骗工具集相同,即部署网络攻击者将与之交互的虚假资产,但实际用户或者不知道,或者没有理由接触这些资产。一些诱饵比其他诱饵更公开一些,这有助于找出内部威胁或窥探员工。在大多数情况下,欺骗资产旨在捕获威胁者潜入网络并试图进入一条更深入的路径,获取凭据,横向移动或彻底窃取数据。
一旦网络攻击者与Attivo威胁防御欺骗和响应平台的一项欺骗性资产进行交互,它不仅仅会生成警报。它还与网络攻击者交互,发回侵入者可能期望的各种响应。它可以激活沙盒,以便网络攻击者上传的任何恶意软件或黑客工具进入沙盒环境。这不仅可以保护网络,还可以检查恶意软件以确定网络攻击者的意图和策略。
该平台还允许管理员采取措施,例如隔离被网络攻击者用作启动平台的系统或使受感染用户的凭据过期。一旦用户开始信任该平台,一旦收集到任何重要的威胁情报,就可以将这些操作设置为自动发生。欺骗和响应平台不仅提供了良好的欺骗技术,还帮助防御者快速提升响应能力,这是一个重要优势。
(3)Illusive Shadow
Illusive Networks公司旨在使网络攻击者的成功横向移动变得虚幻。它通过为网络攻击者创建一个敌对的环境来实现这一点,因为他们试图通过将端点变成欺骗工具来在企业环境中到处移动。该公司称,其无代理设计可防止黑客检测到欺骗行为,Illusive Networks公司声称其欺骗技术在与微软、Mandiant、美国国防部和思科等机构和企业进行的140多次红队演习中保持不败。
因为它是无代理的,所以Illusive Shadow可以直接部署在内部部署设施、云平台或混合云中。正如人们所预料的那样,Illusive Shadow诱饵以凭据、网络连接、数据和系统以及攻击者可能感兴趣的其他项目的形式出现。Illusive Shadow还会随着企业环境的变化而自动扩展和更改,并将为每台机器定制端点诱饵。
安全分析师和安全运营中心(SOC)团队将对Illusive Shadow的管理控制台如何模拟网络攻击者的接近程度感兴趣,因为他们正在与诱饵、关键资产和攻击者行动的时间表进行交互。
(4)CounterCraft网络欺骗平台
CounterCraft的网络欺骗平台通过ActiveLures捕获攻击者,可以自定义或基于模板。这些ActiveLure的“面包屑”分布在端点、服务器,甚至在GitHub等平台上在线。欺骗并没有随着诱惑而停止;诱饵的工作是将攻击者吸引到ActiveSense环境中。
ActiveSense环境基于代理收集的数据,并通过安全和分段的环境发回。整个系统旨在实时提供有关网络攻击者活动的情报。CounterCraft公司表示,ActiveSense环境可以通过CounterCraft平台快速部署和控制。
整个欺骗系统旨在灵活地在现有环境中工作,并与现有的安全、信息和事件管理系统以及威胁情报系统集成。它还适用于企业安全团队已经习惯的格式,例如SysLog或OpenIOC。收集的威胁信息也可以自动发送到其他机器以支持其他安全系统。
了解网络攻击者的一种有效方法是通过可视化图表对他们的活动进行建模。CounterCraft的攻击图和来自欺骗平台的实时反馈,可以帮助安全团队了解攻击者的战术、工具和程序。
(5)Fidelis Deception平台
Fidelis Deception平台声称可以轻松部署欺骗技术。欺骗资产通过下拉菜单和向导部署,可选择让Fidelis Deception平台查看环境并自动部署欺骗资产。它在部署与环境中其他任何内容相匹配的资产方面做得很好。它将监控网络的发展和扩展,就如何反映欺骗网络中的这些变化提出建议。例如,如果一家企业安装了一批新的物联网安全摄像头,Fidelis Deception平台将检测到这一点,并提供部署具有类似特征的假摄像头。它完全支持几乎所有物联网设备,并且在OT中也可以找到许多设备。
除了易于部署之外,Fidelis Deception平台还控制其虚假资产,让它们相互通信并执行相同类型的普通设备会执行的操作。它甚至开始实施一些令人惊讶的高级策略,例如毒化地址解析协议表,使其看起来像欺骗资产一样活跃,就像它们所保护的真实资产一样。
Fidelis Deception平台的独特之处在于它还产生了以真实方式与欺骗性资产交互的假用户。试图确定资产是否真实的黑客会看到用户与之交互的证据并放松警惕,不知道用户本身就是精心策划的骗局的一部分。
(6)TrapX DeceptionGrid(现为CommVault)
2022年2月,数据治理和安全服务商CommVault公司收购了最流行的欺骗平台之一的TrapX和DeceptionGrid,因为它拥有虚假但真实的欺骗资产。借助DeceptionGrid,企业通常会在受保护的网络上部署数千个虚假资产。
DeceptionGrid部署的欺骗资产包括网络设备、欺骗令牌和主动陷阱。从大多数部署开始,主要的欺骗性资产被设计成看起来像功能齐全的计算机或设备,TrapX有几个为金融或医疗保健等行业设计的模板。它可以模仿从自动取款机到销售点设备再到几乎任何物联网资产的一切。此外,DeceptionGrid可以部署具有完整操作系统的欺骗性资产。它们被称为FullOS陷阱,旨在让网络攻击者相信他们正在使用真实资产,同时全面监控他们为收集威胁情报所做的一切。
TrapX部署的欺骗令牌更小。但同样重要。与功能齐全的欺骗性资产不同,令牌只是普通文件、配置脚本和其他类型的诱饵,网络攻击者用来收集有关他们试图入侵的系统和网络的信息。它们不会与网络攻击者交互,但会在他们访问、复制或查看它们时提醒安全团队。
主动陷阱完善了DeceptionGrid部署的欺骗性资产的数量。这些陷阱在它们之间传输大量虚假网络流量,并提供指向欺骗网络其余部分的指针和线索。任何在幕后监控网络流量的攻击者都可能被虚假网络流所欺骗,这将导致他们获得欺骗性资产,即使他们可能认为它是安全的,因为它看起来在网络中正常且充分使用。
TrapX DeceptionGrid最近在内部部署和云计算基础设施中添加了欺骗技术容器环境。通过检测高级网络攻击并提供对利用应用程序漏洞和容器之间横向移动的尝试的可见性,DeceptionGrid 7.2为增强的事件响应和主动防御提供了全面的保护。
