这个专栏可以在名为IT最佳实践的每周通讯中找到。点击这里订阅。
网络攻击者使用欺骗手段试图进入你的网络,他们所做的一切,从鱼叉式网络钓鱼攻击欺骗电子邮件地址到在合法网站上隐藏恶意软件。所以,如果欺骗是坏人的标准操作程序,也许是时候用你自己的欺骗反击了。事实上,Gartner认为这是对现有安全基础设施的一个很好的补充。
至少自1999年兰斯Spitzner,Honeynet项目的创始人,发表了关于如何建立一个蜜罐纸欺骗技术,旨在诱惑和陷阱的恶意行为已经出现。早期的蜜网是相当大量资源,而且它们必须维护,以确保蜜网并没有反抗宿主的组织。此后,虚拟机的出现,有助于缓解欺骗技术的部署和使用。
TrapX安全这家企业采取了虚拟机和能力的优势,部署大规模的企业内部的DeceptionGrid解决方案。该解决方案可以通过托管安全服务提供商(MSSP),或由运营自身的安全运营中心(SOC)的企业部署。TrapX建立了各类仿真的陷阱 - 有时候甚至引诱 - 攻击者使他们的行动和妥协(国际石油公司)的指标可以被检测,分析,并通过采取行动的情报转而反对他们。
TrapX虚拟设备可以安装在VMware ESX或Microsoft Hyper-V上,也可以安装在非常低端的裸机硬件上。现在,一个设备最多可以运行512个同步仿真,但很快就会达到1,024个,甚至更多。然后有几个连接到网络基础设施的关键接口,允许TrapX执行其业务。
第一个是在你的互联网出口点到SPAN连接或TAP端口。这允许TrapX用于从恶意软件可被信标出任何的IOC监视器流量;例如,当勒索伸出来获得它的加密密钥,或者当一个成功的网络钓鱼攻击导致通信与命令和控制服务器。TrapX使用智能来源从多种来源,以识别并报警的可疑流量。
一为诱饵部署的核心部件是在TrapX的Trunk端口到核心交换机的连接。这使得TrapX看到任何核心交换机知道的VLAN和目前的IP寻址的目标或诱饵上有一个开关理解的VLAN。从攻击者的角度看,它看起来像目标和诱饵的是,网络中的用户或设备上,而事实上所有的诱饵是是虚拟设备中运行的仿真。这种架构是说创造一个可扩展的,易于部署的解决方案。
展开欺骗网格是自动的和低摩擦。TrapX支持大约70多种不同的仿真组合,包括工作站类型、Windows和Linux服务器、基础设施设备、SCADA设备、医疗设备、数据库和自定义仿真。TrapX引用了一个医疗客户的例子,该客户在其整个医院网络中部署了医疗设备仿真,以保护关键生命系统。
供应商可以支持其中的诱饵进行代理通过实际活动系统就像一个活的数据库高交互环境。管理员可以指向和规模数以百计的诱饵,看起来像数据库服务器,但只有约护理烦恼和一个能够用假信息填充的喂养,看起来像这将是感兴趣的攻击者的信息。如果数据足够现实的,攻击者可能会去尽可能努力,因为他认为他有信用卡或项目计划或专利信息出售它在公开市场上。
大多数陷阱都是相当静态的,这意味着攻击者会偶然发现它们,但是您也可以设置诱饵或欺骗令牌来吸引攻击者。例如,假设攻击者使用鱼叉式网络钓鱼进入用户工作站。到了那里,他会查看目录,看看有什么有趣的东西。TrapX可以在目录中放置诱饵(类似于令人兴奋的虚假网络共享驱动器),以便将攻击者引入陷阱。这些诱惑是没有代理人,但完全无法抗拒入侵者。
如果攻击者触及了诱饵中的任何一个,就会发出警报,因为没有合理的理由让任何人命中这些陷阱之一。这个系统几乎没有误报。TrapX可以像捕获外部威胁一样轻松地捕获内部威胁。
当有人中了圈套的土地,一个先进的事件响应平台接管。TrapX捕捉各种相关信息,如软件,它被注入,它是从哪里来的IP地址(这表明该设备被攻破),可以针对已知的IOC上进行检查,所以二进制文件。
TrapX自动将相关信息发送到基于云的沙箱来分析它。TrapX也有一个内置的工具来构建一个时间表,做好取证分析,并收集整个PCAP提供什么攻击者正在做非常详细的信息。所有这些情报发送给TrapX安全运营中心(TSOC),它可以根据需要被送入你的SIEM。你得到指示您正是正在发生的事情,所以你可以在你选择的方式跟进违反警报。
TrapX还通过STIX、TAXII和英特尔安全公司的DXL等数据共享标准,支持更广泛的威胁情报生态系统。在一个环境中发现的指标可以快速匿名地与许多其他环境共享。
随着虚拟环境如此突出的今天,欺骗技术已经成为,好了,看似易于部署和使用。这是一个防御纵深阿森纳多了一个武器。