此列是在每周通讯可称之为最佳实践。点击此处订阅。
每个CISO知道这是不够的,只是使用的预防工具,以尽量保持攻击者在网络之外。首席信息安全官必须的“他们将在得到”的心态,用检测工具进行相应的规划。
据Gartner称,违约前的平均时间检测超过200天,而且往往违反由外部机构如信用卡处理器或执法机构进行检测。这些事实仅仅是站不住脚的,当CISO的董事会之前调用讨论防备网络事件。
假设攻击最终会发生,重要的是进攻的速度有多快可以检测并停止。理想的情况是捕捉行动在袭击发生前的任何数据可以exfiltrated,或勒索的情况下,加密。
当攻击者首先进入一个网络,通常是通过恶意软件通过网络钓鱼攻击或偷渡式下载种植,他基本上是盲目的。要删除比喻眼罩,他已经探测周围找出他在哪里和他想要去旁边。他的目标是获取到有价值的资产作为几个动作越好,而不被发现。
欺骗技术可以用来给攻击者,他们发现了一个令人垂涎的资产或有利于下一步的错觉;例如,允许他看到Active Directory中的系统管理员帐户(理论上)应该有提升的访问权限。但是,如果这个帐户只是一个假的诱饵和攻击者仍然把握住它,他可以被诱入陷阱,衬托无声报警。一旦攻击者的存在是已知的,安全专家可以决定做什么,比如终止发作或者是玩猫捉老鼠的游戏,收集关于攻击者的更多信息,并按照他的道路。
了TopSpin安全有一个名为DECOYnet基于欺骗的平台,提供了欺骗和检测正确的互补层开箱。该公司表示,DECOYnet占地面积攻击的所有阶段链它检测到受感染的资产,狩猎和陷阱攻击者,并且偏转从实物资产的攻击。
DECOYnet在所有交通在一定的网络,通过其网络流量分析引擎连接到TAP或SPAN端口和外观或子网。这使得DECOYnet映射组织的网络做资产剖析知道那种终端和服务器存在什么样的,他们在哪里,什么样的操作系统是,他们正在运行什么服务,等等。此发现过程决定在何处放置诱饵 - 即假的资产,如端点,服务器,数据仓库,物联网设备等 - 以及什么类型的诱饵使用,使他们看起来像网络的合法部分。
DECOYnet保持这种连接,看看如何在网络的发展,这有助于创建逼真的欺骗行为,并对其进行调整,以匹配当前的网络配置。了TopSpin调用此功能的自适应欺骗。
DECOYnet的诱饵是像任何其他资产;它们将出现具有相同的操作系统,在同一个端口,相同的协议,甚至类似的数据在某些情况下,运行相同的应用程序。然而,网络的合法用户没有理由访问他们,所以诱饵的任何访问应是一个迹象,入侵者是在工作。诱饵不是物理设备,只是模拟服务。这使得使用单个机架单元千余诱饵的部署。
小陷阱,在同行业中的面包屑或诱饵也称,上种植有实物资产直接攻击者诱骗假的数据项。DECOYnet的小陷阱是多种多样的。它们可以是文件,文档,用户凭证,电子邮件,系统资源,任何一个系统或网络攻击者可能看的。了TopSpin投入它的诱饵和迷你陷阱的现实外观非常强调这样一个攻击者并没有意识到发生了什么事情。
DECOYnet为诱饵和迷你陷阱的自动和手动部署。什么被部署不是代理,而是文件,内存或注册表项凭证。DECOYnet做基于被发现阶段和正在进行的网络分析识别的网络“软点”的位置。该解决方案基本上可以建立一个进攻路线直接攻击者直接进入陷阱。
诱饵可以与攻击者进行交互。例如,入侵者可能会看到似乎是一个Excel文档中的财务报告一个500KB的文件。当他去下载它,DECOYnet在给他的假文件大小为1千兆字节。漫长的下载减慢攻击,同时它也提醒入侵的网络安全团队。
安全团队变得非常丰富的取证信息,有助于攻击调查;for example, whether it is a human or machine type of attack, whether it has had C&C communication, if it has been uploading or downloading files, which assets in the organization it was trying to probe, what kind of application it’s running, the communication channel it’s using, and other good stuff. This can all be fed to a SIEM or viewed via the DECOYnet console. TopSpin says it works with customers to determine what to do with the forensic data according to each customer’s best practices.
DECOYnet的另一个特点是,它的流量分析引擎会分析所有的通信是离开组织。DECOYnet不看实际的数据包;相反,它的阅读通信的模式为手段,以检测异常活动。例如,编码,其中纯HTML代码,预计将发出警报声的流量。为什么要使用呢?为什么加密?也许有人正在做的东西,他们不应该。
如果某个应用程序,它自身标识为浏览器只在一个外部的IP地址或域名静态和未访问不同的网站,看起来很可疑的。如果检测到使用Tor的,首席信息安全官可能会想知道的。DECOYnet着眼于各种活动的,并建立一个取证说唱每个机器片。该组织可以设置策略和阈值,当事情超出一般范围的通知。这是为了增加欺骗功能的简单方法。
作为一项技术,欺骗自静蜜罐的日子极大发展。它现在在企业安全堆栈的重要层。这样做的权利,欺骗可以在网络上只是几个动作中检测和陷阱攻击。