一个小的网络,挂羊头卖狗肉是一件好事,当涉及到作战网络对手。
今天,美国空军研究实验室(AFRL)利用了这一理念,向安全系统开发商Galois授予了75万美元的赠款,用于开发一种网络欺骗系统,该系统将“极大地降低已经在网络上立足的攻击者的能力”。
具体来说,伽罗瓦会开发它闲聊系统空军。伽罗瓦描述闲聊作为生成交通系统是误导已经渗透网络的攻击:使他们怀疑他们学到的东西,或导致他们做出错误,提高他们的被检测越早可能性。
+更多关于网络世界有个足球雷竞技app:2016年最古怪、最古怪、最酷的科技故事
“为了产生该流量,闲聊开始与当地交通的意见,然后根据现有业务产生的流量没有区别,但巧妙地修改,以满足管理员的目标。这些附加信息可以用来直接向对手假工作站或服务器,例如,和/或从实际的搜寻字词或业务重点转移他们的注意力”伽罗华说。
来自Galois:“因此,我们把闲聊产生的流量称为错误的信号,强调它与其他词之间的区别更容易区分噪声。此外,我们力求以生成故意设计造成对手采取一些行动是我们的优势逼真的流量。
例如,Galois说,它可能会使用假信号:
- 推对手的方式,使他们更容易检测行动改善蜜罐,IDS,SIEM,DLP或其他解决方案的效用。
- 水印文档或其他数据,引入的数据可以将对手绑定到某个位置或时间。
- 通过在网络传输的真实文档上引入小的变化来混淆高价值信息的细节,如设计、计划、源代码或财务数据。
- 从一个组织的真正利益和努力上误导对手。
该许可伽罗瓦和塔夫茨大学将带领的研究工作进入高保真网络协议仿真,而伽罗华公司的子公司Formaltech,公司将作为在授予的分包商。Formaltech的CyberChaff网络欺骗系统 - 其上显示为有效,有源器件到攻击者的网络创建诱饵装置 - 将成为空谈项目一个商业化战略和实施目标。
拨款实际上是第二阶段AFRL的程序。在项目的第一阶段,项目团队展示了Prattle原型如何根据对当地交通的观察生成高度真实的交通。第二阶段将侧重于在更广泛的协议中扩展生成能力,并使用“蜂蜜数据”——为误导攻击者而定制的数据——使他们采取对我们有利的行动,Galois说。
空军研究实验室的工作是不是唯一的安全工作欺骗回事。去年来自情报推进研究项目活动办公室(IARPA)的先进技术开发人员发布了一份报告请求的信息关于如何更好地发展否认和欺骗技术——比如蜜罐或欺骗服务器——这将增强网络安全。
“适应欺骗,支持网络对手的参与是已蓄势待发的一个概念,虽然,研究和实践的现状还很不成熟:许多技术缺乏有效性的严格的实验措施,信息是不够的,以确定如何防御欺骗变化攻击者的行为或如何欺骗增加早期检测网络攻击的相似性,” IARPA在一份声明中说。
Gartner公司在2015年写的欺骗技术并说:“解决方案正在兴起,以发挥企业的威胁防御的未来发挥更大的作用。检测往往是更高质量的欺骗的先决条件。然而,在企业中使用欺骗的开始被用于主动阻挠或“黑洞”的恶意软件僵尸网络威胁行为和可疑连接。在一些情况下,联邦调查已经使用欺骗技术来拦截和僵尸网络下架过程中破坏命令和控制通信,但许多这些用途已被手动执行网络协议或命令和控制服务器欺骗。欺骗技术的目标仍然是检测;然而,利用欺骗手段已经在许多不同类型的产品扩大这些年来,包括古老的蜜罐传感器“。
研究人员还观察到了欺骗技术:
- 尽管还处于萌芽阶段,欺骗作为一种防御攻击者的策略已经有了优点,并且对于渴望高级威胁检测和防御解决方案的大型组织来说是一个有吸引力的新能力。
- 很多组织不明白什么是威胁欺骗;教育证券买家它的有用性将是关键的进一步采用欺骗技术和概念。
- 欺骗作为自动响应机制代表了IT的未来的能力的巨大变化的安全性,产品经理或安全程序不应掉以轻心。
- 欺骗诱饵传感器供应商出现通过在企业内部环境中分发传感器和模仿企业服务端点,应用程序和系统提供的东西攻击增强的检测。
看看其他热门故事:
Viptela任命前思科戴尔- emc高管领导SD-WAN charge