欺骗工具在过去几年里越来越受欢迎,但客户需要确保他们最大限度地利用了这项技术。
骗局背后的概念很容易理解:安全团队部署一个被严密监控的假目标,黑客会对其进行攻击。一旦目标被攻破,安全小组就会收到威胁警报。
根据我的经验,相对于传统的入侵防御系统而言,欺骗技术的使用是相对较低的。欺骗的挑战之一是,在不断变化的环境中,保持诱饵、面包屑和蜜罐是很困难的。然而,通过软件的使用,网络变得更加灵活,使得欺骗技术更加灵活和容易使用。
我最近读了Gartner的一份报告,“应用欺骗技术和技术来提高威胁检测和响应”,其中强调了欺骗技术的价值。报告的标题有些误导,因为报告主要关注的是欺骗在改进威胁检测中发挥的关键作用。但在我看来,这只是部分价值。重要的是要明白,欺骗在改善事件反应方面可以发挥关键作用。
例如,Gartner指出:
”欺骗是一个可行的选择,以提高威胁检测和响应能力。专注于安全的技术专业人士应该将欺骗评估为一种“低摩擦”的方法,以检测侧向威胁移动,并作为其他检测技术的替代或补充。
该声明笼统地描述了欺骗,但Gartner强调的所有用例都集中在检测上。以下是欺骗可以检测到的两种攻击:
- 旨在使检测常规威胁更容易和更少资源密集的欺骗使用。
- 欺骗的使用,目的是使侦测高级威胁可能更容易和较少的资源密集。
所以,欺骗可以用来发现基本的和高级的威胁。我不是在冒犯Gartner的聪明人,但我不是在开玩笑。这似乎是显而易见的。
我们所缺少的是,简单地“举起旗帜”只会突出问题,而不是真正解决问题。改进的检测只有在安全团队能够更快更准确地开始响应过程时才有用。在这里,将自动分析和响应作为欺骗解决方案的一部分的解决方案可能具有特殊的价值。
Gartner报告中另一个我认为具有误导性的说法是:
“提高侦查能力是采用欺骗技术的主要动机。大多数人没有主动与攻击者接触的动机,一旦检测发生就切断访问或交互。”
这种想法本质上是老派的。毫无疑问,这些信息来自Gartner的实际客户,但客户往往不知道自己需要什么,这就是为什么安全领域充斥着初创公司。这些更小、更有创意的供应商填补了以前没有的空白。
安全团队希望攻击者参与
我与使用过高级欺骗解决方案(如GuardiCore)的客户进行过交谈,他们确实希望攻击者在整个攻击生命周期内参与攻击。这包括发现威胁,然后还要跟踪和分析活动。这对于理解所有的攻击方法,以便更好地分析事件,然后手头有应对的可操作数据是至关重要的。
例如,完整的会话记录可以提供攻击者操作的列表,例如正在使用的凭据、任何命令、攻击者工具或目标文件、执行的操作(重命名、更改等)或网络操作命令(连接、DNS查询等)。这种更高的保真度对于积极分析正在进行的攻击以了解“爆炸半径”有多大是至关重要的。
报告中有一点我认为是最突出的,关于为什么欺骗技术是企业必须拥有的:
“欺骗提供了高保真警报和低假阳性率。”
Gartner在这一点上做到了,尽管它没有很好地解释原因。
欺骗的一大优点是,它在事件管理系统(SIEMs)的安全信息中造成的误报少得多。值得注意的是,siem不是假阳性的原因。事实上,传统的入侵检测方法将错误的数据输入SIEM,从而导致误报。欺骗工具有更高的保真度,因此,向SIEM提供更准确的数据,导致更少的假阳性。
欺骗不仅仅是“升旗”
这支持了我的观点,即欺骗不仅仅是在威胁上“举起旗帜”。一旦有东西击中了诱饵或蜜罐,欺骗解决方案中的数据就必须返回给攻击者,以缩短事件响应过程。这确实带来了一个警告,即解决方案能够记录和分析所有行为,从而提供对事件的高保真检测。
这也意味着从黑客的角度来看,欺骗解决方案必须是可信的。诱饵必须是真正的机器,运行真正的服务和真正的IP地址,这样坏人就很难识别它们不是在生产系统上。
当通过自动分析和缓解响应揭示出真正的高保真安全事件时,事件响应团队将能够非常快速地根据严重程度和对业务的影响对事件进行优先级排序。事实上,安全团队应该将许多功能自动化,以阻止主动破坏。
欺骗越来越受欢迎,因为它可以帮助找到攻击比其他更传统的工具更准确和更快。然而,找到威胁只解决了问题的一部分。一个完整的欺骗解决方案也将使更好的事件反应,以打击威胁行动者。