5種頂級(jí)欺騙工具以及它們?nèi)绾巫尵W(wǎng)絡(luò)攻擊者落入陷阱

責(zé)任編輯:cres

作者:John Breeden

2022-06-09 10:22:39

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

欺騙工具在過(guò)去幾年來(lái)取得了長(zhǎng)足的進(jìn)步,如今可以更緊密地模擬真實(shí)的網(wǎng)絡(luò)活動(dòng),并幫助企業(yè)的安全團(tuán)隊(duì)識(shí)別和阻止網(wǎng)絡(luò)攻擊。

精通安全的企業(yè)應(yīng)該明白,需要假設(shè)他們的系統(tǒng)可能遭到破壞。這是零信任架構(gòu)如今受到如此多關(guān)注的原因之一,這也是越來(lái)越多的企業(yè)擁有威脅獵手以尋找已經(jīng)在其網(wǎng)絡(luò)上活躍的攻擊者的原因。
 
這種做法越來(lái)越流行,因?yàn)榫W(wǎng)絡(luò)威脅變得如此普遍,而傳統(tǒng)的入侵檢測(cè)/預(yù)防系統(tǒng)發(fā)送了太多誤報(bào)信息,網(wǎng)絡(luò)威脅也很容易規(guī)避。盡管如此,威脅獵手無(wú)法捕捉到所有東西,而且沒(méi)有足夠的員工具備這些技能。那么,安全團(tuán)隊(duì)去哪里獲得一些幫助和緩解呢?越來(lái)越多的企業(yè)轉(zhuǎn)向主動(dòng)防御或欺騙技術(shù),以幫助識(shí)別網(wǎng)絡(luò)攻擊者在其系統(tǒng)中的移動(dòng)。
 
顧名思義,欺騙技術(shù)就是試圖欺騙網(wǎng)絡(luò)攻擊者,讓他們認(rèn)為正在滲透具有價(jià)值的實(shí)際資產(chǎn)或訪(fǎng)問(wèn)有價(jià)值的數(shù)據(jù),而他們實(shí)際上是在陷阱中摸索,這不僅讓他們?cè)跓o(wú)害的系統(tǒng)上浪費(fèi)時(shí)間,而且更容易觀察他們的攻擊措施。他們還為安全團(tuán)隊(duì)了解網(wǎng)絡(luò)攻擊者正在使用的工具、技術(shù)和程序提供幫助。然后,該智能可用于保護(hù)實(shí)際系統(tǒng)。
 
為了發(fā)揮作用,欺騙技術(shù)本質(zhì)上創(chuàng)造了模擬自然系統(tǒng)的誘餌和陷阱。這些系統(tǒng)之所以有效,是因?yàn)榱私獯蠖鄶?shù)網(wǎng)絡(luò)攻擊者的操作方式。例如,當(dāng)網(wǎng)絡(luò)攻擊者侵入系統(tǒng)時(shí),他們通常會(huì)尋找建立持久性的方法,這通常意味著關(guān)閉后門(mén)。除了進(jìn)入后門(mén)之外,網(wǎng)絡(luò)攻擊者還會(huì)嘗試在企業(yè)內(nèi)部橫向移動(dòng),將會(huì)嘗試使用被盜或猜測(cè)的訪(fǎng)問(wèn)憑據(jù)。當(dāng)網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)和系統(tǒng)時(shí),他們將部署額外的惡意軟件并泄露數(shù)據(jù)。
 
借助傳統(tǒng)的異常檢測(cè)和入侵檢測(cè)/預(yù)防系統(tǒng),企業(yè)試圖在其整個(gè)網(wǎng)絡(luò)和系統(tǒng)上發(fā)現(xiàn)這些正在進(jìn)行的網(wǎng)絡(luò)攻擊。盡管如此,問(wèn)題在于這些工具依賴(lài)于簽名或易受攻擊的機(jī)器學(xué)習(xí)算法,并會(huì)引發(fā)大量誤報(bào)。然而,欺騙技術(shù)觸發(fā)事件的門(mén)檻更高,但這些事件往往是真正的威脅參與者進(jìn)行真正的攻擊。
 
雖然欺騙技術(shù)以端點(diǎn)、服務(wù)器、傳統(tǒng)IT設(shè)備和網(wǎng)絡(luò)設(shè)備而聞名,但它們也可以用于物聯(lián)網(wǎng)設(shè)備,如銷(xiāo)售點(diǎn)系統(tǒng)、醫(yī)療設(shè)備等。在為任何企業(yè)購(gòu)買(mǎi)欺騙技術(shù)時(shí),都需要考慮以下幾點(diǎn):
 
·擴(kuò)展能力:為了行之有效,欺騙技術(shù)必須能夠在整個(gè)企業(yè)環(huán)境中部署。
 
·集中管理:隨著規(guī)模的擴(kuò)大,成千上萬(wàn)的端點(diǎn)和管理這些欺騙性資產(chǎn)的需求,最好是從集中式控制臺(tái)進(jìn)行管理。
 
·敏捷性:欺騙技術(shù)還必須部署在各種形式的因素中:內(nèi)部部署設(shè)施、云平臺(tái)、網(wǎng)絡(luò)設(shè)備、端點(diǎn)和物聯(lián)網(wǎng)設(shè)備。
 
·集成:收集到的信息欺騙技術(shù)對(duì)于安全運(yùn)營(yíng)中心、事件響應(yīng)團(tuán)隊(duì)和威脅獵手來(lái)說(shuō)非常寶貴。它對(duì)其他安全工具也很有價(jià)值,例如安全信息和事件管理器、防火墻、漏洞管理器以及傳統(tǒng)的入侵檢測(cè)和預(yù)防系統(tǒng)。尋找可以直接共享數(shù)據(jù)的欺騙技術(shù),這與現(xiàn)有的安全工具箱配合得很好。
 
頂級(jí)欺騙工具
 
以下是目前市場(chǎng)上可用的一些欺騙技術(shù):
 
(1)Acalvio ShadowPlex
 
Acalvio公司的ShadowPlex平臺(tái)可以大規(guī)模提供企業(yè)級(jí)欺騙服務(wù)。該公司表示,ShadowPlex旨在盡可能減少管理開(kāi)銷(xiāo)和日常管理。他們的安裝框架靈活且可擴(kuò)展,可用于誘餌部署,并可選擇通過(guò)云平臺(tái)或內(nèi)部部署管理儀表板。
 
當(dāng)網(wǎng)絡(luò)攻擊者與誘餌交互時(shí),可以在時(shí)間線(xiàn)、詳細(xì)的事件數(shù)據(jù)(例如數(shù)據(jù)包捕獲、日志捕獲和攻擊中使用的憑據(jù))中檢查信息。當(dāng)使用所謂的“高交互模式”時(shí),ShadowPlex將提供所有鍵入的擊鍵行為、它們連接的網(wǎng)絡(luò)、任何文件修改以及誘餌中使用的任何系統(tǒng)進(jìn)程和工具。企業(yè)環(huán)境在不斷變化,ShadowPlex擁有對(duì)環(huán)境的持續(xù)評(píng)估并適當(dāng)?shù)馗抡T餌。
 
ShadowPlex可與威脅追蹤和安全運(yùn)營(yíng)團(tuán)隊(duì)使用的工具配合使用。因?yàn)樗a(chǎn)生很少的誤報(bào),所以這些團(tuán)隊(duì)將獲得可用于事件響應(yīng)和主動(dòng)威脅追蹤的數(shù)據(jù)。ShadowPlex與安全信息和事件管理 (SIEM)和安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)的日志管理解決方案集成,例如Splunk、ArcSight和QRadar。
 
ShadowPlex還可以保護(hù)物聯(lián)網(wǎng)(IoT)傳感器和設(shè)備,甚至是構(gòu)成大部分運(yùn)營(yíng)技術(shù)(OT)領(lǐng)域的工業(yè)控制中心。對(duì)于物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)設(shè)備而言,擁有欺騙技術(shù)來(lái)保護(hù)它們至關(guān)重要,因?yàn)樵S多設(shè)備本身的原生安全性有限或沒(méi)有。這也使其成為醫(yī)療保健環(huán)境的不錯(cuò)選擇。它可以模仿臺(tái)式電腦和醫(yī)療設(shè)備之類(lèi)的東西,根據(jù)他們的興趣引誘網(wǎng)絡(luò)攻擊者進(jìn)入其中任何一個(gè)。
 
(2)Attivo威脅防御欺騙和響應(yīng)平臺(tái)
 
2022年3月,SentinelOne公司收購(gòu)了Attivo Networks公司,雖然分析師認(rèn)為此次收購(gòu)的主要?jiǎng)訖C(jī)是Attivo監(jiān)控密碼和用戶(hù)異常的身份安全評(píng)估能力,但SentinelOne公司還獲得了Attivo Networks的網(wǎng)絡(luò)和基于云的欺騙能力。Attivo是首批為其產(chǎn)品添加響應(yīng)功能的欺騙技術(shù)開(kāi)發(fā)商之一,該公司通過(guò)其Attivo威脅防御欺騙和響應(yīng)平臺(tái)進(jìn)一步推動(dòng)了這一點(diǎn)。該平臺(tái)可以部署在內(nèi)部部署、云平臺(tái)、數(shù)據(jù)中心或混合運(yùn)營(yíng)環(huán)境中。所有部署的誘餌似乎都是在網(wǎng)絡(luò)中使用的真實(shí)資產(chǎn)。
 
Attivo威脅防御欺騙和響應(yīng)平臺(tái)的目標(biāo)與其他欺騙工具集相同,即部署網(wǎng)絡(luò)攻擊者將與之交互的虛假資產(chǎn),但實(shí)際用戶(hù)或者不知道,或者沒(méi)有理由接觸這些資產(chǎn)。一些誘餌比其他誘餌更公開(kāi)一些,這有助于找出內(nèi)部威脅或窺探員工。在大多數(shù)情況下,欺騙資產(chǎn)旨在捕獲威脅者潛入網(wǎng)絡(luò)并試圖進(jìn)入一條更深入的路徑,獲取憑據(jù),橫向移動(dòng)或徹底竊取數(shù)據(jù)。
 
一旦網(wǎng)絡(luò)攻擊者與Attivo威脅防御欺騙和響應(yīng)平臺(tái)的一項(xiàng)欺騙性資產(chǎn)進(jìn)行交互,它不僅僅會(huì)生成警報(bào)。它還與網(wǎng)絡(luò)攻擊者交互,發(fā)回侵入者可能期望的各種響應(yīng)。它可以激活沙盒,以便網(wǎng)絡(luò)攻擊者上傳的任何惡意軟件或黑客工具進(jìn)入沙盒環(huán)境。這不僅可以保護(hù)網(wǎng)絡(luò),還可以檢查惡意軟件以確定網(wǎng)絡(luò)攻擊者的意圖和策略。
 
該平臺(tái)還允許管理員采取措施,例如隔離被網(wǎng)絡(luò)攻擊者用作啟動(dòng)平臺(tái)的系統(tǒng)或使受感染用戶(hù)的憑據(jù)過(guò)期。一旦用戶(hù)開(kāi)始信任該平臺(tái),一旦收集到任何重要的威脅情報(bào),就可以將這些操作設(shè)置為自動(dòng)發(fā)生。欺騙和響應(yīng)平臺(tái)不僅提供了良好的欺騙技術(shù),還幫助防御者快速提升響應(yīng)能力,這是一個(gè)重要優(yōu)勢(shì)。
 
(3)Illusive Shadow
 
Illusive Networks公司旨在使網(wǎng)絡(luò)攻擊者的成功橫向移動(dòng)變得虛幻。它通過(guò)為網(wǎng)絡(luò)攻擊者創(chuàng)建一個(gè)敵對(duì)的環(huán)境來(lái)實(shí)現(xiàn)這一點(diǎn),因?yàn)樗麄冊(cè)噲D通過(guò)將端點(diǎn)變成欺騙工具來(lái)在企業(yè)環(huán)境中到處移動(dòng)。該公司稱(chēng),其無(wú)代理設(shè)計(jì)可防止黑客檢測(cè)到欺騙行為,Illusive Networks公司聲稱(chēng)其欺騙技術(shù)在與微軟、Mandiant、美國(guó)國(guó)防部和思科等機(jī)構(gòu)和企業(yè)進(jìn)行的140多次紅隊(duì)演習(xí)中保持不敗。
 
因?yàn)樗菬o(wú)代理的,所以Illusive Shadow可以直接部署在內(nèi)部部署設(shè)施、云平臺(tái)或混合云中。正如人們所預(yù)料的那樣,Illusive Shadow誘餌以憑據(jù)、網(wǎng)絡(luò)連接、數(shù)據(jù)和系統(tǒng)以及攻擊者可能感興趣的其他項(xiàng)目的形式出現(xiàn)。Illusive Shadow還會(huì)隨著企業(yè)環(huán)境的變化而自動(dòng)擴(kuò)展和更改,并將為每臺(tái)機(jī)器定制端點(diǎn)誘餌。
 
安全分析師和安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)將對(duì)Illusive Shadow的管理控制臺(tái)如何模擬網(wǎng)絡(luò)攻擊者的接近程度感興趣,因?yàn)樗麄冋谂c誘餌、關(guān)鍵資產(chǎn)和攻擊者行動(dòng)的時(shí)間表進(jìn)行交互。
 
(4)CounterCraft網(wǎng)絡(luò)欺騙平臺(tái)
 
CounterCraft的網(wǎng)絡(luò)欺騙平臺(tái)通過(guò)ActiveLures捕獲攻擊者,可以自定義或基于模板。這些ActiveLure的“面包屑”分布在端點(diǎn)、服務(wù)器,甚至在GitHub等平臺(tái)上在線(xiàn)。欺騙并沒(méi)有隨著誘惑而停止;誘餌的工作是將攻擊者吸引到ActiveSense環(huán)境中。
 
ActiveSense環(huán)境基于代理收集的數(shù)據(jù),并通過(guò)安全和分段的環(huán)境發(fā)回。整個(gè)系統(tǒng)旨在實(shí)時(shí)提供有關(guān)網(wǎng)絡(luò)攻擊者活動(dòng)的情報(bào)。CounterCraft公司表示,ActiveSense環(huán)境可以通過(guò)CounterCraft平臺(tái)快速部署和控制。
 
整個(gè)欺騙系統(tǒng)旨在靈活地在現(xiàn)有環(huán)境中工作,并與現(xiàn)有的安全、信息和事件管理系統(tǒng)以及威脅情報(bào)系統(tǒng)集成。它還適用于企業(yè)安全團(tuán)隊(duì)已經(jīng)習(xí)慣的格式,例如SysLog或OpenIOC。收集的威脅信息也可以自動(dòng)發(fā)送到其他機(jī)器以支持其他安全系統(tǒng)。
 
了解網(wǎng)絡(luò)攻擊者的一種有效方法是通過(guò)可視化圖表對(duì)他們的活動(dòng)進(jìn)行建模。CounterCraft的攻擊圖和來(lái)自欺騙平臺(tái)的實(shí)時(shí)反饋,可以幫助安全團(tuán)隊(duì)了解攻擊者的戰(zhàn)術(shù)、工具和程序。
 
(5)Fidelis Deception平臺(tái)
 
Fidelis Deception平臺(tái)聲稱(chēng)可以輕松部署欺騙技術(shù)。欺騙資產(chǎn)通過(guò)下拉菜單和向?qū)Р渴?,可選擇讓Fidelis Deception平臺(tái)查看環(huán)境并自動(dòng)部署欺騙資產(chǎn)。它在部署與環(huán)境中其他任何內(nèi)容相匹配的資產(chǎn)方面做得很好。它將監(jiān)控網(wǎng)絡(luò)的發(fā)展和擴(kuò)展,就如何反映欺騙網(wǎng)絡(luò)中的這些變化提出建議。例如,如果一家企業(yè)安裝了一批新的物聯(lián)網(wǎng)安全攝像頭,F(xiàn)idelis Deception平臺(tái)將檢測(cè)到這一點(diǎn),并提供部署具有類(lèi)似特征的假攝像頭。它完全支持幾乎所有物聯(lián)網(wǎng)設(shè)備,并且在OT中也可以找到許多設(shè)備。
 
除了易于部署之外,F(xiàn)idelis Deception平臺(tái)還控制其虛假資產(chǎn),讓它們相互通信并執(zhí)行相同類(lèi)型的普通設(shè)備會(huì)執(zhí)行的操作。它甚至開(kāi)始實(shí)施一些令人驚訝的高級(jí)策略,例如毒化地址解析協(xié)議表,使其看起來(lái)像欺騙資產(chǎn)一樣活躍,就像它們所保護(hù)的真實(shí)資產(chǎn)一樣。
 
Fidelis Deception平臺(tái)的獨(dú)特之處在于它還產(chǎn)生了以真實(shí)方式與欺騙性資產(chǎn)交互的假用戶(hù)。試圖確定資產(chǎn)是否真實(shí)的黑客會(huì)看到用戶(hù)與之交互的證據(jù)并放松警惕,不知道用戶(hù)本身就是精心策劃的騙局的一部分。
 
(6)TrapX DeceptionGrid(現(xiàn)為CommVault)
 
2022年2月,數(shù)據(jù)治理和安全服務(wù)商CommVault公司收購(gòu)了最流行的欺騙平臺(tái)之一的TrapX和DeceptionGrid,因?yàn)樗鼡碛刑摷俚鎸?shí)的欺騙資產(chǎn)。借助DeceptionGrid,企業(yè)通常會(huì)在受保護(hù)的網(wǎng)絡(luò)上部署數(shù)千個(gè)虛假資產(chǎn)。
 
DeceptionGrid部署的欺騙資產(chǎn)包括網(wǎng)絡(luò)設(shè)備、欺騙令牌和主動(dòng)陷阱。從大多數(shù)部署開(kāi)始,主要的欺騙性資產(chǎn)被設(shè)計(jì)成看起來(lái)像功能齊全的計(jì)算機(jī)或設(shè)備,TrapX有幾個(gè)為金融或醫(yī)療保健等行業(yè)設(shè)計(jì)的模板。它可以模仿從自動(dòng)取款機(jī)到銷(xiāo)售點(diǎn)設(shè)備再到幾乎任何物聯(lián)網(wǎng)資產(chǎn)的一切。此外,DeceptionGrid可以部署具有完整操作系統(tǒng)的欺騙性資產(chǎn)。它們被稱(chēng)為FullOS陷阱,旨在讓網(wǎng)絡(luò)攻擊者相信他們正在使用真實(shí)資產(chǎn),同時(shí)全面監(jiān)控他們?yōu)槭占{情報(bào)所做的一切。
 
TrapX部署的欺騙令牌更小。但同樣重要。與功能齊全的欺騙性資產(chǎn)不同,令牌只是普通文件、配置腳本和其他類(lèi)型的誘餌,網(wǎng)絡(luò)攻擊者用來(lái)收集有關(guān)他們?cè)噲D入侵的系統(tǒng)和網(wǎng)絡(luò)的信息。它們不會(huì)與網(wǎng)絡(luò)攻擊者交互,但會(huì)在他們?cè)L問(wèn)、復(fù)制或查看它們時(shí)提醒安全團(tuán)隊(duì)。
 
主動(dòng)陷阱完善了DeceptionGrid部署的欺騙性資產(chǎn)的數(shù)量。這些陷阱在它們之間傳輸大量虛假網(wǎng)絡(luò)流量,并提供指向欺騙網(wǎng)絡(luò)其余部分的指針和線(xiàn)索。任何在幕后監(jiān)控網(wǎng)絡(luò)流量的攻擊者都可能被虛假網(wǎng)絡(luò)流所欺騙,這將導(dǎo)致他們獲得欺騙性資產(chǎn),即使他們可能認(rèn)為它是安全的,因?yàn)樗雌饋?lái)在網(wǎng)絡(luò)中正常且充分使用。
 
TrapX DeceptionGrid最近在內(nèi)部部署和云計(jì)算基礎(chǔ)設(shè)施中添加了欺騙技術(shù)容器環(huán)境。通過(guò)檢測(cè)高級(jí)網(wǎng)絡(luò)攻擊并提供對(duì)利用應(yīng)用程序漏洞和容器之間橫向移動(dòng)的嘗試的可見(jiàn)性,DeceptionGrid 7.2為增強(qiáng)的事件響應(yīng)和主動(dòng)防御提供了全面的保護(hù)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)