近年来,随着攻击者突防能力不断增强,而传统的入侵检测/预防系统等误报太多,市场对欺骗式防御或主动防御技术的兴趣日益浓厚。
欺骗式防御并不等同于传统的蜜罐技术,除了具备与攻击者交互的能力外,欺骗式防御技术工具重在伪装和混淆,使用误导、错误响应和其他技巧诱使攻击者远离合法目标,并将其引向蜜罐和其他诱骗系统,增加攻击的难度和成本,属于主动防御的重要组成部分。
传统的异常检测和入侵检测/预防系统依赖签名或易受攻击的机器学习算法,常常会产生大量误报。相比之下,欺骗技术的事件触发阈值则高得多,通常报告的都是真正的攻击者发动的真实攻击。
好的欺骗式防御技术不仅能浪费攻击者的时间,还为安全团队提供对手的宝贵情报,例如他们正在使用的工具、技术和程序,从而更好地防护真实的系统。
虽然欺骗式防御技术通常部署在端点、服务器、传统IT设备和网络设备上,但也可以与物联网设备一起使用,例如销售点系统、医疗设备等。
在为企业购买欺骗式防御技术时,企业需要关注以下几个重点:
扩展能力:为了提高有效性,欺骗技术必须能够在整个企业环境中部署。
集中管理:随着欺骗式技术部署的规模扩大,最好是有一个集中的控制台,来管理成千上万的端点和欺骗式技术资产。
敏捷性:欺骗技术需要能够灵活部署在任意地方:本地、云、网络设备、端点和物联网设备。
集成:欺骗技术收集的信息对于安全运营中心、事件响应团队和威胁猎手来说非常宝贵,对其他安全工具也很有价值,例如安全信息和事件管理器、防火墙、漏洞管理器以及传统的入侵检测和预防系统。建议优先选择可直接共享数据的欺骗式防御技术,可与现有的安全工具配合得更好。
以下是全球网络安全市场中五个顶级的欺骗式防御工具:
Acalvio ShadowPlex
Acalvio的ShadowPlex平台可大规模提供企业级欺骗技术。该公司表示,ShadowPlex旨在最大限度减少管理开销和日常管理。他们的安装框架为诱饵部署提供极高的灵活性和可扩展性,并且可以选择通过云或本地部署管理仪表板。
当攻击者与诱饵交互时,可以在时间线、详细事件数据(例如PCAP(数据包捕获)、日志捕获和攻击中使用的凭据)中检查信息。当使用所谓的“高交互模式”时,ShadowPlex将提供攻击者的所有键盘输入、连接的网络、任何文件修改以及在诱饵中使用的任何系统进程和工具。企业环境在不断变化,ShadowPlex能够对环境持续评估并相应地更新诱饵。
ShadowPlex可与威胁追踪和安全运营团队使用的工具配合使用,因为它产生的误报很少,能够为上述团队提供可用于事件响应和主动威胁追踪的数据。ShadowPlex可与SIEM和SOC团队的日志管理解决方案(例如Splunk、ArcSight和QRadar)集成。
ShadowPlex还可以保护大部分OT物联网(IoT)传感器和设备甚至整个工业控制中心。对于IoT和OT设备而言,增加一层欺骗技术防护至关重要,因为许多设备本身的本机安全性有限或根本没有,这也使ShadowPlex成为医疗环境的不错选择(还可以模仿台式电脑和医疗设备)。
Attivo ThreatDefend欺骗和响应平台
2022年3月,SentinelOne收购了Attivo Networks,虽然分析师认为此次收购的主要目标是Attivo监控密码和用户异常行为的身份安全评估能力,但SentinelOne还获得了Attivo的网络和云的欺骗式防御技术——ThreadDefend欺骗和响应平台。Attivo是首批在产品中添加响应功能的欺骗技术厂商之一,该公司通过ThreatDefend进一步推动了这一点,该平台可以部署在本地、云端、数据中心或混合环境中,所有部署的诱饵都与网络中的真实资产高度相似。
ThreatDefend欺骗和响应平台平台的目标与其他欺骗工具并无不同,即部署可与攻击者交互的虚假资产,同时这些虚假资产对于实际用户来说又是不可见或者无法访问的。不过,有些诱饵比其他诱饵更公开一些,这有助于找出内部威胁或窥探员工。
一旦攻击者与ThreatDefend的欺骗性资产进行交互,后者所做的不仅仅是生成警报,它还能向攻击者发出其可能期望的各种响应。它还可以激活沙盒,将攻击者上传的任何恶意软件或黑客工具导入沙盒环境。这不仅可以保护网络,还可以检查恶意软件以确定攻击者的意图和策略。
该平台还允许管理员采取一些措施,例如隔离被攻击者用作启动平台的系统或作废受感染用户的凭据。当用户开始信任该平台后,可以设置为在收集到重要威胁情报后自动运行上述措施,这可以帮助防御者快速提升响应能力,在争分夺秒的事件响应中取得优势。
Illusive Shadow
顾名思义,Illusive Networks公司的Illusive Shadow试图给攻击者的横向移动制造错觉。Illusive Shadow将端点设备变成欺骗装置,为攻击者设置了一个“十面埋伏”的危险环境。该公司声称,其无代理设计可防止黑客检测到欺骗行为,其欺骗技术在与微软、Mandiant、美国国防部和思科等组织进行的140多次红队演习中保持不败战绩。
因为是无代理的,所以Illusive Shadow可以直接部署在本地、云或混合云中。正如人们所预料的那样,Illusive Shadow诱饵以凭据、网络连接、数据和系统以及攻击者可能感兴趣的其他资产的形式出现。Illusive Shadow还会随着企业环境的变化而自动扩展和更改,并将为每台机器定制端点诱饵。
安全分析师和SOC团队对Shadow的管理控制台能够根据攻击者与诱饵、关键资产的交互和攻击活动时间表建模分析攻击者的攻击阶段,这一功能对安全分析师和SOC团队很有吸引力。
CounterCraft网络欺骗平台
CounterCraft的网络欺骗平台(Cyber Deception Platform)通过ActiveLures捕获攻击者,后者可以自定义或基于模板。这些ActiveLure的“面包屑”分布在端点、服务器,甚至在GitHub等在线平台上,吸引攻击者进入ActiveSense环境。
ActiveSense环境基于代理收集的数据,并通过安全和分段的环境反馈。整个系统旨在实时提供有关攻击者活动的情报。根据CounterCraft的说法,ActiveSense环境可以通过CounterCraft平台快速部署和控制。
整个欺骗系统旨在灵活地部署在现有IT环境,并与现有的安全、信息和事件管理系统以及威胁情报系统集成。它还支持企业安全团队已经习惯的常见格式,例如SysLog或OpenIOC。收集的威胁信息也可以自动发送到其他安全系统。
了解攻击者的一种有效方法是通过可视化图表对他们的活动进行建模。CounterCraft的攻击图谱结合来自欺骗平台的实时信息,可帮助安全团队了解攻击者的策略、工具和程序。
Fidelis欺骗平台
Fidelis欺骗平台(Deception Platform)声称其欺骗资产可通过下拉菜单和向导轻松部署,用户可选择让Fidelis平台查看环境并自动部署欺骗资产。该产品在部署时与环境中其他资产能够很好地匹配,还能监控网络的变化和扩展,并给出相应的欺骗式防御建议。例如,如果一家公司添加了一堆新的物联网安全摄像头,Fidelis将检测到这一点并建议部署相似特征的假摄像头。该平台支持几乎所有物联网设备,以及大量OT网络中的设备。
除了易于部署之外,Fidelis还能很好地管理控制其虚假资产,让它们相互通信并执行相同类型的普通设备会执行的操作。甚至还提供一些令人惊讶的高级策略,例如毒化地址解析协议表,使欺骗性资产看起来与真实资产一样活跃。
Fidelis的独到之处还包括能生成以真实方式与欺骗性资产交互的假用户。试图确定资产是否真实的黑客会查看用户与之交互的证据并放松警惕。
TrapX DeceptionGrid(现为CommVault)
2022年2月,数据治理和安全公司CommVault收购了TrapX及其欺骗式防御技术DeceptionGrid,后者是最受欢迎的欺骗平台之一,因为它能提供高度仿真的“高仿资产”。借助DeceptionGrid,企业可以在受保护的网络上轻松部署和管理数千个虚假资产。
DeceptionGrid部署的欺骗资产包括普通网络设备、欺骗令牌和主动陷阱。主要的欺骗性资产被设计成看起来像功能齐全的计算机或设备,而且还为金融或医疗等行业提供了设计模板。DeceptionGrid可以模仿从自动取款机到POS机的几乎任何物联网资产。此外,DeceptionGrid还可以部署具有完整操作系统的欺骗性资产——FullOS陷阱,旨在让攻击者相信他们正在使用真实资产,同时全面监控并收集攻击者一举一动的威胁情报。
TrapX部署的欺骗令牌看上去不起眼但同样重要。与功能齐全的欺骗性资产不同,令牌属于普通文件、配置脚本等类型的诱饵,攻击者在试图入侵系统时会收集系统和网络的信息,这些诱饵令牌不会与攻击者互动,但在被访问、复制或查看时会提醒安全团队。
主动陷阱串联起了DeceptionGrid部署的大量欺骗性资产,这些陷阱在欺骗性资产之间传输大量虚假网络流量,并提供指向欺骗网络其余部分的指针和线索。任何悄悄监控网络流量的攻击者都可能被虚假网络流量欺骗,将欺骗性资产作为攻击目标。
TrapX DeceptionGrid最近在本地和云基础设施中添加了欺骗技术容器环境。通过检测高级网络攻击并提供对软件漏洞利用和容器之间横向移动的可见性,DeceptionGrid 7.2为增强的事件响应和主动防御提供了全面的保护。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。