根据IDG的《安全优先研究》,为应对快速增长的安全威胁,2021年企业将会积极测试、评估和实施以下六种热门技术:
除了零信任、身份验证、访问控制、云安全、应用监控等霸榜技术之外,欺骗技术的排名蹿升幅度之大令人印象深刻。
接近三分之一(32%)的受访企业表示正在积极研究欺骗技术——现代化的蜜罐技术,基于经典的手动部署的蜜罐,提供诱惑入侵者的诱饵密码列表、假数据库或假访问权限。欺骗式防御技术将传统的蜜罐流程自动化,可以根据对真实网络区域和数据的扫描生成诱饵。它们通常作为模拟网络部署,这些模拟网络与真实网络在同一基础结构上运行。当入侵者试图进入真实网络时,他们被导向虚假网络并立即通知安全管理人员。
欺骗技术的最大优点是:可以检测和阻止几乎所有类型的网络威胁,包括高级持久威胁(APT)、恶意软件、勒索软件、凭据转储、横向移动和恶意内部人员。
欺骗技术面临的挑战是:必须不断“进化”,确保比日益复杂的攻击者更加聪明,而企业必须投入大量人力和技术资源,以有效部署、支持、更新和响应安全警报。
如果你问任何一位网络安全专业人员如何定义欺骗技术,他可能会提到蜜罐或蜜网。这种说法并不准确,而且过时了,业界对欺骗技术还存在很多误解,例如认为欺骗技术很复杂,用例有限,并且仅对安全研究人员有用。
事实上,现代欺骗技术已经使用分析和自动化技术克服了复杂性这个历史问题。安装后,欺骗技术会扫描网络、清点资产,然后推荐模拟服务器、文件、网络段或有价值的服务(例如,考虑Active Directory)的不同类型的欺骗诱骗/诱饵。一个1,000节点的网络看起来规模足有10,000+个节点,这使得攻击者对目标网络的侦察和横向移动变得更加困难。
应用范围扩大
虽然蜜罐/蜜网主要被学者、研究人员用来进行威胁分析,但现代欺骗技术也可有效地用于威胁检测和响应。安全团队使用欺骗技术在其网络上创建诱骗账户(例如,特权用户)、资产(例如,IoT/OT设备)或数据(例如,敏感数据存储库)。当不法分子四处打探寻摸,试图实施或推进网络攻击时,这些“偶然”被发现的欺骗诱饵就开始发挥作用。合法用户甚至都不知道这些诱饵的存在,因此诱饵被访问仅意味着一件事——正在进行的网络攻击。
欺骗技术的使用也可以遵循成熟度曲线。组织可以从基本的诱饵开始,从愚弄路过式黑客,发展成为更高级的用例,可以进行事件响应、威胁情报分析、威胁搜寻等。
展望未来,欺骗技术将变得更加智能,更具活力并因此变得更有价值。欺骗技术分析引擎将围绕以下三点不断进行更改:
整个攻击面:而不仅仅是内部网络。这将有助于保护云、第三方网站、源代码存储库等中的公司资产。
威胁情报:欺骗技术将了解活动和漏洞利用,然后提出新的诱饵类型或诱饵修改形式作为对策。
安全测试:当渗透测试人员或红色团队成员发现安全漏洞时,欺骗技术将建议诱骗者作为补偿控件。
领先的欺骗技术供应商,例如Attivo Networks、Illusive Networks和TrapX,正在把这些功能转变为用例,例如威胁活动防御或关键OT系统防护。
2021年欺骗技术将成为主流
基于这些因素,欺骗技术会变得越来越流行,2021年网络安全的三个趋势将推动欺骗技术成为主流:
MITRE Shield
MITRE公司在其官方网站上将Shield定义为“MITER正在开发的主动防御知识库,以捕获和组织我们正在学习的关于主动防御和对手参与的知识。”此外,主动防御被定义为“在有争议的阵地采取有限的进攻行动反击对手”。随着越来越多组织开始采用MITRE ATT&CK、Shield很可能会被作为一种补充计划。欺骗技术在Shield中具有大量主动防御用例。
SOC现代化
随着组织扩展和自动化安全运营、集成安全工具(例如,将其集成到SOAPA体系结构中),更好地了解其攻击面,采用高级分析以及实施自动化安全测试工具,2021年SOC现代化运动将蓬勃发展。而欺骗技术作为主动传感器和可调安全控制,则可以很好地适应这些变化。
勒索软件
教育、医疗和政府等行业在与勒索软件的斗争中需要帮助。欺骗技术不是万能药,但它可以帮助检测跨协议(例如服务器消息块(SMB))的横向移动,以最大程度地减少损害。还可以部署或调整欺骗技术诱饵,以防御其他网络攻击战役的战术、技术和程序。
欺骗技术并不是一劳永逸的网络安全解决方案,但已经部署该技术的企业普遍反映,欺骗技术是一种部署快见效快的药方,CISO可以快速部署欺骗技术并获得近期收益。对于后新冠时代高度不确定的商业环境来说,没有什么比灵活和快速取得安全投资收益更加重要的了。