主動(dòng)網(wǎng)絡(luò)欺騙防御的5個(gè)關(guān)鍵部分

2018-09-10 21:07:37姜唐

計(jì)算機(jī)與網(wǎng)絡(luò) 2018年21期

姜唐

網(wǎng)絡(luò)欺騙的目標(biāo)是更有效地檢測滲透到企業(yè)網(wǎng)絡(luò)的攻擊，混淆和誤導(dǎo)攻擊者，以及了解哪些資產(chǎn)已被入侵。請記住，欺騙防御可以利用攻擊者的知識缺口，同時(shí)他們試圖在網(wǎng)絡(luò)中橫向移動(dòng)。下面介紹了主動(dòng)網(wǎng)絡(luò)欺騙防御的5個(gè)關(guān)鍵組成部分：

1.發(fā)現(xiàn)

在設(shè)置安全計(jì)劃時(shí)，需要做的第一件事就是了解自己想要保護(hù)的內(nèi)容。在發(fā)現(xiàn)階段，欺騙系統(tǒng)需要學(xué)習(xí)網(wǎng)絡(luò)布局，發(fā)現(xiàn)網(wǎng)絡(luò)活動(dòng)并分析每個(gè)資產(chǎn)和設(shè)備。資產(chǎn)應(yīng)根據(jù)其位置、用途、類型和協(xié)議等進(jìn)行映射。使用流量分析引擎將網(wǎng)絡(luò)和資產(chǎn)映射為欺騙解決方案的一部分非常重要，因?yàn)榫W(wǎng)絡(luò)發(fā)現(xiàn)過程正在進(jìn)行中，定期掃描......。通過持續(xù)的網(wǎng)絡(luò)可見性，欺騙解決方案始終了解網(wǎng)絡(luò)中的變化，并相應(yīng)地調(diào)整欺騙層。

2.設(shè)置誘餌和面包屑

為了使欺騙有效，其組件誘餌和面包屑需要類似于網(wǎng)絡(luò)中的實(shí)際資產(chǎn)。這是通過應(yīng)用在“發(fā)現(xiàn)”階段收集的信息來實(shí)現(xiàn)的。對于所有意圖和目的，誘餌應(yīng)該看起來與任何其他資產(chǎn)沒有區(qū)別。當(dāng)以正確的方式構(gòu)建時(shí)，誘餌將看起來具有相同的操作系統(tǒng)，在相同端口上運(yùn)行的相同應(yīng)用程序、相同的協(xié)議，甚至在某些情況下有類似的數(shù)據(jù)，所有這些都取決于誘餌的交互級別。如果誘餌是虛假資產(chǎn)，那么面包屑就是引誘攻擊者訪問的誘餌。面包屑是多種多樣的，因?yàn)樗鼈兛梢允俏募⑽臋n、電子郵件消息和系統(tǒng)資源，或者是基本系統(tǒng)，也或是網(wǎng)絡(luò)上可能吸引攻擊者的任何內(nèi)容。

3.分布

準(zhǔn)確放置欺騙組件對于欺騙防御的成功與構(gòu)建誘餌和面包屑一樣重要。在每個(gè)子網(wǎng)內(nèi)部署適合資源的欺騙。

必須根據(jù)在發(fā)現(xiàn)階段收集的信息進(jìn)行策略性地放置欺騙組件，這有助于欺騙層的可信性，并確保誘餌和面包屑將被攻擊者“消耗”。分發(fā)應(yīng)該是完全自動(dòng)化的，以確保準(zhǔn)確性和可擴(kuò)展性。

4.檢測

智能欺騙通過準(zhǔn)確檢測人為和自動(dòng)攻擊以及未經(jīng)授權(quán)訪問網(wǎng)絡(luò)資產(chǎn)，使網(wǎng)絡(luò)維護(hù)者能夠重新掌控權(quán)力。每次訪問或嘗試訪問誘餌都會觸發(fā)警報(bào)，并將安全團(tuán)隊(duì)指向受感染的資產(chǎn)。欺騙產(chǎn)品應(yīng)該為防御者提供關(guān)于試圖獲取誘餌的機(jī)器的完整取證報(bào)告，以及攻擊的全部過程，包括攻擊者的內(nèi)部“過程”，以及嘗試與命令和控制服務(wù)器來泄露數(shù)據(jù)等。當(dāng)欺騙功能與網(wǎng)絡(luò)流量分析引擎集成時(shí)（這是可能的），可以在與端點(diǎn)檢測和響應(yīng)產(chǎn)品集成時(shí)進(jìn)行擴(kuò)展。

5.積極適應(yīng)

組織的網(wǎng)絡(luò)本質(zhì)上是動(dòng)態(tài)的。因此鏡像網(wǎng)絡(luò)資產(chǎn)的欺騙層也必須是動(dòng)態(tài)的。一旦檢測到變化，欺騙層必須主動(dòng)并自動(dòng)適應(yīng)，通過添加、更新或重新分配誘餌和面包屑。此過程在整個(gè)解決方案生命周期中反復(fù)重復(fù)。

對成功攻擊的分析表明，感染、攻擊的第一時(shí)刻和檢測之間的關(guān)鍵時(shí)間太長了，通常用幾個(gè)月來衡量。當(dāng)一個(gè)企業(yè)得知受到攻擊時(shí)，更不用說當(dāng)他們最終分析漏洞并評估風(fēng)險(xiǎn)時(shí)，攻擊者很可能已經(jīng)用寶貴的資產(chǎn)來運(yùn)作了。智能欺騙可以通過檢測組織網(wǎng)絡(luò)內(nèi)部的攻擊者活動(dòng)并產(chǎn)生高保真警報(bào)來顯著減少停留時(shí)間，因此防御者可以放心地采取行動(dòng)。