欺骗性防御的几款战术
发布时间:2022-07-25 09:38:48 所属栏目:安全 来源:互联网
导读:近年来,攻击者突破企业网络防御的能力不断增强,市场对欺骗式防御技术和战术的兴趣日益浓厚。 欺骗式防御并不等同于传统的蜜罐技术,除了具备与攻击者交互的能力外,欺骗式防御技术工具重在伪装和混淆,使用误导、错误响应和其他技巧诱使攻击者远离合法目标
|
近年来,攻击者突破企业网络防御的能力不断增强,市场对欺骗式防御技术和战术的兴趣日益浓厚。 欺骗式防御并不等同于传统的蜜罐技术,除了具备与攻击者交互的能力外,欺骗式防御技术工具重在伪装和混淆,使用误导、错误响应和其他技巧诱使攻击者远离合法目标,并将其引向蜜罐和其他诱骗系统,增加攻击的难度和成本,属于主动防御的重要组成部分。 以下,安全专家们总结了使用欺骗式防御手段快速检测威胁的七个优秀战术技巧和实践。 1. 使用真实计算机(资产)作为诱饵 KnowBe4的数据驱动防御专家Roger Grimes说,最好的欺骗诱饵是高度接近真实生产资产的诱饵。如果欺骗设备与其他系统显著不同,会很容易被攻击者发现,因此,诱饵成功的关键是看起来像另一个生产系统。Grimes说:“攻击者无法分辨生产环境的生产资产和仅作为欺骗性蜜罐存在的生产资产之间的区别。” “真实”诱饵可以是企业打算淘汰的旧系统,也可以是生产环境中的新服务器。Grimes建议,请确保使用与实际生产系统相同的名称,并将它们放在相同的位置,具有相同的服务和防御。 Acalvio的Moy说,欺骗性的关键是要融入。避免使用明显的差异因素,例如通用MAC地址、常见的操作系统补丁程序,以及与该网络上的通用约定相符的系统名称。 2. 确保您的诱饵看上去重要和有趣 攻击者讨厌欺骗,因为欺骗技术会导致他们掉进兔子洞。Crypsis Group的首席顾问Jeremy Brown说,高级欺骗可以极大干扰攻击者的活动,并使他们分心数小时,数天甚至数周。 他说:“一种常见的欺骗式防御技术是建立虚拟服务器或物理服务器,这些服务器看上去存储了重要信息。”例如,运行真实操作系统(例如Windows Server 2016)的诱饵域控制器对攻击者来说是非常有吸引力的目标。这是因为域控制器包含Active Directory,而Active Directory则包含环境中用户的所有权限和访问控制列表。 同样,吸引攻击者注意的另一种方法是创建在环境中未积极使用的真实管理员账户。威胁参与者倾向于寻找赋予他们更高特权的账户,例如系统管理员,本地管理员或域管理员。诱饵账户的活跃信息,可以提醒防御者攻击行为已经开始 。” 3. 模拟非传统终端设备(漏洞) Fidelis产品副总裁Tim Roddy说,在网络上部署诱饵时,不要忘记模拟非传统的端点。攻击者越来越多地寻找和利用物联网(IoT)设备和其他互联网连接的非PC设备中的漏洞。Roddy说,因此,请确保网络上的诱饵看起来像安全摄像机、打印机、复印机、运动探测器、智能门锁以及其他可能引起攻击者注意的联网设备。 总之,你的高仿诱饵应当“融入”攻击者期望看到的网络场景和设备类型中,这里也包括物联网。 4. 像攻击者一样思考 部署诱饵系统时,请先站在攻击者的角度审视你或者你的同行的网络防御弱点,以及适用的TTPs攻击和手法。 目前这种攻击型思维的一个最佳实践就是基于ATT&CK框架的欺骗式防御。ATT&CK是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型,通过ATT&CK模型,以剖析攻击面为关键,旨在攻击全链路上进行欺骗性防御部署,提高欺骗性防御的全面性和有效性。 Acalvio的Moy说:“利用这种思想来制定优先的检测目标清单,以弥补防御系统中的漏洞。” 总之,防御者要考虑攻击者可能需要采取的步骤类型以及攻击目标。沿路径布置一条面包屑痕迹,这些诱饵与对手可能的目标有关。例如,如果攻击者的目标是凭据,请确保将伪造的凭据和其他基于Active Directory的欺骗手段作为策略的一部分。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号