現在,欺騙技術懷疑論者主要存在兩種常見聲音:一種是許多網絡安全專家表示,他們以前聽過這種預測,但并沒有成功;其他人則聲稱,欺騙技術僅限于精英組織中的精英。事實上,許多人認爲這是專屬于爲 GCHQ、NSA 工作的威脅分析師或 CrowdStrike、Mandiant 和 Recorded Future 等威脅情報專家的東西。
盡管欺騙技術目前仍然受到業界質疑,但我們預測到 2024 年,欺騙技術将變得更加普遍,到 2025 年底,它将成爲安全行動的主要手段。
欺騙的價值:奪回 " 主動權 "
欺騙技術是一種能有效檢測惡意活動的主動安全防禦方法。一方面,這種策略搭建了一個由虛假信息構成的模拟環境來誤導攻擊者的判斷,使毫無戒心的攻擊者掉入陷阱,浪費時間和精力,增加了入侵的複雜性和不确定性。
同時,防禦者可以利用欺騙技術收集更全面的攻擊日志,部署對策,追蹤攻擊者的來源并監視其攻擊行爲。記錄所有攻擊信息以研究攻擊者使用的策略、技術和程序(TTP),助于分析工作的順利開展。
總之,欺騙技術可以幫助防禦者奪回網絡安全攻防的主動權。
一些欺騙應用,例如蜜罐,可以模拟運行環境和配置,引誘攻擊者滲透虛假目标。通過這種方式,防禦者将能夠獲取攻擊者投放的有效負載,并通過 Web 應用程序中的 JavaScript 獲取有關攻擊者主機甚至 Web 浏覽器的信息。更重要的是,可以通過 JSONP 劫持了解攻擊者的社交媒體帳戶,并通過 " 蜂蜜文件 " 反擊攻擊者。可以預見,未來幾年欺騙技術将會更加成熟并得到廣泛應用。
推動欺騙技術的技術趨勢
一些網絡安全和 IT 趨勢正在彙聚成一場完美風暴,到時候必然會大大簡化欺騙技術,使其成爲主流。這些趨勢包括:
·安全數據湖部署:企業正在實施來自 AWS、谷歌、IBM 和 Snowflake 的海量安全數據存儲庫。欺騙技術将持續分析這些數據,以更好地了解正常和異常行爲。這些數據将作爲欺騙模型的基線。
·雲計算:欺騙模型需要大量資源來按需處理和存儲數據。因此,欺騙技術很可能會以 SaaS 或基于雲的服務的形式提供,這些服務位于現有安全運營技術之上。如此一來,欺騙技術才會走向普及。
·API 連接:除了安全數據湖之外,欺騙技術還将植入 IaaS、資産管理系統(Gartner 稱之爲網絡資産攻擊面管理)、漏洞管理系統、攻擊面管理系統、雲安全态勢管理(CSPM)等。這種連接使欺騙系統能夠全面了解組織的混合 IT 應用程序和基礎設施。
·生成式 AI:基于大型語言模型(LLM),生成式 AI 可以 " 生成 " 以假亂真的誘餌(即虛假資産、虛假服務)、合成網絡流量和 " 面包屑 "(即放置在真實網絡上的虛假資源)。這些欺騙元素可以在混合網絡環境中大規模地進行戰略性和自動部署。
欺騙技術的應用趨勢
上述技術趨勢爲先進的欺騙技術提供了技術基礎,以下是有關欺騙系統應用趨勢的概述:
1. 欺騙系統将插入多個 IT 掃描 / 态勢管理工具,以 " 學習 " 一切環境信息,包括資産(OT 和物聯網資産)、IP 範圍、網絡拓撲、用戶、訪問控制、正常 / 異常行爲等。先進的網絡靶場已經可以做到其中一些功能,而欺騙系統将建立在這種合成環境之上。
2. 根據組織的位置和行業,欺騙系統将分析和總結網絡威脅情報,尋找特定的攻擊者群體、威脅活動以及通常針對此類公司的攻擊者策略、技術和程序(TTP)。欺騙系統将與各種 MITREATT&CK 框架(雲、企業、移動、ICS 等)錨定,以獲取有關攻擊者 TTP 的細粒度視圖。欺騙元素是爲了在網絡攻擊的每一步都能迷惑 / 愚弄他們。
3. 接下來,欺騙系統将檢查組織的安全防禦措施,包括防火牆規則、端點安全控制、IAM 系統、雲安全設置、檢測規則等。它可以使用 MITREATT&CK 導航器來發現安全覆蓋缺口,這些缺口将是欺騙元素的完美落腳點。
4. 生成式 AI 模型利用這些數據來創建定制的面包屑、誘餌和 canary token。如此一來,一個管理着 10000 個資産的組織就會看起來像一家電信公司,坐擁數十萬甚至數百萬個應用程序、數據元素、設備、身份等資産——所有這些都是爲了吸引和迷惑攻擊者。
值得一提的是,所有掃描、數據收集、處理和分析都将是連續的,以跟上混合 IT 環境、安全防禦和威脅形勢的變化。當組織實現新的 SaaS 服務、部署生産應用程序或對其基礎設施進行更改時,欺騙引擎會注意到這些更改并相應地調整其欺騙技術。
與傳統的蜜罐不同,新興的欺騙技術不需要尖端的知識或複雜的設置。雖然一些高級組織可能會個性化定制他們的欺騙網絡,但許多公司仍會選擇默認設置。在大多數情況下,基本配置足以迷惑攻擊者。值得注意的是,像誘餌這樣的欺騙元素對合法用戶來說是不可見的。因此,當有人觸碰 " 面包屑 " 或 canary token 時,可以肯定他們絕對是不安好心。通過這種方式,欺騙技術還可以幫助組織改進圍繞威脅檢測和響應的安全操作。
最後,同樣值得注意的是:
·在醫療保健和制造業等使用大量 OT/IoT 技術而無法托管安全代理的行業中,欺騙技術尤其具有吸引力。通過模拟 OT/IoT 設備,他們可以模仿真實的生産設備。
·欺騙技術将與檢測工程緊密協作。事實上,生成式人工智能可以同時創建欺騙元素和同伴檢測規則。
·鑒于 MITRE ATT&CK 框架是模型的一部分,欺騙技術也将依賴 MITRE Engage 欺騙框架和社區來提供支持。安全廠商和 MITRE 可能會在 Engage 的商業實施方面進行合作。
·雖然每個組織都有自己的欺騙配置文件,但可以預見的是,像 ISACs 這樣的行業組織會參與調整模型并改善整個行業的防護能力。
最終,欺騙技術将搭載在其他安全操作系統之上。目前,Fortinet 和 Zscaler 已經在采用這種方法,希望其他公司未來也能效仿。
