现在,欺骗技术怀疑论者主要存在两种常见声音:一种是许多网络安全专家表示,他们以前听过这种预测,但并没有成功;其他人则声称,欺骗技术仅限于精英组织中的精英。事实上,许多人认为这是专属于为GCHQ、NSA工作的威胁分析师或CrowdStrike、Mandiant和Recorded Future等威胁情报专家的东西。
尽管欺骗技术目前仍然受到业界质疑,但我们预测到2024年,欺骗技术将变得更加普遍,到2025年底,它将成为安全行动的主要手段。
欺骗技术是一种能有效检测恶意活动的主动安全防御方法。一方面,这种策略搭建了一个由虚假信息构成的模拟环境来误导攻击者的判断,使毫无戒心的攻击者掉入陷阱,浪费时间和精力,增加了入侵的复杂性和不确定性。
同时,防御者可以利用欺骗技术收集更全面的攻击日志,部署对策,追踪攻击者的来源并监视其攻击行为。记录所有攻击信息以研究攻击者使用的策略、技术和程序(TTP),助于分析工作的顺利开展。
总之,欺骗技术可以帮助防御者夺回网络安全攻防的主动权。
一些欺骗应用,例如蜜罐,可以模拟运行环境和配置,引诱攻击者渗透虚假目标。通过这种方式,防御者将能够获取攻击者投放的有效负载,并通过Web应用程序中的JavaScript获取有关攻击者主机甚至Web浏览器的信息。更重要的是,可以通过JSONP劫持了解攻击者的社交媒体帐户,并通过“蜂蜜文件”反击攻击者。可以预见,未来几年欺骗技术将会更加成熟并得到广泛应用。
一些网络安全和IT趋势正在汇聚成一场完美风暴,到时候必然会大大简化欺骗技术,使其成为主流。这些趋势包括:
·安全数据湖部署:企业正在实施来自AWS、谷歌、IBM和Snowflake的海量安全数据存储库。欺骗技术将持续分析这些数据,以更好地了解正常和异常行为。这些数据将作为欺骗模型的基线。
·云计算:欺骗模型需要大量资源来按需处理和存储数据。因此,欺骗技术很可能会以SaaS或基于云的服务的形式提供,这些服务位于现有安全运营技术之上。如此一来,欺骗技术才会走向普及。
·API连接:除了安全数据湖之外,欺骗技术还将植入IaaS、资产管理系统(Gartner称之为网络资产攻击面管理)、漏洞管理系统、攻击面管理系统、云安全态势管理(CSPM)等。这种连接使欺骗系统能够全面了解组织的混合IT应用程序和基础设施。
·生成式AI:基于大型语言模型(LLM),生成式AI可以“生成”以假乱真的诱饵(即虚假资产、虚假服务)、合成网络流量和“面包屑”(即放置在真实网络上的虚假资源)。这些欺骗元素可以在混合网络环境中大规模地进行战略性和自动部署。
上述技术趋势为先进的欺骗技术提供了技术基础,以下是有关欺骗系统应用趋势的概述:
1. 欺骗系统将插入多个IT扫描/态势管理工具,以“学习”一切环境信息,包括资产(OT和物联网资产)、IP范围、网络拓扑、用户、访问控制、正常/异常行为等。先进的网络靶场已经可以做到其中一些功能,而欺骗系统将建立在这种合成环境之上。
2. 根据组织的位置和行业,欺骗系统将分析和总结网络威胁情报,寻找特定的攻击者群体、威胁活动以及通常针对此类公司的攻击者策略、技术和程序(TTP)。欺骗系统将与各种MITREATT&CK框架(云、企业、移动、ICS等)锚定,以获取有关攻击者TTP的细粒度视图。欺骗元素是为了在网络攻击的每一步都能迷惑/愚弄他们。
3. 接下来,欺骗系统将检查组织的安全防御措施,包括防火墙规则、端点安全控制、IAM系统、云安全设置、检测规则等。它可以使用MITREATT&CK导航器来发现安全覆盖缺口,这些缺口将是欺骗元素的完美落脚点。
4. 生成式AI模型利用这些数据来创建定制的面包屑、诱饵和canary token。如此一来,一个管理着10000个资产的组织就会看起来像一家电信公司,坐拥数十万甚至数百万个应用程序、数据元素、设备、身份等资产——所有这些都是为了吸引和迷惑攻击者。
值得一提的是,所有扫描、数据收集、处理和分析都将是连续的,以跟上混合IT环境、安全防御和威胁形势的变化。当组织实现新的SaaS服务、部署生产应用程序或对其基础设施进行更改时,欺骗引擎会注意到这些更改并相应地调整其欺骗技术。
与传统的蜜罐不同,新兴的欺骗技术不需要尖端的知识或复杂的设置。虽然一些高级组织可能会个性化定制他们的欺骗网络,但许多公司仍会选择默认设置。在大多数情况下,基本配置足以迷惑攻击者。值得注意的是,像诱饵这样的欺骗元素对合法用户来说是不可见的。因此,当有人触碰“面包屑”或canary token时,可以肯定他们绝对是不安好心。通过这种方式,欺骗技术还可以帮助组织改进围绕威胁检测和响应的安全操作。
最后,同样值得注意的是:
·在医疗保健和制造业等使用大量OT/IoT技术而无法托管安全代理的行业中,欺骗技术尤其具有吸引力。通过模拟OT/IoT设备,他们可以模仿真实的生产设备。
·欺骗技术将与检测工程紧密协作。事实上,生成式人工智能可以同时创建欺骗元素和同伴检测规则。
·鉴于MITRE ATT&CK框架是模型的一部分,欺骗技术也将依赖MITRE Engage欺骗框架和社区来提供支持。安全厂商和MITRE可能会在Engage的商业实施方面进行合作。
·虽然每个组织都有自己的欺骗配置文件,但可以预见的是,像ISACs这样的行业组织会参与调整模型并改善整个行业的防护能力。
最终,欺骗技术将搭载在其他安全操作系统之上。目前,Fortinet和Zscaler已经在采用这种方法,希望其他公司未来也能效仿。
参考及来源:https://www.csoonline.com/article/1246065/deception-technology-use-to-grow-in-2024-and-proliferate-in-2025.html