根據IDG的《安全優先研究》,為應對快速增長的安全威脅,2021年企業將會積極測試、評估和實施以下六種熱門技術:
零信任(40%)
欺騙技術(32%)
身份驗證解決方案(32%)
訪問控制(27%)
應用程序監視(25%)
基于云的安全服務(22%)
除了零信任、身份驗證、訪問控制、云安全、應用監控等霸榜技術之外,欺騙技術的排名躥升幅度之大令人印象深刻。
接近三分之一(32%)的受訪企業表示正在積極研究欺騙技術——現代化的蜜罐技術,基于經典的手動部署的蜜罐,提供誘惑入侵者的誘餌密碼列表、假數據庫或假訪問權限。欺騙式防御技術將傳統的蜜罐流程自動化,可以根據對真實網絡區域和數據的掃描生成誘餌。它們通常作為模擬網絡部署,這些模擬網絡與真實網絡在同一基礎結構上運行。當入侵者試圖進入真實網絡時,他們被導向虛假網絡并立即通知安全管理人員。
欺騙技術的最大優點是:可以檢測和阻止幾乎所有類型的網絡威脅,包括高級持久威脅(APT)、惡意軟件、勒索軟件、憑據轉儲、橫向移動和惡意內部人員。
欺騙技術面臨的挑戰是:必須不斷“進化”,確保比日益復雜的攻擊者更加聰明,而企業必須投入大量人力和技術資源,以有效部署、支持、更新和響應安全警報。
如果你問任何一位網絡安全專業人員如何定義欺騙技術,他可能會提到蜜罐或蜜網。這種說法并不準確,而且過時了,業界對欺騙技術還存在很多誤解,例如認為欺騙技術很復雜,用例有限,并且僅對安全研究人員有用。
事實上,現代欺騙技術已經使用分析和自動化技術克服了復雜性這個歷史問題。安裝后,欺騙技術會掃描網絡、清點資產,然后推薦模擬服務器、文件、網絡段或有價值的服務(例如,考慮Active Directory)的不同類型的欺騙誘騙/誘餌。一個1,000節點的網絡看起來規模足有10,000+個節點,這使得攻擊者對目標網絡的偵察和橫向移動變得更加困難。
應用范圍擴大
雖然蜜罐/蜜網主要被學者、研究人員用來進行威脅分析,但現代欺騙技術也可有效地用于威脅檢測和響應。安全團隊使用欺騙技術在其網絡上創建誘騙賬戶(例如,特權用戶)、資產(例如,IoT/OT設備)或數據(例如,敏感數據存儲庫)。當不法分子四處打探尋摸,試圖實施或推進網絡攻擊時,這些“偶然”被發現的欺騙誘餌就開始發揮作用。合法用戶甚至都不知道這些誘餌的存在,因此誘餌被訪問僅意味著一件事——正在進行的網絡攻擊。
欺騙技術的使用也可以遵循成熟度曲線。組織可以從基本的誘餌開始,從愚弄路過式黑客,發展成為更高級的用例,可以進行事件響應、威脅情報分析、威脅搜尋等。
展望未來,欺騙技術將變得更加智能,更具活力并因此變得更有價值。欺騙技術分析引擎將圍繞以下三點不斷進行更改:
整個攻擊面:而不僅僅是內部網絡。這將有助于保護云、第三方網站、源代碼存儲庫等中的公司資產。
威脅情報:欺騙技術將了解活動和漏洞利用,然后提出新的誘餌類型或誘餌修改形式作為對策。
安全測試:當滲透測試人員或紅色團隊成員發現安全漏洞時,欺騙技術將建議誘騙者作為補償控件。
領先的欺騙技術供應商,例如Attivo Networks、Illusive Networks和TrapX,正在把這些功能轉變為用例,例如威脅活動防御或關鍵OT系統防護。
2021年欺騙技術將成為主流
基于這些因素,欺騙技術會變得越來越流行,2021年網絡安全的三個趨勢將推動欺騙技術成為主流:
MITRE Shield
MITRE公司在其官方網站上將Shield定義為“MITER正在開發的主動防御知識庫,以捕獲和組織我們正在學習的關于主動防御和對手參與的知識。”此外,主動防御被定義為“在有爭議的陣地采取有限的進攻行動反擊對手”。隨著越來越多組織開始采用MITRE ATT&CK、Shield很可能會被作為一種補充計劃。欺騙技術在Shield中具有大量主動防御用例。
SOC現代化
隨著組織擴展和自動化安全運營、集成安全工具(例如,將其集成到SOAPA體系結構中),更好地了解其攻擊面,采用高級分析以及實施自動化安全測試工具,2021年SOC現代化運動將蓬勃發展。而欺騙技術作為主動傳感器和可調安全控制,則可以很好地適應這些變化。
勒索軟件
教育、醫療和政府等行業在與勒索軟件的斗爭中需要幫助。欺騙技術不是萬能藥,但它可以幫助檢測跨協議(例如服務器消息塊(SMB))的橫向移動,以最大程度地減少損害。還可以部署或調整欺騙技術誘餌,以防御其他網絡攻擊戰役的戰術、技術和程序。
欺騙技術并不是一勞永逸的網絡安全解決方案,但已經部署該技術的企業普遍反映,欺騙技術是一種部署快見效快的藥方,CISO可以快速部署欺騙技術并獲得近期收益。對于后新冠時代高度不確定的商業環境來說,沒有什么比靈活和快速取得安全投資收益更加重要的了。