Deception technology is a category of incident detection 和 response technology that helps security teams detect, 分析, 并通过引诱攻击者与部署在您网络中的虚假IT资产进行交互来防御高级威胁.
欺骗方法可以针对特定的恶意行为提供高保真的警报, 其中许多问题很难通过日志分析或分析来识别 SIEM工具 独自一人. 好处:您可以在攻击链的早期识别可疑活动, 以及在你的内部网络上混淆和误导对手. 本页将概述欺骗技术,并深入研究三个例子: Honeypots, honey users, 和 honey credentials.
不管你是想把欺骗技术想象成一条挂在鱼钩上的虫子, a chunk of cheddar hidden in a mousetrap, 或者是引诱水手走向死亡的诱人的海妖之歌的音符, the message is the same: Deception technology is bait. 通过设置看起来是合法IT资产的不可抗拒的陷阱, 它诱使内部网络上的攻击者与他们进行交互, triggering an alert 和 giving your team the time, 洞察力, 和 context they need to respond effectively.
因为在您的组织中,没有人需要将欺骗技术作为其工作的一部分, any activity it records is automatically suspicious. 因此, 欺骗技术的一个主要优点是高保真警报,可以识别非常具体的恶意行为.
欺骗技术可以减少攻击者在您的网络上停留的时间, speed up mean time to detect 和 remediate, reduce alert fatigue, 和 provide vital information around indicators of compromise (IOCs) 和 tactics, techniques, 和 procedures (TTPs).
欺骗技术可以帮助检测以下类型的威胁:
对于一个 deception technology solution to be effective, 它必须看起来足够合法,才能骗过老练的攻击者, 同时巧妙地折叠到您现有的威胁检测策略. 在理想的情况下, the deception technology is easy to deploy, automatically updates as needed, 和 can feed generated alerts right into your security information 和 event management (SIEM) 平台.
Here are a few specific examples of deception technology:
蜜罐是在您的网络中与生产系统一起部署的诱饵系统或服务器. 它们可以看起来像网络上的任何其他机器,也可以被部署成攻击者可能攻击的目标. There are many applications 和 use cases for Honeypots, 因为他们的工作是将恶意流量从重要系统转移出去, identify anomalous network scans, 和 reveal information about attackers 和 their methods.
In terms of objectives, there are two types of Honeypots. 研究蜜罐收集有关攻击的信息,专门用于研究野外的恶意行为. Looking at both your environment 和 the wider world, they gather information on attacker trends, malware strains, 以及被对手盯上的漏洞. 这可以告知您的预防性防御、补丁优先级和未来的投资.
Production Honeypots, deployed on your network, 有助于揭示整个环境中的内部妥协,并为团队提供更多的响应时间. Information gathering is still a priority, 蜜罐为您提供了额外的监控机会,并填补了识别网络扫描和横向移动的常见检测空白.
Straightforward 和 low-maintenance, 蜜罐可以帮助您打破攻击链,并通过高保真警报和上下文信息降低攻击者的速度. Interested in learning more about Honeypots? Check out our page on honeypot technology.
Honey users are fake user accounts, usually deployed within Active 导演y, 检测并警告来自恶意行为者的密码猜测尝试. 一旦攻击者进入了您的网络,他们很可能会尝试纵向攻击 brute-force attack.
这包括查询Active 导演y以枚举员工帐户,并在这些帐户中尝试少量常用密码. 通过定义和监控蜂蜜用户(没有商业目的的帐户),您可以轻松识别这种隐秘的密码猜测技术.
攻击者将更有可能瞄准描述有趣(但可信)的账户, 所以将其命名为“PatchAdmin”或类似的东西可以帮助诱使他们与之互动. 需要注意的是,这个虚拟用户帐户不应该与组织中的真人相关联,也不应该用于任何有效的身份验证.
Once an attacker compromises an endpoint, 他们通常会从资产中获取密码,并尝试在其他地方访问网络上的其他资源. 蜂蜜凭据通过作为注入到端点的假凭据来帮助对抗这种技术. 如果试图使用蜂蜜凭证进行身份验证,则会产生警告.
无论用户是尝试使用蜂蜜凭据登录到资产还是试图使用蜂蜜凭据枢轴到另一个端点, 这些凭证实际上并不授予对任何系统的访问权限, so they are very safe to use.
蜂蜜凭证还能清晰地显示入侵者在你的网络中横向移动的痕迹——就像银行把爆炸染料包放在钱袋里,以便在钱上做标记,以后再识别它.
将欺骗技术与其他安全措施一起使用将有助于加强您的防御并帮助您及早发现危害. While any type of deception technology will help, 使用正确的类型来弥补现有的检测漏洞将产生最有效的纵深防御方法.
[The Lost Bots] Episode 4: Deception Technology
Deception Technology 新闻: Latest Rapid7 博客 Posts