欺骗技术为何比蜜罐好

简介: 【10月更文挑战第23天】攻击欺骗技术与传统蜜罐技术在检测网络攻击方面存在显著差异。蜜罐技术基于逻辑视图,需吸引攻击者注意,但可能导致长时间潜伏和误报。幻影欺骗技术从攻击者视角设计,提前识别威胁,广泛部署且自动扩展,减少误报,提高检测效率和响应速度。

最近两年,随着APT、内网威胁的迅速增长,攻击欺骗技术的检测能力的提升,攻击欺骗技术和传统蜜罐欺骗技术在检测网络攻击者方法上是存在一定的差异性,以下是它们的不同之处。

1.完全相反的基本前提

蜜罐技术是使用组织基础设施的逻辑视图设计的。这些蜜罐被部署在有价值的目标周围,以试图转移攻击者。然而,当攻击者遇到蜜罐时,它已经在网络最深处了。

攻击者将基础设施视为社交地图。一旦他们确定了在网络中的位置,他们就会看到相邻的资源和资源之间的关系来决定他们下一步的行动,幻影欺骗技术是从攻击者的角度设计的,并提前识别攻击。这种视角的转变给了你在威胁情况下的巨大优势,这些威胁总是压倒性地支持攻击者。

2.诱骗与纠缠

蜜罐的成功依赖于捕获攻击者的注意力并激励他们转移到蜜罐目的地。这意味着你必须首先让攻击者在蜜罐之前而阻止他们。与此同时,他们可能会在网络中存在数月,会泄露数据并造成损害。

幻影欺骗在网络中普遍存在,并反映出实际的基础设施。虚假的攻击者并不希望将攻击者吸引到目的地,而是几乎在他们获得网络访问权后(例如通常是第一次参与攻击的终结点),欺骗攻击者进行欺骗,而攻击者不会意识到这一点。

3.有限的可伸缩性与自动化的可伸缩性

您可以增加部署在整个基础架构中的蜜罐数量,以增加捕获攻击者的可能性。然而,这种方法很快就会变得昂贵而复杂。如果你有500台机器并且需要50%的覆盖率,则需要添加500台新机器和IP地址,更不用说许可证和人力资源来管理这些机器。即使采用自动化,这种方法也会给网络和员工带来负担,并且不会产生更好的吸引力。在整个基础设施中都部署了幻影欺骗,并且几乎可以立即进行扩展,因为技术是无代理的。随着基础架构的扩展,欺骗会自动部署,几乎没有IT或网络的开销。

凭借幻影欺骗管理服务器(DMS),欺骗也根据网络中遇到的每一项资产量身定制,以便组织为每台机器或用户部署最佳,最可靠的欺骗手段,显著增加检测攻击者的机会。

4.增加误报与近零的误报

一个攻击者必须选择蜜罐作为目的地,当它们存在于网络中时,终端用户经常会遇到并与诱饵进行交互,从而增加误报。幻影欺骗使每个终端上的数据都被100%覆盖,但却隐藏在用户中。因为他们只能暴露在攻击者的面前,误报被消除,每一次警报都是真实的威胁。

5.模仿与真实性

蜜罐是用组织认为会吸引攻击者的数据或属性精心制作的。然而,诱饵应该既有趣又能证明与攻击者的真实互动。攻击者寻找特定的特征,使他们能够成功地避免使用蜜罐。

如果任何东西看起来有点“可疑”,他们会把它单独留下。幻影欺骗是真实的,随着时间的推移而变化。它们具有相同的属性和实际的终端、服务器、数据、应用程序和周围的网络环境。没有两台计算机或用户的欺骗行为是相同的——即使是在相同的环境中。攻击者无法确定什么是真实的,什么是虚假的。

此外,欺骗行为是精心策划的,随着时间的推移不断变化,在欺骗黑客的过程中扮演一个重要的角色,他们在学习环境和执行重复动作的过程中扮演着一个合适的角色。不断变化的欺骗也阻止了攻击者使用之前获取的网络信息,这进一步延迟了他们在网络上的横向移动。

6.延迟威胁响应与即时威胁响应

通过蜜罐技术,组织的安全团队必须希望攻击者能够与蜜罐交互足够长的时间,以解决来自多台机器的大量错误的警报。这明显推迟了有效的反应。

此外,由于攻击者在组织网络中已经深入,因此安全团队在这一点上往往非常警惕,经常会导致错误的决策。

有了幻影欺骗,安全团队知道攻击者在攻击的早期就会欺骗。这给了他们更多的响应选择和一个清晰的修复路径。

7.有用的取证和即时取证的来源攻击

取证只能聚集在蜜罐诱饵本身,它不提供对源机器或先前行为的洞察。

当攻击者被激活时,幻影欺骗会在源机器上提供即时的取证快照。他们继续提供数据,因为攻击者尝试不同的方法和途径。

8.强调技术与转变

蜜罐技术已经存在了很长时间,并且是基于对机器和技术能力的假设而设计的。新的欺骗技术可以帮助攻击者摆脱困境,因为它是围绕着人类对新环境或新环境的反应而设计的。

目录
相关文章
|
网络协议 Linux
网络协议与攻击模拟-04-实施ARP攻击与欺骗
网络协议与攻击模拟-04-实施ARP攻击与欺骗
149 1
网络协议与攻击模拟-04-实施ARP攻击与欺骗
|
安全 网络安全 数据安全/隐私保护
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
1177 0
|
7月前
|
网络协议 安全 API
家用路由器DNS被恶意篡改?教你如何应对
近期大量用户反馈家用路由器出现解析失效,怀疑部分家用路由器的DNS配置遭遇了非正常变动。我们建议家用路由器用户将本地DNS改成更安全可靠的服务器,如阿里云公共DNS;企业APP终端用户使用公共DNS企业版服务。
|
10月前
|
云安全 监控 安全
什么是蜜罐,在当前网络安全形势下,蜜罐能提供哪些帮助
蜜罐作为一种主动防御技术,在网络安全领域发挥着越来越重要的作用。通过部署蜜罐,组织可以及时发现并应对网络攻击,提高网络的安全防护能力。同时,蜜罐也可以作为一个研究工具,帮助安全研究人员了解攻击者的行为和技术。
|
10月前
|
存储 监控 安全
如何防范网络渗透攻击
如何防范网络渗透攻击
155 3
|
安全 网络安全 PHP
后渗透攻击
渗透测试之后渗透攻击
195 0
|
安全
虚拟蜜罐:从僵尸网络追踪到入侵检测
图书封面 以下为本书节选 蜜罐背景 在我们从高级技术层面开始讨论蜜罐技术之前,这一主题的背景知识对我们是有帮助的。为了激发我们使用蜜罐技术,首先看一下网络入侵检测系统(NIDS)[64]是有必要的。
2636 0
|
网络协议 安全 数据安全/隐私保护