如何構建網絡安全欺騙計劃

現在我們要考慮的不再是：攻擊者是否會入侵給定企業網絡，而是何時，這個現實使得主動網絡安全策略（例如威脅狩獵和網絡欺騙）越來越受到關注。Research and Markets公司的分析師預測，到 2026 年，欺騙技術市場將從 2020 年的 19 億美元增長到 42 億美元。

網絡欺騙涉及在整個 IT 環境中放置誘餌資產，目的是引誘惡意黑客遠離真實系統和應用程序。在最好的情況下，網絡欺騙可以完成以下任務：

• 消耗攻擊者的時間和精力。
• 提醒事件響應者注意企業系統中存在攻擊者，存在可以忽略不計的誤報。
• 通過使安全團隊能夠觀察和記錄攻擊者的策略、技術和程序來加強威脅情報。

然而，所有這些都說起來容易做起來難。為了建立可實現上述好處的網絡安全欺騙計劃，安全領導者需要采用一種深思熟慮的戰略方法。請考慮以下最佳做法。

1. 贏得領導層的支持

早期的網絡欺騙工作未能直接支持企業的任務，在某些情況下，浪費時間和資源，盡管如此，自早期基本的蜜罐以來，網絡欺騙技術已經走了很長一段路。

在這里，與首席信息安全官、首席信息官和其他 C 級高管的溝通非常重要，網絡欺騙現已成為主動防御的關鍵部分，并有可能帶來可觀的投資回報率。網絡欺騙計劃得到領導層的支持越多，成功的可能性就越大。

2. 制定最初的網絡欺騙計劃

我們很容易對網絡欺騙的無限概念潛力感到興奮，而忽視運營和后勤方面的限制。然而，與其設定過于雄心勃勃的目標，不如嘗試現實地評估可用資源，并從小處著手。

首先，在權衡各種攻擊場景的可能性和潛在嚴重性之前，請考慮企業的漏洞，并確定其最關鍵的資產。優先考慮相對更有可能和相對嚴重的高風險威脅。

然后，查閱威脅情報源、事件報告和 Mitre ATT&CK 等資源，以確定可能的攻擊路徑和方法。這些信息會告知團隊在何處以及如何部署網絡欺騙資源，以最大限度地提高有效攔截威脅參與者的機率。

網絡欺騙計劃本身應記錄該計劃的目標和目的;可能的威脅參與者、攻擊和攻擊路徑;網絡欺騙工具和技術;以及測量和監測戰略。

隨著該計劃的發展，請確保從技術人員和管理層獲得反饋和支持。

3. 部署和整合網絡欺騙技術

近年來，網絡欺騙技術已經取得重大進展，現在有很多商業和開源選項可供選擇。請審查并選擇最能滿足你計劃需求的技術，權衡可擴展性、覆蓋范圍的深度和廣度、部署模型、管理界面和自動化功能。至關重要的是，由于所有欺騙技術都必須提醒安全工作人員注意可疑活動，因此，請優先考慮可與安全運營中心現有檢測技術和其他工具集集成的功能。

在選擇欺騙技術進行部署后，安全人員需要仔細設置和配置資源，使其與“真實”對應物相似。請記住，成功的網絡欺騙取決于心理學和社會工程及技術。考慮到這一點，還可以考慮使用現有技術來增強可信度，例如，在生產系統上設置欺騙性用戶帳戶和電子郵件地址。

4. 執行網絡欺騙計劃

在部署和測試欺騙技術并培訓員工使用后，是時候開始運營。網絡欺騙的部署需要持續監控、管理和維護。由于日常使用、修復和其他操作活動，實際生產系統會不斷變化。欺騙資源必須以類似的方式波動，否則它們將無法說服攻擊者。

此外，請確保將監控數據保存在單獨的安全系統上，而不僅僅是欺騙技術本身，以便擁有事件和關鍵指標的備份記錄。

5. 重新審視和修改網絡騙案計劃

定期評估計劃的有效性，對其進行更新，以使其更有效并應用經驗教訓。使用日志和其他記錄來衡量性能和衡量結果。與相關安全人員討論欺騙資源，重點關注他們遇到的任何問題以及他們提出的改進建議。

最后，建議定期向環境添加新的網絡欺騙實例，以檢測其他類型的攻擊并發現其他威脅。