欺騙式防御的五大頂級工具
近年來,隨著攻擊者突防能力不斷增強,而傳統的入侵檢測/預防系統等誤報太多,市場對欺騙式防御或主動防御技術的興趣日益濃厚。
欺騙式防御并不等同于傳統的蜜罐技術,除了具備與攻擊者交互的能力外,欺騙式防御技術工具重在偽裝和混淆,使用誤導、錯誤響應和其他技巧誘使攻擊者遠離合法目標,并將其引向蜜罐和其他誘騙系統,增加攻擊的難度和成本,屬于主動防御的重要組成部分。
傳統的異常檢測和入侵檢測/預防系統依賴簽名或易受攻擊的機器學習算法,常常會產生大量誤報。相比之下,欺騙技術的事件觸發閾值則高得多,通常報告的都是真正的攻擊者發動的真實攻擊。
好的欺騙式防御技術不僅能浪費攻擊者的時間,還為安全團隊提供對手的寶貴情報,例如他們正在使用的工具、技術和程序,從而更好地防護真實的系統。
雖然欺騙式防御技術通常部署在端點、服務器、傳統IT設備和網絡設備上,但也可以與物聯網設備一起使用,例如銷售點系統、醫療設備等。
在為企業購買欺騙式防御技術時,企業需要關注以下幾個重點:
- 擴展能力:為了提高有效性,欺騙技術必須能夠在整個企業環境中部署。
- 集中管理:隨著欺騙式技術部署的規模擴大,最好是有一個集中的控制臺,來管理成千上萬的端點和欺騙式技術資產。
- 敏捷性:欺騙技術需要能夠靈活部署在任意地方:本地、云、網絡設備、端點和物聯網設備。
- 集成:欺騙技術收集的信息對于安全運營中心、事件響應團隊和威脅獵手來說非常寶貴,對其他安全工具也很有價值,例如安全信息和事件管理器、防火墻、漏洞管理器以及傳統的入侵檢測和預防系統。建議優先選擇可直接共享數據的欺騙式防御技術,可與現有的安全工具配合得更好。
以下是全球網絡安全市場中五個頂級的欺騙式防御工具:
Acalvio ShadowPlex
Acalvio的ShadowPlex平臺可大規模提供企業級欺騙技術。該公司表示,ShadowPlex旨在最大限度減少管理開銷和日常管理。他們的安裝框架為誘餌部署提供極高的靈活性和可擴展性,并且可以選擇通過云或本地部署管理儀表板。
當攻擊者與誘餌交互時,可以在時間線、詳細事件數據(例如PCAP(數據包捕獲)、日志捕獲和攻擊中使用的憑據)中檢查信息。當使用所謂的“高交互模式”時,ShadowPlex將提供攻擊者的所有鍵盤輸入、連接的網絡、任何文件修改以及在誘餌中使用的任何系統進程和工具。企業環境在不斷變化,ShadowPlex能夠對環境持續評估并相應地更新誘餌。
ShadowPlex可與威脅追蹤和安全運營團隊使用的工具配合使用,因為它產生的誤報很少,能夠為上述團隊提供可用于事件響應和主動威脅追蹤的數據。ShadowPlex可與SIEM和SOC團隊的日志管理解決方案(例如Splunk、ArcSight和QRadar)集成。
ShadowPlex還可以保護大部分OT物聯網(IoT)傳感器和設備甚至整個工業控制中心。對于IoT和OT設備而言,增加一層欺騙技術防護至關重要,因為許多設備本身的本機安全性有限或根本沒有,這也使ShadowPlex成為醫療環境的不錯選擇(還可以模仿臺式電腦和醫療設備)。
Attivo ThreatDefend欺騙和響應平臺
2022年3月,SentinelOne收購了Attivo Networks,雖然分析師認為此次收購的主要目標是Attivo監控密碼和用戶異常行為的身份安全評估能力,但SentinelOne還獲得了Attivo的網絡和云的欺騙式防御技術——ThreadDefend欺騙和響應平臺。Attivo是首批在產品中添加響應功能的欺騙技術廠商之一,該公司通過ThreatDefend進一步推動了這一點,該平臺可以部署在本地、云端、數據中心或混合環境中,所有部署的誘餌都與網絡中的真實資產高度相似。
ThreatDefend欺騙和響應平臺平臺的目標與其他欺騙工具并無不同,即部署可與攻擊者交互的虛假資產,同時這些虛假資產對于實際用戶來說又是不可見或者無法訪問的。不過,有些誘餌比其他誘餌更公開一些,這有助于找出內部威脅或窺探員工。
一旦攻擊者與ThreatDefend的欺騙性資產進行交互,后者所做的不僅僅是生成警報,它還能向攻擊者發出其可能期望的各種響應。它還可以激活沙盒,將攻擊者上傳的任何惡意軟件或黑客工具導入沙盒環境。這不僅可以保護網絡,還可以檢查惡意軟件以確定攻擊者的意圖和策略。
該平臺還允許管理員采取一些措施,例如隔離被攻擊者用作啟動平臺的系統或作廢受感染用戶的憑據。當用戶開始信任該平臺后,可以設置為在收集到重要威脅情報后自動運行上述措施,這可以幫助防御者快速提升響應能力,在爭分奪秒的事件響應中取得優勢。
Illusive Shadow
顧名思義,Illusive Networks公司的Illusive Shadow試圖給攻擊者的橫向移動制造錯覺。Illusive Shadow將端點設備變成欺騙裝置,為攻擊者設置了一個“十面埋伏”的危險環境。該公司聲稱,其無代理設計可防止黑客檢測到欺騙行為,其欺騙技術在與微軟、Mandiant、美國國防部和思科等組織進行的140多次紅隊演習中保持不敗戰績。
因為是無代理的,所以Illusive Shadow可以直接部署在本地、云或混合云中。正如人們所預料的那樣,Illusive Shadow誘餌以憑據、網絡連接、數據和系統以及攻擊者可能感興趣的其他資產的形式出現。Illusive Shadow還會隨著企業環境的變化而自動擴展和更改,并將為每臺機器定制端點誘餌。
安全分析師和SOC團隊對Shadow的管理控制臺能夠根據攻擊者與誘餌、關鍵資產的交互和攻擊活動時間表建模分析攻擊者的攻擊階段,這一功能對安全分析師和SOC團隊很有吸引力。
CounterCraft網絡欺騙平臺
CounterCraft的網絡欺騙平臺(Cyber Deception Platform)通過ActiveLures捕獲攻擊者,后者可以自定義或基于模板。這些ActiveLure的“面包屑”分布在端點、服務器,甚至在GitHub等在線平臺上,吸引攻擊者進入ActiveSense環境。
ActiveSense環境基于代理收集的數據,并通過安全和分段的環境反饋。整個系統旨在實時提供有關攻擊者活動的情報。根據CounterCraft的說法,ActiveSense環境可以通過CounterCraft平臺快速部署和控制。
整個欺騙系統旨在靈活地部署在現有IT環境,并與現有的安全、信息和事件管理系統以及威脅情報系統集成。它還支持企業安全團隊已經習慣的常見格式,例如SysLog或OpenIOC。收集的威脅信息也可以自動發送到其他安全系統。
了解攻擊者的一種有效方法是通過可視化圖表對他們的活動進行建模。CounterCraft的攻擊圖譜結合來自欺騙平臺的實時信息,可幫助安全團隊了解攻擊者的策略、工具和程序。
Fidelis欺騙平臺
Fidelis欺騙平臺(Deception Platform)聲稱其欺騙資產可通過下拉菜單和向導輕松部署,用戶可選擇讓Fidelis平臺查看環境并自動部署欺騙資產。該產品在部署時與環境中其他資產能夠很好地匹配,還能監控網絡的變化和擴展,并給出相應的欺騙式防御建議。例如,如果一家公司添加了一堆新的物聯網安全攝像頭,Fidelis將檢測到這一點并建議部署相似特征的假攝像頭。該平臺支持幾乎所有物聯網設備,以及大量OT網絡中的設備。
除了易于部署之外,Fidelis還能很好地管理控制其虛假資產,讓它們相互通信并執行相同類型的普通設備會執行的操作。甚至還提供一些令人驚訝的高級策略,例如毒化地址解析協議表,使欺騙性資產看起來與真實資產一樣活躍。
Fidelis的獨到之處還包括能生成以真實方式與欺騙性資產交互的假用戶。試圖確定資產是否真實的黑客會查看用戶與之交互的證據并放松警惕。
TrapX DeceptionGrid
(現為CommVault)
2022年2月,數據治理和安全公司CommVault收購了TrapX及其欺騙式防御技術DeceptionGrid,后者是最受歡迎的欺騙平臺之一,因為它能提供高度仿真的“高仿資產”。借助DeceptionGrid,企業可以在受保護的網絡上輕松部署和管理數千個虛假資產。
DeceptionGrid部署的欺騙資產包括普通網絡設備、欺騙令牌和主動陷阱。主要的欺騙性資產被設計成看起來像功能齊全的計算機或設備,而且還為金融或醫療等行業提供了設計模板。DeceptionGrid可以模仿從自動取款機到POS機的幾乎任何物聯網資產。此外,DeceptionGrid還可以部署具有完整操作系統的欺騙性資產——FullOS陷阱,旨在讓攻擊者相信他們正在使用真實資產,同時全面監控并收集攻擊者一舉一動的威脅情報。
TrapX部署的欺騙令牌看上去不起眼但同樣重要。與功能齊全的欺騙性資產不同,令牌屬于普通文件、配置腳本等類型的誘餌,攻擊者在試圖入侵系統時會收集系統和網絡的信息,這些誘餌令牌不會與攻擊者互動,但在被訪問、復制或查看時會提醒安全團隊。
主動陷阱串聯起了DeceptionGrid部署的大量欺騙性資產,這些陷阱在欺騙性資產之間傳輸大量虛假網絡流量,并提供指向欺騙網絡其余部分的指針和線索。任何悄悄監控網絡流量的攻擊者都可能被虛假網絡流量欺騙,將欺騙性資產作為攻擊目標。
TrapX DeceptionGrid最近在本地和云基礎設施中添加了欺騙技術容器環境。通過檢測高級網絡攻擊并提供對軟件漏洞利用和容器之間橫向移動的可見性,DeceptionGrid 7.2為增強的事件響應和主動防御提供了全面的保護。
