5種頂級欺騙工具以及它們如何讓網絡攻擊者落入陷阱 - 網安 - 專業的網絡安全產業、社區、知識平臺

精通安全的企業應該明白，需要假設他們的系統可能遭到破壞。這是零信任架構如今受到如此多關注的原因之一，這也是越來越多的企業擁有威脅獵手以尋找已經在其網絡上活躍的攻擊者的原因。

這種做法越來越流行，因為網絡威脅變得如此普遍，而傳統的入侵檢測/預防系統發送了太多誤報信息，網絡威脅也很容易規避。盡管如此，威脅獵手無法捕捉到所有東西，而且沒有足夠的員工具備這些技能。那么，安全團隊去哪里獲得一些幫助和緩解呢?越來越多的企業轉向主動防御或欺騙技術，以幫助識別網絡攻擊者在其系統中的移動。

顧名思義，欺騙技術就是試圖欺騙網絡攻擊者，讓他們認為正在滲透具有價值的實際資產或訪問有價值的數據，而他們實際上是在陷阱中摸索，這不僅讓他們在無害的系統上浪費時間，而且更容易觀察他們的攻擊措施。他們還為安全團隊了解網絡攻擊者正在使用的工具、技術和程序提供幫助。然后，該智能可用于保護實際系統。

為了發揮作用，欺騙技術本質上創造了模擬自然系統的誘餌和陷阱。這些系統之所以有效，是因為了解大多數網絡攻擊者的操作方式。例如，當網絡攻擊者侵入系統時，他們通常會尋找建立持久性的方法，這通常意味著關閉后門。除了進入后門之外，網絡攻擊者還會嘗試在企業內部橫向移動，將會嘗試使用被盜或猜測的訪問憑據。當網絡攻擊者發現有價值的數據和系統時，他們將部署額外的惡意軟件并泄露數據。

借助傳統的異常檢測和入侵檢測/預防系統，企業試圖在其整個網絡和系統上發現這些正在進行的網絡攻擊。盡管如此，問題在于這些工具依賴于簽名或易受攻擊的機器學習算法，并會引發大量誤報。然而，欺騙技術觸發事件的門檻更高，但這些事件往往是真正的威脅參與者進行真正的攻擊。

雖然欺騙技術以端點、服務器、傳統IT設備和網絡設備而聞名，但它們也可以用于物聯網設備，如銷售點系統、醫療設備等。在為任何企業購買欺騙技術時，都需要考慮以下幾點：

·擴展能力：為了行之有效，欺騙技術必須能夠在整個企業環境中部署。

·集中管理：隨著規模的擴大，成千上萬的端點和管理這些欺騙性資產的需求，最好是從集中式控制臺進行管理。

·敏捷性：欺騙技術還必須部署在各種形式的因素中：內部部署設施、云平臺、網絡設備、端點和物聯網設備。

·集成：收集到的信息欺騙技術對于安全運營中心、事件響應團隊和威脅獵手來說非常寶貴。它對其他安全工具也很有價值，例如安全信息和事件管理器、防火墻、漏洞管理器以及傳統的入侵檢測和預防系統。尋找可以直接共享數據的欺騙技術，這與現有的安全工具箱配合得很好。

頂級欺騙工具

以下是目前市場上可用的一些欺騙技術：

(1)Acalvio ShadowPlex

Acalvio公司的ShadowPlex平臺可以大規模提供企業級欺騙服務。該公司表示，ShadowPlex旨在盡可能減少管理開銷和日常管理。他們的安裝框架靈活且可擴展，可用于誘餌部署，并可選擇通過云平臺或內部部署管理儀表板。

當網絡攻擊者與誘餌交互時，可以在時間線、詳細的事件數據(例如數據包捕獲、日志捕獲和攻擊中使用的憑據)中檢查信息。當使用所謂的“高交互模式”時，ShadowPlex將提供所有鍵入的擊鍵行為、它們連接的網絡、任何文件修改以及誘餌中使用的任何系統進程和工具。企業環境在不斷變化，ShadowPlex擁有對環境的持續評估并適當地更新誘餌。

ShadowPlex可與威脅追蹤和安全運營團隊使用的工具配合使用。因為它產生很少的誤報，所以這些團隊將獲得可用于事件響應和主動威脅追蹤的數據。ShadowPlex與安全信息和事件管理 (SIEM)和安全運營中心(SOC)團隊的日志管理解決方案集成，例如Splunk、ArcSight和QRadar。

ShadowPlex還可以保護物聯網(IoT)傳感器和設備，甚至是構成大部分運營技術(OT)領域的工業控制中心。對于物聯網和運營技術設備而言，擁有欺騙技術來保護它們至關重要，因為許多設備本身的原生安全性有限或沒有。這也使其成為醫療保健環境的不錯選擇。它可以模仿臺式電腦和醫療設備之類的東西，根據他們的興趣引誘網絡攻擊者進入其中任何一個。

(2)Attivo威脅防御欺騙和響應平臺

2022年3月，SentinelOne公司收購了Attivo Networks公司，雖然分析師認為此次收購的主要動機是Attivo監控密碼和用戶異常的身份安全評估能力，但SentinelOne公司還獲得了Attivo Networks的網絡和基于云的欺騙能力。Attivo是首批為其產品添加響應功能的欺騙技術開發商之一，該公司通過其Attivo威脅防御欺騙和響應平臺進一步推動了這一點。該平臺可以部署在內部部署、云平臺、數據中心或混合運營環境中。所有部署的誘餌似乎都是在網絡中使用的真實資產。

Attivo威脅防御欺騙和響應平臺的目標與其他欺騙工具集相同，即部署網絡攻擊者將與之交互的虛假資產，但實際用戶或者不知道，或者沒有理由接觸這些資產。一些誘餌比其他誘餌更公開一些，這有助于找出內部威脅或窺探員工。在大多數情況下，欺騙資產旨在捕獲威脅者潛入網絡并試圖進入一條更深入的路徑，獲取憑據，橫向移動或徹底竊取數據。

一旦網絡攻擊者與Attivo威脅防御欺騙和響應平臺的一項欺騙性資產進行交互，它不僅僅會生成警報。它還與網絡攻擊者交互，發回侵入者可能期望的各種響應。它可以激活沙盒，以便網絡攻擊者上傳的任何惡意軟件或黑客工具進入沙盒環境。這不僅可以保護網絡，還可以檢查惡意軟件以確定網絡攻擊者的意圖和策略。

該平臺還允許管理員采取措施，例如隔離被網絡攻擊者用作啟動平臺的系統或使受感染用戶的憑據過期。一旦用戶開始信任該平臺，一旦收集到任何重要的威脅情報，就可以將這些操作設置為自動發生。欺騙和響應平臺不僅提供了良好的欺騙技術，還幫助防御者快速提升響應能力，這是一個重要優勢。

(3)Illusive Shadow

Illusive Networks公司旨在使網絡攻擊者的成功橫向移動變得虛幻。它通過為網絡攻擊者創建一個敵對的環境來實現這一點，因為他們試圖通過將端點變成欺騙工具來在企業環境中到處移動。該公司稱，其無代理設計可防止黑客檢測到欺騙行為，Illusive Networks公司聲稱其欺騙技術在與微軟、Mandiant、美國國防部和思科等機構和企業進行的140多次紅隊演習中保持不敗。

因為它是無代理的，所以Illusive Shadow可以直接部署在內部部署設施、云平臺或混合云中。正如人們所預料的那樣，Illusive Shadow誘餌以憑據、網絡連接、數據和系統以及攻擊者可能感興趣的其他項目的形式出現。Illusive Shadow還會隨著企業環境的變化而自動擴展和更改，并將為每臺機器定制端點誘餌。

安全分析師和安全運營中心(SOC)團隊將對Illusive Shadow的管理控制臺如何模擬網絡攻擊者的接近程度感興趣，因為他們正在與誘餌、關鍵資產和攻擊者行動的時間表進行交互。

(4)CounterCraft網絡欺騙平臺

CounterCraft的網絡欺騙平臺通過ActiveLures捕獲攻擊者，可以自定義或基于模板。這些ActiveLure的“面包屑”分布在端點、服務器，甚至在GitHub等平臺上在線。欺騙并沒有隨著誘惑而停止;誘餌的工作是將攻擊者吸引到ActiveSense環境中。

ActiveSense環境基于代理收集的數據，并通過安全和分段的環境發回。整個系統旨在實時提供有關網絡攻擊者活動的情報。CounterCraft公司表示，ActiveSense環境可以通過CounterCraft平臺快速部署和控制。

整個欺騙系統旨在靈活地在現有環境中工作，并與現有的安全、信息和事件管理系統以及威脅情報系統集成。它還適用于企業安全團隊已經習慣的格式，例如SysLog或OpenIOC。收集的威脅信息也可以自動發送到其他機器以支持其他安全系統。

了解網絡攻擊者的一種有效方法是通過可視化圖表對他們的活動進行建模。CounterCraft的攻擊圖和來自欺騙平臺的實時反饋，可以幫助安全團隊了解攻擊者的戰術、工具和程序。

(5)Fidelis Deception平臺

Fidelis Deception平臺聲稱可以輕松部署欺騙技術。欺騙資產通過下拉菜單和向導部署，可選擇讓Fidelis Deception平臺查看環境并自動部署欺騙資產。它在部署與環境中其他任何內容相匹配的資產方面做得很好。它將監控網絡的發展和擴展，就如何反映欺騙網絡中的這些變化提出建議。例如，如果一家企業安裝了一批新的物聯網安全攝像頭，Fidelis Deception平臺將檢測到這一點，并提供部署具有類似特征的假攝像頭。它完全支持幾乎所有物聯網設備，并且在OT中也可以找到許多設備。

除了易于部署之外，Fidelis Deception平臺還控制其虛假資產，讓它們相互通信并執行相同類型的普通設備會執行的操作。它甚至開始實施一些令人驚訝的高級策略，例如毒化地址解析協議表，使其看起來像欺騙資產一樣活躍，就像它們所保護的真實資產一樣。

Fidelis Deception平臺的獨特之處在于它還產生了以真實方式與欺騙性資產交互的假用戶。試圖確定資產是否真實的黑客會看到用戶與之交互的證據并放松警惕，不知道用戶本身就是精心策劃的騙局的一部分。

(6)TrapX DeceptionGrid(現為CommVault)

2022年2月，數據治理和安全服務商CommVault公司收購了最流行的欺騙平臺之一的TrapX和DeceptionGrid，因為它擁有虛假但真實的欺騙資產。借助DeceptionGrid，企業通常會在受保護的網絡上部署數千個虛假資產。

DeceptionGrid部署的欺騙資產包括網絡設備、欺騙令牌和主動陷阱。從大多數部署開始，主要的欺騙性資產被設計成看起來像功能齊全的計算機或設備，TrapX有幾個為金融或醫療保健等行業設計的模板。它可以模仿從自動取款機到銷售點設備再到幾乎任何物聯網資產的一切。此外，DeceptionGrid可以部署具有完整操作系統的欺騙性資產。它們被稱為FullOS陷阱，旨在讓網絡攻擊者相信他們正在使用真實資產，同時全面監控他們為收集威脅情報所做的一切。

TrapX部署的欺騙令牌更小。但同樣重要。與功能齊全的欺騙性資產不同，令牌只是普通文件、配置腳本和其他類型的誘餌，網絡攻擊者用來收集有關他們試圖入侵的系統和網絡的信息。它們不會與網絡攻擊者交互，但會在他們訪問、復制或查看它們時提醒安全團隊。

主動陷阱完善了DeceptionGrid部署的欺騙性資產的數量。這些陷阱在它們之間傳輸大量虛假網絡流量，并提供指向欺騙網絡其余部分的指針和線索。任何在幕后監控網絡流量的攻擊者都可能被虛假網絡流所欺騙，這將導致他們獲得欺騙性資產，即使他們可能認為它是安全的，因為它看起來在網絡中正常且充分使用。

TrapX DeceptionGrid最近在內部部署和云計算基礎設施中添加了欺騙技術容器環境。通過檢測高級網絡攻擊并提供對利用應用程序漏洞和容器之間橫向移動的嘗試的可見性，DeceptionGrid 7.2為增強的事件響應和主動防御提供了全面的保護。