欺骗技术为何比蜜罐好
2019独角兽企业重金招聘Python工程师标准>>>
最近两年,随着APT、内网威胁的迅速增长,攻击欺骗技术的检测能力的提升,攻击欺骗技术和传统蜜罐欺骗技术在检测网络攻击者方法上是存在一定的差异性,以下是它们的不同之处。 |
1. 完全相反的基本前提
蜜罐技术是使用组织基础设施的逻辑视图设计的。这些蜜罐被部署在有价值的目标周围,以试图转移攻击者。然而,当攻击者遇到蜜罐时,它已经在网络最深处了。
攻击者将基础设施视为社交地图。一旦他们确定了在网络中的位置,他们就会看到相邻的资源和资源之间的关系来决定他们下一步的行动,幻影欺骗技术是从攻击者的角度设计的,并提前识别攻击。这种视角的转变给了你在威胁情况下的巨大优势,这些威胁总是压倒性地支持攻击者。
2. 诱骗与纠缠
蜜罐的成功依赖于捕获攻击者的注意力并激励他们转移到蜜罐目的地。这意味着你必须首先让攻击者在蜜罐之前而阻止他们。与此同时,他们可能会在网络中存在数月,会泄露数据并造成损害。
幻影欺骗在网络中普遍存在,并反映出实际的基础设施。虚假的攻击者并不希望将攻击者吸引到目的地,而是几乎在他们获得网络访问权后(例如通常是第一次参与攻击的终结点),欺骗攻击者进行欺骗,而攻击者不会意识到这一点。
3. 有限的可伸缩性与自动化的可伸缩性
您可以增加部署在整个基础架构中的蜜罐数量,以增加捕获攻击者的可能性。然而,这种方法很快就会变得昂贵而复杂。如果你有500台机器并且需要50%的覆盖率,则需要添加500台新机器和IP地址,更不用说许可证和人力资源来管理这些机器。即使采用自动化,这种方法也会给网络和员工带来负担,并且不会产生更好的吸引力。在整个基础设施中都部署了幻影欺骗,并且几乎可以立即进行扩展,因为技术是无代理的。随着基础架构的扩展,欺骗会自动部署,几乎没有IT或网络的开销。
凭借幻影欺骗管理服务器(DMS),欺骗也根据网络中遇到的每一项资产量身定制,以便组织为每台机器或用户部署最佳,最可靠的欺骗手段,显著增加检测攻击者的机会。
4. 增加误报与近零的误报
一个攻击者必须选择蜜罐作为目的地,当它们存在于网络中时,终端用户经常会遇到并与诱饵进行交互,从而增加误报。幻影欺骗使每个终端上的数据都被100%覆盖,但却隐藏在用户中。因为他们只能暴露在攻击者的面前,误报被消除,每一次警报都是真实的威胁。
5. 模仿与真实性
蜜罐是用组织认为会吸引攻击者的数据或属性精心制作的。然而,诱饵应该既有趣又能证明与攻击者的真实互动。攻击者寻找特定的特征,使他们能够成功地避免使用蜜罐。
如果任何东西看起来有点“可疑”,他们会把它单独留下。幻影欺骗是真实的,随着时间的推移而变化。它们具有相同的属性和实际的终端、服务器、数据、应用程序和周围的网络环境。没有两台计算机或用户的欺骗行为是相同的——即使是在相同的环境中。攻击者无法确定什么是真实的,什么是虚假的。
此外,欺骗行为是精心策划的,随着时间的推移不断变化,在欺骗黑客的过程中扮演一个重要的角色,他们在学习环境和执行重复动作的过程中扮演着一个合适的角色。不断变化的欺骗也阻止了攻击者使用之前获取的网络信息,这进一步延迟了他们在网络上的横向移动。
6. 延迟威胁响应与即时威胁响应
通过蜜罐技术,组织的安全团队必须希望攻击者能够与蜜罐交互足够长的时间,以解决来自多台机器的大量错误的警报。这明显推迟了有效的反应。
此外,由于攻击者在组织网络中已经深入,因此安全团队在这一点上往往非常警惕,经常会导致错误的决策。
有了幻影欺骗,安全团队知道攻击者在攻击的早期就会欺骗。这给了他们更多的响应选择和一个清晰的修复路径。
7. 有用的取证和即时取证的来源攻击
取证只能聚集在蜜罐诱饵本身,它不提供对源机器或先前行为的洞察。
当攻击者被激活时,幻影欺骗会在源机器上提供即时的取证快照。他们继续提供数据,因为攻击者尝试不同的方法和途径。
8. 强调技术与转变
蜜罐技术已经存在了很长时间,并且是基于对机器和技术能力的假设而设计的。新的欺骗技术可以帮助攻击者摆脱困境,因为它是围绕着人类对新环境或新环境的反应而设计的。当攻击者登陆网络时,他会问两个问题
下一步我应该去哪里? 我怎么去呢?
只有在回答了这些问题之后,它才会进行下一个横向移动。当幻影的真实欺骗被部署到这些问题的答案时,就会产生一个欺骗的现实。这将会导致攻击者在一个陷阱服务器上,而不是它理想的目标。在它身边有许多欺骗手段,攻击者通常会做出不正确的决定 , 使它陷入欺骗和迷失方向,这一点是它没有意识到的。与此同时,它被发现却不知道。自动的取证反应跟踪他的路径和活动,为组织提供有价值的数据来阻止和纠正攻击。
原文来自:http://netsecurity.51cto.com/art/201810/585827.htm
本文地址:https://www.linuxprobe.com/cheating-is-better-than-honey-pot.html编辑:冯瑞涛,审核员:逄增宝
转载于:https://my.oschina.net/u/3308739/blog/2876865
欺骗技术为何比蜜罐好相关推荐
- 《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.4节欺骗技术
本节书摘来自异步社区<请君入瓮--APT攻防指南之兵不厌诈>一书中的第8章8.4节欺骗技术,作者[美]Sean Bodmer , Max Kilger , Gregory Carpente ...
- 局域网ARP协议和欺骗技术及其对策
ARP协议的概念和工作原理对学习网络安全知识的初学者来说是首先遇到的几个重要的知识点之一,其中ARP欺骗技术和及其对策更是学习网络安全中的重点与难点,往往难以一下子掌握这些抽象复杂的机理.因此很有必要 ...
- 浮动IP地址(Float IP)与 ARP欺骗技术
浮动IP地址: 一个网卡是可以添加多个IP的. 就是多个主机工作在 同一个集群中,即两台主机以上.每台机器除了自己的实IP外,会设置一个浮动IP,浮动IP与主机的服务(HTTP服务/邮箱服务)绑在一起 ...
- 人脸识别:人脸识别攻击技术类型和反欺骗技术
点击上方"小白学视觉",选择加"星标"或"置顶" 重磅干货,第一时间送达 本文转自:AI算法与图像处理 由于计算机科学和电子技术的迅速发展, ...
- jquery.ztree 打开父节点_父进程欺骗技术
文章正文 监控父进程和子进程之间的关系是威胁检测团队检测恶意活动的常用技术,例如,如果powershell是子进程,而Microsoft Word是父进程,这种这种异常行为各种EDR可以很容易地检测到 ...
- ARP欺骗***技术及防护
什么是ARP协议 要想了解ARP欺骗***的原理,首先就要了解什么是ARP协议.ARP是地址转换协议的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时为上层(网 ...
- 【读书笔记】《大型互联网企业安全架构(石祖文)》
文章目录 Part one:安全理论体系 第一章 安全理念 一.企业安全风险综述 1. 业务与运维安全(生产网安全) 2. 企业内部安全(办公网安全) 3. 法律法规与隐私保护 4. 供应链安全 二. ...
- 安全架构--4--企业基础安全运营平台建设实践
作者:随亦 基础安全运营平台是集威胁情报.漏洞检测.入侵感知.主动防御.后门查杀.安全基线.安全大脑于一体的综合安全平台,承担着企业抵御各种网络攻击和防范内部风险的重任. 首先通过威胁情报从外部获取最 ...
- 定向网络攻击分析与防御
文章目录 定义 APT VS 定向网络攻击 阶段组成 情报搜集 目标感染 系统漏洞攻击 数据泄露 保持控制 防御工作 追踪溯源模型 主机终端和文件数据 网络服务 控制信道 行为特征 挖掘分析 关键技术 ...
最新文章
- 线程的介绍(概念、作用)
- nextcloud安装教程
- 自学python能干些什么副业好-python可以作为副业赚钱嘛?
- web项目中的web.xml元素解析
- Convert AS400 Spool to PFD Tools – PDFing
- java图片转换成base64_Java将图片转换成Base64字符串
- E - Another Postman Problem FZU - 2038
- Struts2_2_解决配置文件冗余_动作类对象数据封装_数据类型转换_表单数据信息提示
- Juypter 打开其他路径文件
- push本地代码到github出错
- 是什么成就了卓越的程序员?
- vc中调用其他应用程序的方法(函数) winexec,shellexecute ,createprocess 1
- Ubuntu 18.04 通过 ufw route 配置网关服务器
- GIGO1.1数据清洗利器,文献计量同义词合并
- 哈理工c语言,哈理工C语言试题.doc
- 关于spring security的URL路径验证问题
- 戴尔服务器板载系统raid管理,如何在 Dell 系统的统一可扩展固件接口(UEFI)配置中管理您的板载 LSI 3008 RAID 控制器...
- 中介者模式 - 设计模式学习
- 微信小程序 上传头像截图功能
- snmp中mib文件解析
热门文章
- wifi共享精灵教你找工作
- 高斯消元配合概率dp-图上随机游走模型
- 旋转数组,输出旋转数组的最小元素
- 解决cesium中3dtiles模型随视角移动
- 2022-2028年全球与中国乘用车起动机和交流发电机行业市场深度调研及投资预测分析
- 【目标检测】32、让你一文看懂且看全 NMS 及其变体
- cameo.py报错'cv2.cv2' has no attribute 'cv',channel等问题的修改方法
- 我的世界java萌新须知_我的世界萌新游戏指南 萌新第一天都应该做什么?
- NOIP 2015 提高组 初赛
- GBase 8a MPP Cluster 产品简介