欺骗技术为什么比蜜罐好
| 最近两年,随着APT、内网威胁的迅速增加,攻击欺骗技术的检测能力的提高,攻击欺骗技术和传统蜜罐欺骗技术在检测网络攻击者方法上是存在必定的差别性,如下是它们的不一样之处。 |
1. 彻底相反的基本前提html
蜜罐技术是使用组织基础设施的逻辑视图设计的。这些蜜罐被部署在有价值的目标周围,以试图转移攻击者。然而,当攻击者遇到蜜罐时,它已经在网络最深处了。
攻击者将基础设施视为社交地图。一旦他们肯定了在网络中的位置,他们就会看到相邻的资源和资源之间的关系来决定他们下一步的行动,幻影欺骗技术是从攻击者的角度设计的,并提早识别攻击。这种视角的转变给了你在威胁状况下的巨大优点,这些威胁老是压倒性地支持攻击者。linux
2. 诱骗与纠缠安全
蜜罐的成功依赖于捕获攻击者的注意力并激励他们转移到蜜罐目的地。这意味着你必须首先让攻击者在蜜罐以前而阻止他们。与此同时,他们可能会在网络中存在数月,会泄露数据并形成损害。
幻影欺骗在网络中广泛存在,并反映出实际的基础设施。虚假的攻击者并不但愿将攻击者吸引到目的地,而是几乎在他们得到网络访问权后(例如一般是第一次参与攻击的终结点),欺骗攻击者进行欺骗,而攻击者不会意识到这一点。服务器
3. 有限的可伸缩性与自动化的可伸缩性网络
您能够增长部署在整个基础架构中的蜜罐数量,以增长捕获攻击者的可能性。然而,这种方法很快就会变得昂贵而复杂。若是你有500台机器而且须要50%的覆盖率,则须要添加500台新机器和IP地址,更不用说许可证和人力资源来管理这些机器。即便采用自动化,这种方法也会给网络和员工带来负担,而且不会产生更好的吸引力。在整个基础设施中都部署了幻影欺骗,而且几乎能够当即进行扩展,由于技术是无代理的。随着基础架构的扩展,欺骗会自动部署,几乎没有IT或网络的开销。
凭借幻影欺骗管理服务器(DMS),欺骗也根据网络中遇到的每一项资产量身定制,以便组织为每台机器或用户部署最佳,最可靠的欺骗手段,显著增长检测攻击者的机会。架构
4. 增长误报与近零的误报学习
一个攻击者必须选择蜜罐做为目的地,当它们存在于网络中时,终端用户常常会遇到并与诱饵进行交互,从而增长误报。幻影欺骗使每一个终端上的数据都被100%覆盖,但却隐藏在用户中。由于他们只能暴露在攻击者的面前,误报被消除,每一次警报都是真实的威胁。设计
5. 模仿与真实性代理
蜜罐是用组织认为会吸引攻击者的数据或属性精心制做的。然而,诱饵应该既有趣又能证实与攻击者的真实互动。攻击者寻找特定的特征,使他们可以成功地避免使用蜜罐。
若是任何东西看起来有点“可疑”,他们会把它单独留下。幻影欺骗是真实的,随着时间的推移而变化。它们具备相同的属性和实际的终端、服务器、数据、应用程序和周围的网络环境。没有两台计算机或用户的欺骗行为是相同的——即便是在相同的环境中。攻击者没法肯定什么是真实的,什么是虚假的。
此外,欺骗行为是精心策划的,随着时间的推移不断变化,在欺骗黑客的过程当中扮演一个重要的角色,他们在学习环境和执行重复动做的过程当中扮演着一个合适的角色。不断变化的欺骗也阻止了攻击者使用以前获取的网络信息,这进一步延迟了他们在网络上的横向移动。htm
6. 延迟威胁响应与即时威胁响应
经过蜜罐技术,组织的安全团队必须但愿攻击者可以与蜜罐交互足够长的时间,以解决来自多台机器的大量错误的警报。这明显推迟了有效的反应。
此外,因为攻击者在组织网络中已经深刻,所以安全团队在这一点上每每很是警戒,常常会致使错误的决策。
有了幻影欺骗,安全团队知道攻击者在攻击的早期就会欺骗。这给了他们更多的响应选择和一个清晰的修复路径。
7. 有用的取证和即时取证的来源攻击
取证只能汇集在蜜罐诱饵自己,它不提供对源机器或先前行为的洞察。
当攻击者被激活时,幻影欺骗会在源机器上提供即时的取证快照。他们继续提供数据,由于攻击者尝试不一样的方法和途径。
8. 强调技术与转变
蜜罐技术已经存在了很长时间,而且是基于对机器和技术能力的假设而设计的。新的欺骗技术能够帮助攻击者摆脱困境,由于它是围绕着人类对新环境或新环境的反应而设计的。当攻击者登录网络时,他会问两个问题
下一步我应该去哪里? 我怎么去呢?
只有在回答了这些问题以后,它才会进行下一个横向移动。当幻影的真实欺骗被部署到这些问题的答案时,就会产生一个欺骗的现实。这将会致使攻击者在一个陷阱服务器上,而不是它理想的目标。在它身边有许多欺骗手段,攻击者一般会作出不正确的决定 , 使它陷入欺骗和迷失方向,这一点是它没有意识到的。与此同时,它被发现殊不知道。自动的取证反应跟踪他的路径和活动,为组织提供有价值的数据来阻止和纠正攻击。
原文来自:http://netsecurity.51cto.com/art/201810/585827.htm
本文地址:https://www.linuxprobe.com/cheating-is-better-than-honey-pot.html编辑:冯瑞涛,审核员:逄增宝
- 1. 欺骗技术为何比蜜罐好
- 2. 蜜罐技术
- 3. 主动防护技术之蜜罐
- 4. 【产品对比】蜜罐技术商业化产品大全
- 5. 什么是ARP?如何防范ARP欺骗技术?
- 6. arp攻击与欺骗有什么区别_什么是欺骗(攻击)?
- 7. 蜜罐搭建
- 8. ***检测-蜜罐
- 9. 蜜罐部署
- 10. 蜜罐网络
- 更多相关文章...
- • 为什么使用 XML Schemas? - XML Schema 教程
- • 为什么使用 Web Services? - Web Services 教程
- • Docker容器实战(一) - 封神Server端技术
- • 三篇文章了解 TiDB 技术内幕——说存储
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 欺骗技术为何比蜜罐好
- 2. 蜜罐技术
- 3. 主动防护技术之蜜罐
- 4. 【产品对比】蜜罐技术商业化产品大全
- 5. 什么是ARP?如何防范ARP欺骗技术?
- 6. arp攻击与欺骗有什么区别_什么是欺骗(攻击)?
- 7. 蜜罐搭建
- 8. ***检测-蜜罐
- 9. 蜜罐部署
- 10. 蜜罐网络