临近年底,明年又到了:欺骗预防技术将在 2024 年变得更加普遍,到 2025 年底将成为安全运营的主要内容。
然而,在欺骗防御技术的怀疑论者中,对这一观点有两种相反的看法。 首先,许多网络安全专业人士表示他们以前听说过这一点,但从未发生过。 还有人说,防止欺骗的技术仅限于少数精英组织的精英。 事实上,许多人认为欺骗防御技术是英国通信总部 (GCHQ)、美国国家安全局或 Crowdstrike、Mandiant 和 Recorded Future 等威胁情报公司的威胁分析师正在研究的东西。 “科学项目”一词经常出现在欺骗防御技术周围。
欺骗国防技术趋势
所有这些都是合理的,但多种网络安全趋势和 IT 趋势正在汇聚成一场完美的风暴,势必会大大简化欺骗预防技术并将其推向主流。 这些趋势包括:
安全的数据湖部署:组织正在实施来自 AWS、Google、IBM 和 Snowflake 的大规模安全数据存储库。 防止欺骗技术会持续分析这些数据,以更好地了解正常和异常行为。 欺骗模型将使用此数据作为基准。 •云计算:欺骗模型需要大量资源来满足按需处理和存储容量。 欺骗预防技术可以作为软件即服务 (SaaS) 或云服务提供,而不是现有的安全运营技术。 这样,欺骗防御技术将走向大众。 •API 连接除了安全数据湖外,防骗技术还将集成到基础设施即服务(IaaS)、资产管理系统(网络资产攻击面管理)、漏洞管理系统、攻击面管理系统、云安全态势管理(CSPM)等中。 通过这种连接,欺骗系统可以全面了解组织的混合 IT 应用程序和基础架构。 •生成式 AI:基于大型语言模型 (LLM),生成式 AI 能够“生成”逼真的陷阱(例如,虚假资产)、诱饵(例如,虚假服务)、合成网络流量和“面包屑”(例如,放置在真实资产上的虚假资源)。 这些欺骗元素可以战略性地自动地在混合网络中大量部署。
欺骗预防技术在未来将如何发挥作用
这些趋势为先进的欺骗预防技术提供了技术基础。 这种系统的操作模式可能如下:
1.欺骗系统插入多个 IT 扫描态势管理工具,以尽可能多地“习”有关环境的所有内容:资产(包括 OT 和 IoT 资产)、IP 范围、网络拓扑、用户、访问控制、正常异常行为等。 其中一些功能已经可以通过先进的网络靶场来实现。 欺骗系统是建立在这种合成环境之上的。 2.根据组织的地理位置和行业,欺骗系统会分析和综合网络威胁情报,以查找通常针对此类公司的特定对手组、威胁活动以及对手策略、技术和程序 (TTP)。 欺骗系统将由各种 MITRE ATT 框架(云、企业、移动、ICS 等)锚定,以获得对对手 TTP 的细粒度洞察。 欺骗元素旨在在网络攻击的每一步迷惑和愚弄对手。 3.接下来,欺骗系统会检查组织的安全防御措施,包括防火墙规则、端点安全控制、身份和访问管理 (IAM) 系统、云安全设置、检测规则等。 然后,您可以使用 Mitre ATT&ck 导航来查找覆盖差距。 这些缺口是欺骗元素的完美着陆点。 4.生成式 AI 模型摄取所有这些数据,以生成自定义的“面包屑”、陷阱、诱饵和金丝雀标记。 一个拥有超过 10,000 项资产的组织将看起来像一家电信公司,拥有数十万甚至数百万个应用程序、数据元素、设备和身份,所有这些都旨在吸引和迷惑对手。 需要注意的是,为了跟上不断变化的混合 IT 环境、安全防御和威胁形势,所有扫描、数据收集、处理和分析都是连续的。当组织实施新的 SaaS 服务、部署生产应用程序或对基础结构进行更改时,欺骗引擎会注意到这些更改并相应地调整其欺骗预防技术。
与传统的蜜罐不同,新兴的欺骗防御技术不需要尖端知识或复杂的设置。 虽然一些高级组织可能会自定义自己的欺骗网络,但许多组织选择默认设置。 大多数情况下,基本配置足以让对手感到困惑。 此外,陷阱和诱饵等欺骗性元素对合法用户来说仍然是不可见的。 因此,只要有人碰到面包屑或金丝雀标记,他们肯定不会得到任何好处。 在此过程中,欺骗预防技术还可以帮助组织改进其安全操作,以进行威胁检测和响应。
结论
欺骗防御技术在医疗保健和制造业等行业中特别有吸引力,在这些行业中,无法安全管理的 OT IoT 技术**用于通过模拟 OT IoT 设备来保护真实的生产设备。
防欺骗技术将与欺骗工程密切合作。 事实上,生成式人工智能可以预期会同时创建欺骗元素和伴随的欺骗规则。 mitre att&ck 框架是欺骗模型的一部分。 欺骗预防技术也将依赖于 Mitre Engage 网络欺骗框架和社区。 ** 商家和 MITRE 最终可能会在 Engage 和商业实施方面进行合作。 虽然每个组织都有自己的欺骗预防技术,但像 ISAC 这样的行业组织参与微调模型和改进行业保护。 如果你年轻有抱负,你可以利用风险投资聘请顶尖大学的尖子生,自己建立现代的欺骗体系。 其他一些类似的工作将不断发展,但最终,欺骗预防技术将建立在其他安全操作之上。 Fornetet 和 Zscaler 已经在探索这种方法,其他公司可能会效仿。
the end 】—