临近年底,又到了预测下一年的时节:欺骗防御技术将在2024年变得更为常见,并在2025年底成为安全运营的主要内容。
不过,欺骗防御技术怀疑论者对此常持有两种反对观点。首先,很多网络安全专业人士称,自己此前就听说过这种预测,但从未成真。其他人则表示,欺骗防御技术仅限于少数菁英组织中的菁英所用。事实上,许多人认为欺骗防御技术是英国政府通信总部(GCHQ)、美国国家安全局(NSA)或者CrowdStrike、Mandiant和Recorded Future之类威胁情报公司的威胁分析师才会研究的东西。围绕欺骗防御技术,常会出现“科学项目”一词。
以上观点都很合理,但目前多个网络安全趋势和总体IT趋势正汇聚成一场完美风暴,势必会大大简化欺骗防御技术,将其推上主流位置。这些趋势包括:
• 安全数据湖部署:组织正在实现出自AWS、谷歌、IBM和Snowflake的大规模安全数据存储库。欺骗防御技术会持续分析这些数据,更好地了解正常行为与异常行为。欺骗模型将以这些数据作为基准。• 云计算:欺骗模型需要大量资源用于按需处理和存储容量。欺骗防御技术可能会依托现有安全运营技术以软件即服务(SaaS)或云服务的形式提供。这样一来,欺骗防御技术就将走向大众。• API连通性:除了安全数据湖,欺骗防御技术也会接入基础设施即服务(IaaS)、资产管理系统(网络资产攻击面管理)、漏洞管理系统、攻击面管理系统、云安全态势管理(CSPM)等。借助这一连通性,欺骗系统可掌握组织混合IT应用与基础设施的全貌。• 生成式AI:基于大语言模型(LLM),生成式AI能够“生成”逼真的陷阱(例如虚假资产)、诱饵(例如虚假服务)、合成网络流量和“面包屑”(例如放置在真实资产上的虚假资源)。这些欺骗要素可在混合网络中有策略地大量自动部署。以上趋势为高级欺骗防御技术提供了技术基础。此类系统的运作模式可能如下:
1. 欺骗系统插入多个IT扫描/态势管理工具,从而尽可能地“学习”关于该环境的一切:资产(包括OT和IoT资产)、IP范围、网络拓扑、用户、访问控制、正常/异常行为等。高级网络靶场已经可以实现其中一部分功能了。欺骗系统就建立在这种合成环境之上。2. 根据组织的地理位置和所处行业,欺骗系统会分析并综合网络威胁情报,寻找特定的对手团伙、威胁活动,以及通常针对此类公司的对手战术、技术和程序(TTP)。欺骗系统将由各种MITRE ATT&CK框架(云、企业、移动、ICS等)锚定,获得关于对手TTP的细粒度洞察。欺骗要素旨在网络攻击的每一步迷惑/愚弄对手。3. 接下来,欺骗系统会检查组织的安全防御——防火墙规则、端点安全控制、身份标识与访问管理(IAM)系统、云安全设置、检测规则等等。然后就可以用MITRE ATT&CK导航来发现覆盖缺口了。这些缺口是欺骗要素的完美着陆点。4. 生成式AI模型摄入所有这些数据,产生定制“面包屑”、陷阱、诱饵和金丝雀标记。辖下资产数量在1万以上的组织看起来就会像一家电信公司,拥有数十万甚至数百万个应用程序、数据元素、设备、身份,所有这些都旨在吸引和迷惑对手。需要指出的是,为了跟上混合IT环境、安全防御和威胁形势的变化,所有扫描、数据收集、处理和分析都是持续的。在组织实现新的SaaS服务、部署生产应用或更改基础设施时,欺骗引擎会注意到这些变动,并相应调整其欺骗防御技术。
不同于传统蜜罐,新兴欺骗防御技术不需要尖端知识或复杂的设置。虽然某些先进的组织可能会定制自身欺骗网络,但很多公司都会选择默认设置。大多数情况下,基本配置足以迷惑对手。此外,像陷阱和诱饵这样的欺骗要素对合法用户来说仍然是看不见的。因此,只要有人触动面包屑或金丝雀标记,他们肯定得不到什么好。如此一来,欺骗防御技术还可以帮助组织改进威胁检测和响应方面的安全运营。
• 医疗保健和制造业等行业大量使用无法托管安全代理的OT/IoT技术,欺骗防御技术在此类行业尤其有吸引力,可以通过模拟OT/IoT设备来保护真正的生产设备。• 欺骗防御技术将与欺骗工程紧密协作。事实上,可以期待生成式AI同时创建欺骗要素和配套的欺骗规则。• MITRE ATT&CK框架是欺骗模型的一部分。欺骗防御技术也将依靠MITRE Engage网络欺骗框架和社区。供应商和MITRE可能最终会在Engage和商业实现方面合作。• 虽然每个组织都有自己的欺骗防御技术应用情况,但像ISAC这样的行业组织会参与到微调模型和改善行业保护的事务中去。若是年轻气盛志存高远,可以借力风投资本,雇佣顶尖学府高材生,自己打造现代欺骗系统。一些类似的其他工作也会有所发展,但最终,欺骗防御技术会搭载在其他安全运营系统之上。Fortinet和Zscaler已经在探索这种方法了,其他公司或许也会效仿。
* 本文为nana编译,图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
还没有评论,来说两句吧...