本专栏可在每周的时事通讯《IT最佳实践》中找到。点击这里订阅。
每个CISO都知道,仅仅使用预防工具将攻击者拒之门外是不够的。CISO必须具备“他们会加入”的心态,并利用检测工具进行相应的计划。
根据Gartner的数据,发现违规行为的平均时间超过200天,而且往往是由外部组织(如信用卡处理机构或执法机构)发现的。当CISO被召集到董事会讨论网络事件的准备工作时,这些事实根本站不住脚。
假设攻击最终会发生,重要的是检测和停止攻击的速度有多快。理想的情况是在任何数据可以被过滤之前,或者在勒索软件的情况下,在加密之前捕获攻击。
当攻击者第一次进入网络时,通常是通过网络钓鱼攻击或驾车下载植入的恶意软件,他基本上是盲人。为了去掉象征性的眼罩,他必须四处探索,找出自己在哪里,下一步想去哪里。他的目标是以尽可能少的动作,在不被发现的情况下获得有价值的资产。
欺骗技术可以让攻击者产生错觉,以为他们发现了梦寐以求的资产或有利的下一步行动;例如,允许他查看Active Directory中(理论上)应该具有提升访问权限的系统管理员帐户。然而,如果该帐户只是一个假诱饵,而攻击者仍在使用它,那么他可能会被诱骗到一个陷阱中,从而触发无声警报。一旦知道攻击者的存在,安全专家就可以决定做什么,例如终止攻击,或者玩猫捉老鼠的游戏来收集关于攻击者的更多信息并跟踪他的路线。
TopSpin Security有一个名为DECOYnet的基于欺骗的平台,该平台提供了即时的欺骗和检测的补充层。该公司表示,DECOYnet覆盖了攻击链的所有阶段,它检测受感染的资产,追捕并诱捕攻击者,并使攻击偏离真实资产。
DECOYnet连接到TAP或SPAN端口,并通过其网络流量分析引擎查看特定网络或子网中的所有流量。这允许DECOYnet映射组织的网络以进行资产分析,以了解存在哪种端点和服务器、它们在哪里、操作系统是什么、它们运行的是什么服务,等等。该发现过程确定了诱饵的放置位置——即,伪资产,如端点、服务器、数据存储库、物联网设备等——以及使用何种类型的诱饵,使其看起来像网络的合法部分。
DECOYnet维护此连接以查看网络如何发展,这有助于创建真实的欺骗,并调整它们以匹配当前的网络配置。上旋称此功能为自适应欺骗。
DECOYnet的诱饵与其他任何资产一样;它们似乎有相同的操作系统,相同的应用程序在相同的端口上运行,相同的协议,甚至在某些情况下有相似的数据。然而,网络的合法用户没有理由访问他们,因此任何对诱饵的访问都应该表明入侵者正在工作。诱饵不是物理设备,只是模拟服务。这样就可以使用单个机架单元部署1000多个诱饵。
迷你陷阱,在业界也被称为面包屑或诱饵,是植入真实资产上的假数据项,用于引导攻击者找到诱饵。DECOYnet的小型陷阱多种多样。它们可以是文件、文档、用户凭据、电子邮件、系统资源—攻击者可能看到的系统或网络上的任何内容。上旋球非常强调其诱饵和迷你陷阱的真实外观,因此攻击者不会意识到发生了什么。
DECOYnet提供自动和手动部署诱饵和小型陷阱。部署的不是代理,而是内存中的文件、凭据或注册表项。DECOYnet根据发现阶段和正在进行的网络分析期间确定的网络“软点”进行布局。该解决方案基本上可以构建一条攻击路线,将攻击者直接引向陷阱。
诱饵可以与攻击者交互。例如,入侵者可能会在Excel文档中看到一个500KB的文件,该文件似乎是一份财务报告。当他去下载时,DECOYnet给他提供了一个1 GB大小的假文件。长时间下载会减慢攻击者的速度,同时也会向网络安全团队发出入侵警报。
安全团队获得非常丰富的法医信息,有助于攻击调查;例如,无论是人类还是机器类型的攻击,是否进行过C&C通信,是否上传或下载了文件,它试图探测组织中的哪些资产,它运行的是什么类型的应用程序,它使用的通信渠道,以及其他好东西。这些都可以馈送到SIEM或通过DECOYnet控制台查看。TopSpin表示,它与客户合作,根据每位客户的最佳实践,确定如何处理法医数据。
DECOYnet的另一个特性是,它的流量分析引擎查看离开组织的所有通信。DECOYnet没有查看实际的数据包;相反,它是通过阅读交流模式来发现不寻常的活动。例如,预期使用纯HTML代码的编码流量会发出警报。为什么会有人用这个?为什么要加密?也许有人在做他们不该做的事。
如果某个将自己标识为浏览器的应用程序仅在一个外部IP地址或域上是静态的,并且没有访问不同的网站,那么这看起来很可疑。如果检测到TOR的使用,CISO可能想知道。DECOYnet查看各种活动,并为每台机器建立一份取证记录表。组织可以设置策略和阈值,并在事情超出规范时得到通知。这是一种增强欺骗能力的简单方法。
作为一种技术,欺骗从静态蜜罐时代起就有了巨大的发展。它现在是企业安全堆栈中的一个重要层。如果做得好,欺骗可以在网络上几步之内检测并捕获攻击者。