在与网络对手作战时,一点网络技巧是件好事。
空军研究实验室(AFRL)今天授予该概念,因为它为安全系统开发商Galois获得了750,000美元的授予,以开发一个网络欺骗系统,这些系统将“大幅减少攻击者在网络上获得立足点的攻击者的能力”。
具体而言,Galois将发展其闲聊系统为空军效力。伽罗瓦将Prattle描述为一个系统,它产生的流量会误导已经渗透到网络中的攻击者:让他们怀疑自己所学到的东西,或者让他们犯错误,从而增加他们更早被发现的可能性。
+更多关于网络世界足球竞猜app软件:2016+的最奇怪,最古老和最酷的SCI / Tech故事
为了生成这个流量,Prattle从观察本地流量开始,然后生成与现有流量没有区别的流量,但经过细微修改以满足管理员的目标。例如,这些额外的信息可以用来引导对手使用虚假的工作站或服务器,以及/或分散他们对真正的搜索词或操作优先级的注意力。”
从Galois:“我们因此指的是Prattration产生的交通假信号,强调它之间的差异和更容易区分噪音.此外,我们寻求产生真实的流量,故意设计,以导致对手采取一些行动,对我们有利。
例如,Galois表示它可能会使用错误信号:
- 提高蜜罐、IDS、SIEM、DLP或其他解决方案的效用,推动对手以更容易检测到的方式行动。
- 水印文档或其他数据,以便引入的数据可以将对手绑定到位置或时间。
- 通过在运输网络的实际文件时引入小变化,对设计,计划,源代码或财务数据等高价值信息(如设计,计划,源代码或财务数据)混淆。
- 误导了来自组织的真正利益和努力的对手。
有了这笔资金,Galois和Tufts大学将领导研究工作,进入高保真网络协议仿真,而Galois的子公司Formaltech, Inc.将作为这笔资金的分包商。Formaltech的Cyber Chaff.网络欺骗系统——在网络上制造对攻击者来说是有效的、主动的设备的诱饵装置——将成为Prattle项目的一个商业化战略和实施目标。
补助金实际上是第2阶段系统的计划.在项目的I阶段,项目团队展示了Prattration Prototype如何根据当地交通的观察来产生高度逼真的流量。第二阶段将专注于扩展更广泛的协议上的生成能力,并使用“蜂蜜数据” - 量身定制的数据,以误导攻击者 - 使他们采取一些对我们的优势的行动,Galois表示。
美国空军研究实验室的工作并不是唯一正在进行的安全欺骗工作。去年来自智力推进研究项目活动(IARPA)办公室的先进技术开发人员推出了请求信息关于如何最好地发展更好的否认和欺骗技术- 例如蜜罐或欺骗服务器 - 这将是加强网络安全。
“利用欺骗来支持网络对手的参与是一个正在获得动力的概念,尽管目前的研究和实践还不成熟:许多技术缺乏严格的有效性实验措施,信息不足以确定防御性欺骗如何改变攻击者的行为,或欺骗如何增加早期发现网络攻击的可能性,”IARPA在一份声明中说。
Gartner2015年的欺骗技术他说:“解决方案正在出现,在未来的企业威胁防御中发挥更大的作用。检测通常是高质量欺骗的先决条件。然而,在企业中使用欺骗开始被用来积极地阻止或“黑洞”恶意软件僵尸网络、威胁行为者和可疑连接。在某些情况下,联邦调查人员使用欺骗技术在僵尸网络关闭期间拦截和破坏命令和控制通信,但这些使用中有许多是手动执行的网络协议或命令和控制服务器欺骗。欺骗技术的目标仍然是探测;然而,多年来,欺骗手段在许多不同类型的产品中不断扩大,包括由来已久的蜜罐传感器。”
研究人员还观察到欺骗技术:
- 虽然仍然新生,欺骗作为反对攻击者的防御策略具有优异,但对于更大的组织来说,可能是一个渴望先进的威胁检测和防御解决方案的更具吸引力的新能力。
- 许多组织不明白欺骗是什么;教育安全买家对其有用性至关重要,进一步采用欺骗技术和概念。
- 欺骗作为一种自动响应机制,代表了未来IT安全能力的巨大变化,产品经理或安全程序不应掉以轻心。
- 欺骗诱饵传感器供应商通过在企业内部环境中分布传感器,并模拟企业端点服务、应用程序和系统,增强了对东西方攻击的检测能力。
查看这些其他热门故事:
Viptela Taps Firlor Cisco,Dell-EMC Exec致电SD-WAN收费