通过欺骗艺术来欺骗攻击者

在网络安全, 欺骗 如果它无法满足其关键目标 - 误导,混淆和引诱攻击者,这是多余的。这是欺骗攻击者的艺术,过度扩张和曝光自己。欺骗攻击者,一个组织’S安全团队必须从敌人的角度看出东西。

需要几个关键组件来携带这一点:满 能见度,建立上下文,了解攻击者的意图,然后工程行动提高他们攻击的成本和复杂性。欺骗的一个关键目标是改变组织的攻击方面,以混淆和失控的反对运动目标。

这样做的第一步是了解组织’S的网络地形或公司足迹。为此,组织不仅要专注于用标准手段保护最有价值的资产(例如,入侵防御/检测系统),但任何可能被瞄准的东西,包括开关和布线面料。

为了了解可能有针对性的东西, 安全团队 必须知道对手是如何看待地形的。对手运动通常专注于构建地形地图的目标,以便了解网络路线以及如何在组织内移动流量。

使用时间作为关键资产收集信息。看起来静止的企业,即它们在对手的眼中出现的差异很小,提供了确定弱点,脆弱性和迭代的优势和礼物,提高对脆弱地形的理解(即攻击表面)。

跟踪敌人的运动

了解对手如何看到企业面料是保护它的基础。不包括内幕威胁的实例,攻击者通常会通过从互联网的灰色空间' - 或未分布的网络空间领域开始侦察攻击来开始提前 - 然后尝试通过较弱的入口点进入,如受监控的边界。

由于对手迁移到边境,他们将开始搜索基本信息,考虑开放的端口,协议,IP空间, DNS.以及其他可利用的漏洞。这是构建他们的地形地图的一部分,将不断引用,更新和精致,因为企业的更多信息变得清晰。

随着攻击者接近其预期目标 - 无论是端点,ERP还是金融系统 - 它们通常都将设计一道进入资产的方法。这可能是一个来自他们预期的受害者的一个或两个啤酒花的主持人,希望能够混淆他们的运动。

对手复杂性通常是以避免所有成本检测的能力为标志。 “低且慢速”的运动成为更复杂的演员的商标,以减少对其横向运动的检测。他们的动作通常会在普通的交通档案中伪装,他们通过随着时间的推移观看企业学习。网络狩猎团队致力于了解对手的横向移动,北方或南方。然后可以将这些运动抵消当前的地形约束和地形。

可能的攻击活动,例如指挥控制服务器(C2)或入口点和出口点,更有可能在网络的某些部分中实现。了解通过主机和企业资源的通信路径对于了解对抗的潜在运动至关重要。基于网络内的这些资产的放置的概率可以基于对地形和通信路径的理解来归因。通过推荐传感器放置来提高和提高可见性,这种了解通知和影响当前和未来的网络姿势。

网络防御策略中最有效的方法之一是协调静止的数据,例如保护端点以及在传输中的数据,例如网络传感器。这允许在企业中更深层次和更广泛的能力,进一步支持关键位置部署诱饵的形式的额外保护。这些努力,这些努力可以将并发症引入黑客攻击,从而将攻击的成本转移回对手。

随着与这些通信路径相关的信息,要包括未知协议和用户行为,基于地形的分析使用该数据充当力乘法器。因此,安全团队可以获得提出许多问题的多个不同的视角。例如,安全团队可以构建一个视图,可以看出从可见性角度来看需要看到什么?哪些资产易受攻击,它们在哪里撒谎,潜在的exfil,Ingress和C2的潜在路径存在于这些资产附近?

通过公司足迹的完整可见性,包括内容,组织可以构建一张完整的图片(包括网络地形),以及遵循识别妥协指标的能力(IOC)以及已知或未知,策略的能力-Technique-provide(TTP)可能是。

欺骗否认攻击者是静态目标

为了防御网络地形,这依赖于称为移动目标防御(MTD)的简单概念。这是信念,即比静态的目标更难以击中移动目标。当遇到动态而不是静态时,攻击者会变得怀疑。如果没有任何内容改变不同维度的组织地形的看法 - 例如时间或拓扑 - 攻击者基本上提供了静态目标。

如果目标仍然是静态的,攻击者可以利用时间学习和学习通信路径和最佳技术的利用,以利用和妥协。一种有效的方法,可防止建筑中心通过改变来自对抗视角来移动或隐藏目标的能力。

基于欺骗的网络安全,它降低了可利用地形的整体百分比,或换句话说,攻击者可用的攻击表面。降低可利用地形的数量是这样做的明显方法,但对于使用静态环境的组织比在非静态环境中工作的组织更有效。此外,在支持无法修补的遗留应用方面,可利用地形的减少可能是非启动器。

欺骗攻击者的另一种方式是增加无法销售的地形的数量。部署类似于网络上已经在网络上的诱饵将增加无法解释的地形的体积,从而降低了可利用地形的整体百分比。因此,攻击者以候选'皇冠珠宝'设备的形式寻找无法解释的地形 - 例如ERP,Server,Finance,Database,HR,无可修补的自定义主机和其他资源 - 并且将遇到模仿他们的诱饵目标。这可能会使攻击者挫败并引入焦虑,有利地操纵他们的观点。

面包屑可以放置在这些诱饵上以产生深化的诱惑,或者被称为诱饵亲和力,诱使对手连接到它们的诱饵亲和力。

通过获得企业足迹的全部可见性可以实现良好的网络安全,这允许安全团队建立上下文并理解攻击者的意图和战略,随后将其攻击的成本和复杂性提高为威慑力。通过这种了解对手如何看到公司环境(也称为“红色”图片),可以在网络地形的现有知识中跟踪他们的动作,以预测攻击,更好地对他们做好准备。

这种理解通过从对抗角度改变攻击表面来授予移动或隐藏攻击者目标的能力,他们将继续遇到模仿其目标的诱饵。最终,全面的知识和对公司足迹的理解可以用作对恶意行为者和攻击者的有效的防御方式。

分享这个