网络欺骗的目的是更有效地检测已经渗透到组织网络中的攻击，混淆和误导攻击者，并了解哪些资产已经被破坏。记住，当攻击者试图在网络中横向移动时，欺骗防御可以利用攻击者的知识缺口。本博客着眼于积极的网络欺骗防御的5个关键组成部分:

 

 

1 发现

在制定安全计划时，您需要做的第一件事是了解您想要保护的确切内容。在发现阶段，欺骗系统需要了解网络的布局，发现网络活动并分析每个资产和设备。资产应该根据其位置、使用、类型、协议等进行映射。拥有一个流量分析引擎来映射网络和资产作为欺骗解决方案的一部分是很重要的，因为网络发现的过程是不断进行的——周期性扫描就是这样……周期性的。在这种连续的网络可视性下，欺骗解决方案始终能够感知网络中的变化，并相应地调整欺骗层。

 

2 设置

为了使欺骗有效，它的组成部分——诱饵和面包屑——需要与网络中的真实资产相似。这是通过应用“发现”阶段收集的信息实现的。无论出于何种目的和目的，诱饵都应该与任何其他资产没什么不同。当以正确的方式构建时，这些诱饵将看起来具有相同的操作系统、运行在相同端口上的相同应用程序、相同的协议，在某些情况下甚至具有相似的数据——所有这些都取决于诱饵给出的交互性级别。如果诱饵是假资产，那么面包屑就是引导攻击者访问诱饵的诱饵。面包屑是多种多样的，可以是文件、文档、电子邮件消息和系统资源，也可以是系统或网络上任何可能吸引攻击者的东西。

 

3 分发

精确的放置欺骗组件和建立诱饵、面包屑一样是成功防御欺骗的关键。在每个子网中，您希望部署适合各自资源的欺骗。欺骗组件必须按照在发现阶段收集的信息战略性地放置。这有助于欺骗层的可信度，并确保诱饵和面包屑将被攻击者“吃掉”。分发应该完全自动化，以确保准确性和可伸缩性。

 

4 检测

智能欺骗通过准确检测人类和自动攻击，以及未经授权访问网络资产，将权力重新交到网络防御者手中。每次访问或试图访问一个诱饵都会触发警报，并将安全团队指向受感染的资产。欺骗产品应该为防御者提供一份完整的关于机器的取证报告，这些机器试图访问诱饵和攻击的整个故事——包括攻击者的内部“航行”，以及尝试与命令和控制服务器通信以窃取数据，等等。当欺骗功能与网络流量分析引擎集成时，这是可能的，当与端点检测和响应产品集成时，也可以扩展欺骗功能。

 

5 调整

组织网络本质上是动态的。因此，反映网络资产的欺骗层也必须是动态的。一旦检测到变化，欺骗层必须通过添加、更新或重新分配诱饵和面包屑来主动和自动地适应。这个过程在整个解决方案生命周期中不断重复。

 

对已取得成功的攻击的法医分析表明，在感染、第一次攻击和检测之间的关键时间间隔太大——通常以月为单位。当一个组织得知它受到攻击时，更不用说当他们最终分析漏洞和评估风险时，攻击者可能已经带走了宝贵的资产。通过检测攻击者在组织网络中的活动并生成高保真警报，防御者可以自信地对其采取行动，智能欺骗可以显著减少停顿时间。它应该是一个更广泛的安全平台的一部分，该平台集成了网络流量分析、端点检测和响应功能，允许在端点和网络上立即缓解攻击，并最终提供攻击者活动的完整图像。