欺骗技术是利用诱骗系统作为诱饵和并以其检测企业网络中敌手的存在。它分析了计算机系统、数据和用户行为之间的关系，提供了一种方法来早期检测和收集企业网络上的漏洞分析。欺骗平台还可以用于识别凭据暴露、偏转和纠正攻击，以减少攻击面。

 

这项技术几乎没有误报。从蜜罐自然演化而来，它遵循相同的理论，策略性地将诱饵系统放置在类似的系统中——例如，域控制器(DCs)、文件服务器、简单文件传输协议(SFTP)服务器，或任何其他可能违反目标的系统——并在尝试连接到它们时生成警报。尽管作为虚拟机(VMs)或VLANs上的虚拟IP地址创建的诱饵可能看起来属于企业，但它们缺乏合法的工作负载。它们的唯一目的是检测威胁，而不是服务用户，因此，任何与它们的连接都应该被视为可疑的，并被视为可能的攻击。

 

欺骗技术广泛地基于无代理，这使得它的部署不需要端点管理的额外开销。需要注意的是，该技术利用了需要在端点上分布的面包屑和诱饵。这些诱饵对最终用户是不可见的，但对攻击者是可见的，并用于说服他们连接到诱饵机。这些面包屑只需要不时地放在端点上。这可以通过使用systems center configuration manager (SCCM)、Windows管理工具(WMI)、推送脚本或任何端点管理技术支持来完成。它们与安全信息和事件管理(SIEMs)集成，并具有api。它们的核心功能之一是缩短检测时间并协助法医调查。

 

关于这项技术有三个误解:

 

-它创造了一个混乱的诱饵网络，增加了开销。

-它使生产系统的故障排除具有挑战性。

-部署可以被破坏的诱饵系统可以让攻击者获得立足点。

当来自诱饵的出站连接被阻塞，而白名单使诱饵能够忽略来自扫描仪或监控等设备的连接时，这些感知就得到了解决。显然，白名单应该谨慎执行，任何允许连接的系统都应该是安全的。

 

乍一看，这种技术似乎是一种“奢侈”的东西，充满了复杂性，只能用于成熟的安全程序。然而，由于它易于部署、开销低、管理简单、可伸缩性强，并且能够为操作员提供具有极低误报率的洞察力，因此几乎任何企业—无论小型、中型还是大型—都可以使用它来获得巨大的优势。

 

欺骗技术的主要好处:

 

-通过将流量与威胁指示器关联来加速检测;

-提供攻击流程和补救措施以快速交付价值;

-建立另一层检测，缩短攻击者的停留时间;

-通过创建企业网络、系统和软件的实时目录来提高威胁感知能力;

-增加IT和安全团队的沟通。