我们生活在一个不断增加攻击向量的现实中。黑客们正在使用越来越大胆的方法来突破外围防御，使用偷来的凭证和后门、钓鱼、间谍软件和恶意软件、暴力破解等等。一旦攻击者成功地攻破了一个网络，他们通常有足够的时间进行重大破坏。Verizon 2016泄密调查报告显示,只有约25%的损害在1天或更少时间里被发现。而2017年” FireEye M-Trends报告表明,尽管持续改善中,攻击者住在受害者网络之前发现仍然的平均天数是99天-超过三个月。47%的泄密通知来自外部来源(如联邦调查局敲门时)。

 

任何单一的解决方案都不可能在防止所有形式的攻击的同时限制成功攻击的伤害。网络安全防御系统就像陆军、海军和空军组成的军队，每个都拥有多种类型的武器和人员，网络安全防御系统必须预见所有可能的威胁载体，并制定具体的、往往是多种机制来应对每一种威胁。

 

作为最新的网络创新之一，人们对欺骗的意识正在增强。Gartner称其为“威胁欺骗”，并预测到2018年，10%的企业将采用某种形式的网络欺骗。编者注:作者是众多积极营销威胁检测产品的供应商之一的首席执行官。欺骗依赖于攻击者拥有的为数不多的漏洞之一:他们相信他们在网络上遇到的是真实的，他们收集的数据是可靠的。欺骗策略利用这一点，将企业端点、网络、数据和应用程序分层，在攻击者看来，这些信息是真实的。当外围防御失败时，攻击者无法区分真实数据和欺骗。

 

想想最复杂的攻击者是如何接近网络的。首先，与电影描述不同的是，这些黑客行动缓慢而有条不紊，他们使用各种工具和技术来收集数据、分析数据，并在整个网络中横向移动。最初，当访问网络时，他们会有点不知所措。他们不知道自己在哪里着陆，也不知道目标在哪里。通过反复试验，他们构建了一个环境地图——包括网络本身和它的使用方式。例如，从一名员工的PC上，他们可能会访问SharePoint服务器，在那里他们可以找到感兴趣的文档和名称，这有助于他们决定下一步应该移动到哪里。攻击者越老练，他们需要横向移动的技巧就越多，他们移动的越多，地图就越详细。这个迭代过程最终使他们能够找到并突破他们的目标。

 

当前用于在攻击者在网络中移动时捕获他们的一种常见策略是蜜罐。早期蜜罐看起来像pc或服务器，其原理是当攻击者访问这些简陋的蜜罐时，就会触发警报，向蜜罐发出攻击警报。早期蜜罐的问题在于，它们的部署和管理非常耗时，因此使用的相对较少，这意味着在访问这些早期蜜罐时可能已经发生了重大的损失。更糟糕的是，他们实际上很容易被有经验的黑客识别。

 

欺骗&夺旗

威胁欺骗采取了不同的方法。描述一次红队训练的进展情况最能说明这一点，同时也说明了欺骗作为一种技巧的有效性。美国国防机构设立了一个抓旗演习来测试欺骗策略的有效性。一个团队扮演进攻角色，尝试多次攻击来捕获和检索被防御团队保护的目标。进攻队并不知道正在部署欺骗策略。防御团队随后在网络上——在端点、服务器和攻击面——引入了一系列不同的错误数据。欺骗的类型包括“共享欺骗”，欺骗攻击者访问假的共享文件夹和文件;“Windows凭证欺骗”，用不存在的用户凭证诱捕攻击者;“文件欺骗”，诱使攻击者访问和使用存储在假文件中的凭证。这些欺骗是精心设计的，以确保在攻击者看来是真实的。

 

为了部署欺骗，防御团队使用了两个组件，一个服务器来分发欺骗，一个陷阱服务器。作为一种低足迹、无代理的解决方案，欺骗策略对网络服务和性能几乎没有影响，并且具有潜在的高度可伸缩性。欺骗被部署在整个企业中现有的工作站、笔记本电脑和服务器上，不需要特殊的硬件。此外，网络的合法用户从未访问过虚假信息，因此他们能够在不知情的情况下不间断地继续工作。这也大大减少了防守队的误报。

 

当攻击团队发起攻击时，它立即且不知情地遇到了欺骗，这些欺骗看起来与团队在网络中横向移动所需的欺骗相同。访问欺骗触发了陷阱服务器，提醒防御团队注意攻击。陷阱服务器就像一个真正的服务器;当遇到它时，攻击者通常会过滤它包含的信息，但是在这种情况下，数据当然是假的。陷阱服务器还对攻击源进行实时取证，帮助防御团队确定攻击者的目标，并提供可操作的证据和工件来帮助他们控制事件。在真实的攻击中，法医分析可能对执法也很有价值。

 

同样，一家大型国际银行担心针对金融服务机构的高级持续性威胁数量不断增加，也部署了欺骗策略，以补充其现有的其他网络安全工具，并增加一种新的、更即时的威胁检测能力。该银行使用了与美国国防部类似的方法，在共享文件夹、服务器、Windows证书、SWIFT和其他网络系统上部署了一系列欺骗手段。在实施了欺骗解决方案后，该银行实现了几乎即时检测的目标，误报率非常低。当警报被触发时，安全团队能够监视攻击者在网络中横向移动的尝试，收集取证数据，并监视正在进行的攻击。这使得团队更具战略性，在攻击造成伤害之前就停止了攻击。

 

网络罪犯将继续变得更聪明、更大胆。为了保护你的网络，你必须继续加强你的防御。欺骗增加了一个强大的，先发制人的，互补的防御解决方案来对抗先进的攻击。如果你的工作是确保你的网络和数据资产的安全，你应该了解一下欺骗技术。