デセプション技術
デセプション技術 とは何ですか?
デセプション技術ネットワーク、エンドポイント、AD、クラウド全体におとり・パンくず・偽資産を配置し、高精度に攻撃者を検知・誘導・観察する防御手法。
デセプション技術は、ネットワーク、エンドポイント、Active Directory、クラウドの各所に偽のサーバー、ユーザー、認証情報、ファイル、トークンを配置し、それらに対するあらゆる接触を本質的に怪しい行動として扱う仕組みです。シグネチャベースのツールと異なり、正規の業務はおとりに触れないため、誤検知が極めて少ないという特徴があります。Attivo Networks(現 SentinelOne 傘下)、TrapX Security、Illusive Networks といった商用プラットフォームが 2015〜2020 年頃にこのアプローチを主流化し、現在では多くの XDR・ITDR 製品に組み込まれています。特にラテラルムーブメント、認証情報の悪用、ランサムウェアの偵察フェーズに対して高い効果を発揮します。
● 例
- 01
OT セグメントで SCADA 端末を模倣する Attivo BOTsink のおとり。
- 02
ワークステーション上の Illusive のパンくずが、攻撃者を監視下のおとりサーバーへ誘導する。
● よくある質問
デセプション技術 とは何ですか?
ネットワーク、エンドポイント、AD、クラウド全体におとり・パンくず・偽資産を配置し、高精度に攻撃者を検知・誘導・観察する防御手法。 サイバーセキュリティの 防御と運用 カテゴリに属します。
デセプション技術 とはどういう意味ですか?
ネットワーク、エンドポイント、AD、クラウド全体におとり・パンくず・偽資産を配置し、高精度に攻撃者を検知・誘導・観察する防御手法。
デセプション技術 はどのように機能しますか?
デセプション技術は、ネットワーク、エンドポイント、Active Directory、クラウドの各所に偽のサーバー、ユーザー、認証情報、ファイル、トークンを配置し、それらに対するあらゆる接触を本質的に怪しい行動として扱う仕組みです。シグネチャベースのツールと異なり、正規の業務はおとりに触れないため、誤検知が極めて少ないという特徴があります。Attivo Networks(現 SentinelOne 傘下)、TrapX Security、Illusive Networks といった商用プラットフォームが 2015〜2020 年頃にこのアプローチを主流化し、現在では多くの XDR・ITDR 製品に組み込まれています。特にラテラルムーブメント、認証情報の悪用、ランサムウェアの偵察フェーズに対して高い効果を発揮します。
デセプション技術 からどのように防御しますか?
デセプション技術 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
デセプション技術 の別名は何ですか?
一般的な別名: デセプションプラットフォーム, サイバーデセプション。
● 関連用語
- network-security№ 485
ハニーポット
攻撃者を誘い込み、その手口を観察して本番資産から引き離すために、意図的に公開された囮システムやサービス。
- defense-ops№ 483
ハニーファイル
ストレージに配置するおとり文書で、攻撃者や内部不正者が読み取り、コピー、外部送信した時点でアラートを発生させる。
- defense-ops№ 487
ハニーユーザー
ディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。
- network-security№ 486
ハニートークン
実システムに紛れ込ませた偽データ(認証情報・ファイル・レコード・API キー等)で、利用された瞬間にアラートを発する欺瞞アーティファクト。
- defense-ops№ 012
アクティブディフェンス
受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。
- defense-ops№ 606
横展開(Lateral Movement)
侵害したホストから環境内の他システムへと攻撃者が横移動するための手法をまとめた MITRE ATT&CK 戦術(TA0008)。
● 関連項目
- № 689MITRE Engage
- № 456ハックバック
- № 482ハニーアカウント