欺骗防御技术
欺骗防御技术 是什么?
欺骗防御技术一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。
欺骗防御技术(deception technology)在网络、终端、Active Directory 和云中部署伪造的服务器、用户、凭据、文件与令牌等诱饵,使任何对它们的访问本身就是可疑行为。与基于签名的工具不同,欺骗防御几乎不会产生误报,因为正常业务流量不会触碰这些诱饵。Attivo Networks(已并入 SentinelOne)、TrapX Security 和 Illusive Networks 等商业平台在 2015 至 2020 年间将欺骗防御推向主流,如今该理念已融入许多 XDR 和 ITDR 产品中。它在对抗横向移动、凭据滥用和勒索软件侦察阶段时尤为有效。
● 示例
- 01
在 OT 网段中模拟 SCADA 设备的 Attivo BOTsink 诱饵。
- 02
工作站上的 Illusive 面包屑将攻击者引向受监控的诱饵服务器。
● 常见问题
欺骗防御技术 是什么?
一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。 它属于网络安全的 防御与运营 分类。
欺骗防御技术 是什么意思?
一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。
欺骗防御技术 是如何工作的?
欺骗防御技术(deception technology)在网络、终端、Active Directory 和云中部署伪造的服务器、用户、凭据、文件与令牌等诱饵,使任何对它们的访问本身就是可疑行为。与基于签名的工具不同,欺骗防御几乎不会产生误报,因为正常业务流量不会触碰这些诱饵。Attivo Networks(已并入 SentinelOne)、TrapX Security 和 Illusive Networks 等商业平台在 2015 至 2020 年间将欺骗防御推向主流,如今该理念已融入许多 XDR 和 ITDR 产品中。它在对抗横向移动、凭据滥用和勒索软件侦察阶段时尤为有效。
如何防御 欺骗防御技术?
针对 欺骗防御技术 的防御通常结合技术控制与运营实践,详见上方完整定义。
欺骗防御技术 还有哪些其他名称?
常见的别称包括: 欺骗平台, 网络欺骗。
● 相关术语
- network-security№ 485
蜜罐
故意暴露的诱饵系统或服务,用于吸引攻击者、观察其技战术并将其引离生产资产。
- defense-ops№ 483
蜜罐文件
放置在存储中的诱饵文档,一旦攻击者或内部人员读取、复制或外泄,即可触发告警。
- defense-ops№ 487
蜜罐用户(Honeyuser)
在目录服务和人力资源系统中预先配置的虚假身份,任何登录尝试或枚举行为都会立即暴露攻击者。
- network-security№ 486
蜜标
嵌入真实系统中的虚假数据(凭据、文件、记录或 API 密钥),没有合法用途,一旦被访问即触发告警。
- defense-ops№ 012
主动防御
一种超越被动监控的防御策略,在防御者自己的网络和资产范围内主动与对手交锋、误导并干扰其行动。
- defense-ops№ 606
横向移动
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
● 参见
- № 689MITRE Engage
- № 456反击式黑客行动(Hack-Back)
- № 482蜜罐账号(Honey Account)