欺骗技术为何比蜜罐好

简介: 【10月更文挑战第23天】攻击欺骗技术与传统蜜罐技术在检测网络攻击方面存在显著差异。蜜罐技术基于逻辑视图,需吸引攻击者注意,但可能导致长时间潜伏和误报。幻影欺骗技术从攻击者视角设计,提前识别威胁,广泛部署且自动扩展,减少误报,提高检测效率和响应速度。

最近两年,随着APT、内网威胁的迅速增长,攻击欺骗技术的检测能力的提升,攻击欺骗技术和传统蜜罐欺骗技术在检测网络攻击者方法上是存在一定的差异性,以下是它们的不同之处。

1.完全相反的基本前提

蜜罐技术是使用组织基础设施的逻辑视图设计的。这些蜜罐被部署在有价值的目标周围,以试图转移攻击者。然而,当攻击者遇到蜜罐时,它已经在网络最深处了。

攻击者将基础设施视为社交地图。一旦他们确定了在网络中的位置,他们就会看到相邻的资源和资源之间的关系来决定他们下一步的行动,幻影欺骗技术是从攻击者的角度设计的,并提前识别攻击。这种视角的转变给了你在威胁情况下的巨大优势,这些威胁总是压倒性地支持攻击者。

2.诱骗与纠缠

蜜罐的成功依赖于捕获攻击者的注意力并激励他们转移到蜜罐目的地。这意味着你必须首先让攻击者在蜜罐之前而阻止他们。与此同时,他们可能会在网络中存在数月,会泄露数据并造成损害。

幻影欺骗在网络中普遍存在,并反映出实际的基础设施。虚假的攻击者并不希望将攻击者吸引到目的地,而是几乎在他们获得网络访问权后(例如通常是第一次参与攻击的终结点),欺骗攻击者进行欺骗,而攻击者不会意识到这一点。

3.有限的可伸缩性与自动化的可伸缩性

您可以增加部署在整个基础架构中的蜜罐数量,以增加捕获攻击者的可能性。然而,这种方法很快就会变得昂贵而复杂。如果你有500台机器并且需要50%的覆盖率,则需要添加500台新机器和IP地址,更不用说许可证和人力资源来管理这些机器。即使采用自动化,这种方法也会给网络和员工带来负担,并且不会产生更好的吸引力。在整个基础设施中都部署了幻影欺骗,并且几乎可以立即进行扩展,因为技术是无代理的。随着基础架构的扩展,欺骗会自动部署,几乎没有IT或网络的开销。

凭借幻影欺骗管理服务器(DMS),欺骗也根据网络中遇到的每一项资产量身定制,以便组织为每台机器或用户部署最佳,最可靠的欺骗手段,显著增加检测攻击者的机会。

4.增加误报与近零的误报

一个攻击者必须选择蜜罐作为目的地,当它们存在于网络中时,终端用户经常会遇到并与诱饵进行交互,从而增加误报。幻影欺骗使每个终端上的数据都被100%覆盖,但却隐藏在用户中。因为他们只能暴露在攻击者的面前,误报被消除,每一次警报都是真实的威胁。

5.模仿与真实性

蜜罐是用组织认为会吸引攻击者的数据或属性精心制作的。然而,诱饵应该既有趣又能证明与攻击者的真实互动。攻击者寻找特定的特征,使他们能够成功地避免使用蜜罐。

如果任何东西看起来有点“可疑”,他们会把它单独留下。幻影欺骗是真实的,随着时间的推移而变化。它们具有相同的属性和实际的终端、服务器、数据、应用程序和周围的网络环境。没有两台计算机或用户的欺骗行为是相同的——即使是在相同的环境中。攻击者无法确定什么是真实的,什么是虚假的。

此外,欺骗行为是精心策划的,随着时间的推移不断变化,在欺骗黑客的过程中扮演一个重要的角色,他们在学习环境和执行重复动作的过程中扮演着一个合适的角色。不断变化的欺骗也阻止了攻击者使用之前获取的网络信息,这进一步延迟了他们在网络上的横向移动。

6.延迟威胁响应与即时威胁响应

通过蜜罐技术,组织的安全团队必须希望攻击者能够与蜜罐交互足够长的时间,以解决来自多台机器的大量错误的警报。这明显推迟了有效的反应。

此外,由于攻击者在组织网络中已经深入,因此安全团队在这一点上往往非常警惕,经常会导致错误的决策。

有了幻影欺骗,安全团队知道攻击者在攻击的早期就会欺骗。这给了他们更多的响应选择和一个清晰的修复路径。

7.有用的取证和即时取证的来源攻击

取证只能聚集在蜜罐诱饵本身,它不提供对源机器或先前行为的洞察。

当攻击者被激活时,幻影欺骗会在源机器上提供即时的取证快照。他们继续提供数据,因为攻击者尝试不同的方法和途径。

8.强调技术与转变

蜜罐技术已经存在了很长时间,并且是基于对机器和技术能力的假设而设计的。新的欺骗技术可以帮助攻击者摆脱困境,因为它是围绕着人类对新环境或新环境的反应而设计的。

目录
相关文章
|
网络协议 Linux
网络协议与攻击模拟-04-实施ARP攻击与欺骗
网络协议与攻击模拟-04-实施ARP攻击与欺骗
127 1
网络协议与攻击模拟-04-实施ARP攻击与欺骗
|
运维 安全 网络安全
什么是蜜罐、蜜饵、蜜标、蜜网、蜜场?
什么是蜜罐、蜜饵、蜜标、蜜网、蜜场?
|
26天前
|
存储 安全 网络安全
如何识别和防范网络钓鱼攻击?
通过以上方法的综合运用,可以有效识别和防范网络钓鱼攻击,降低遭受网络安全威胁的风险,保护个人信息和财产安全。
62 12
|
2月前
|
监控 安全 Linux
什么是蜜罐与蜜网(Honeypots and Honeynets)
【10月更文挑战第21天】蜜罐是一种用于网络安全的软件系统,充当入侵诱饵,通过引诱黑客攻击并监测其行为,帮助了解最新的攻击手段和漏洞。蜜罐分为高交互性和低交互性两种类型,前者提供全功能环境,后者仅模拟生产环境。多个蜜罐组成的网络称为蜜网,能够更全面地监测和分析入侵行为。使用蜜罐需谨慎,以免误报影响组织声誉。
31 1
|
2月前
|
监控 安全 网络安全
如何防止内网渗透攻击?
【10月更文挑战第10天】如何防止内网渗透攻击?
94 3
|
安全 网络安全 数据安全/隐私保护
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
1101 0
|
7月前
|
存储 监控 安全
如何防范网络渗透攻击
如何防范网络渗透攻击
132 3
|
传感器 安全 网络协议
入侵检测蜜罐
入侵检测是一个复杂的业务,无论你是部署一套入侵检测系统(IDS),还是在你的网络上收集和分析计算机及设备日志,识别合法活动中的恶意流量总是既困难又费时。
495 1
|
缓存 网络协议 安全
网络上的欺骗
首先,我们来被维基百科科普一下。然后试着执行一次中间人攻击。
223 0
网络上的欺骗
|
网络协议 安全 网络安全
《DNS攻击防范科普系列2》 -DNS服务器怎么防DDoS攻击
在上个系列《你的DNS服务真的安全么?》里我们介绍了DNS服务器常见的攻击场景,看完后,你是否对ddos攻击忧心重重?本节我们来告诉你,怎么破局!!首先回顾一下DDoS攻击的原理。DDoS是Distributed Denial of Service的简称,即分布式拒绝服务攻击,其利用处于不同位置的足够数量的僵尸主机产生数目巨大的数据包对一个或多个目标实施DoS攻击,耗尽受害端的网络带宽、系统资源,使受害主机或网络丧失提供正常网络服务的能力。