2.2.2 独立使用欺骗的局限性
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.2.2 独立使用欺骗的局限性,正如上文讨论的那样,基于蜜罐的工具是一个用于检测、预防和响应网络空间攻击的有价值的防御技术。然而,这些技术主要存在以下的局限:
由于以“honey”为前缀的技术变得非常常见,而且攻击者需要与之进行交互,所以黑客及恶意软件也在逐渐变得更加复杂以提高它们避开蜜罐的能力[25]。如果我们设法吸引攻击者进入蜜罐,那么需要能够不断欺骗攻击者使他们相信自己在真实的系统中。Chen等人研究了这一挑战,并表明许多恶意软件,如多态性恶意软件,不仅会检测其所处的环境是否为蜜罐,而且在检测到蜜罐环境时会改变它的行为[25]。在这种情况下,攻击者能通过与在真实环境中不同的行为来操控欺骗计数行为。为了了解攻击者的目的并归类,我们需要与蜜罐系统进行交互。然而,与蜜罐系统的频繁交互会存在这样的风险:攻击者也许会自行开发蜜罐,并把它作为更加敏感的、内部系统的组成部分,威胁其他用户的枢轴点。当然,使用正确的分离和隔离区可以减轻危害,但是许多组织认为此风险是难以接受的,从而避免使用这样的工具。由于蜜罐完全是“假系统”,目前存在很多确定当前系统是否为蜜罐的工具[18,25]。此限制的根本在于内在的设计。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.2.2 独立使用欺骗的局限性
