2.4.4 监控与评估欺骗的使用
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.4.4 监控与评估欺骗的使用,识别和监控反馈通道是任何欺骗操作/组件成功的关键。Hesketh讨论了如何知道一个欺骗是否成功的3类信号[60]:
1)目标在错误的时间和/或地点做出响应。
2)目标以浪费自己资源的方式做出响应。
3)目标响应延迟或停止响应。
防御者需要监视在欺骗框架步骤5中识别的所有反馈通道。我们注意到,任何欺骗组件的使用通常都会有3个一般性的输出。恶意敌手可能会①相信它,防御者通常会看到的欺骗成功的3个标志中的一个,②怀疑它,③不相信它。当攻击者怀疑一个欺骗性的组件被使用时,我们应该做出是否增加欺骗的级别或停止欺骗以避免暴露的决定,通常会通过提供更多的(也许真实的)信息让欺骗性的故事更合理而使得欺骗得以增强。这可以包含在欺骗框架中的一个反馈回路中。防御者应该分析这一观测报告以审查攻击者的偏见(即步骤3)以及由此创建欺骗的方法(即步骤4)。此外,在攻击过程中欺骗者可能会采用基于与攻击者交互的多级欺骗。
当一个攻击者不相信防御者提出的欺骗,则需要有一个积极的监测和详细的行动计划。这在欺骗框架中应该是策划欺骗的第六步,然后再进行风险评估。此外,在与安全从业者的讨论中,许多人表示,一些攻击者在意识到他们被欺骗时,往往会开展攻击性的行动。这可以作为监测阶段测量攻击者对欺骗组件的反应的信号之一。同时,这种行为也可以作为供其他欺骗性机制参考的偏见,这些机制可能侧重于欺骗攻击者对系统损害的评估。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.4.4 监控与评估欺骗的使用
