如何构建网络安全欺骗计划
现在我们要考虑的不再是:攻击者是否会入侵给定企业网络,而是何时,这个现实使得主动网络安全策略(例如威胁狩猎和网络欺骗)越来越受到关注。Research and Markets公司的分析师预测,到 2026 年,欺骗技术市场将从 2020 年的 19 亿美元增长到 42 亿美元。
网络欺骗涉及在整个 IT 环境中放置诱饵资产,目的是引诱恶意黑客远离真实系统和应用程序。在最好的情况下,网络欺骗可以完成以下任务:
- 消耗攻击者的时间和精力。
- 提醒事件响应者注意企业系统中存在攻击者,存在可以忽略不计的误报。
- 通过使安全团队能够观察和记录攻击者的策略、技术和程序来加强威胁情报。
然而,所有这些都说起来容易做起来难。为了建立可实现上述好处的网络安全欺骗计划,安全领导者需要采用一种深思熟虑的战略方法。请考虑以下最佳做法。
1. 赢得领导层的支持
早期的网络欺骗工作未能直接支持企业的任务,在某些情况下,浪费时间和资源,尽管如此,自早期基本的蜜罐以来,网络欺骗技术已经走了很长一段路。
在这里,与首席信息安全官、首席信息官和其他 C 级高管的沟通非常重要,网络欺骗现已成为主动防御的关键部分,并有可能带来可观的投资回报率。网络欺骗计划得到领导层的支持越多,成功的可能性就越大。
2. 制定最初的网络欺骗计划
我们很容易对网络欺骗的无限概念潜力感到兴奋,而忽视运营和后勤方面的限制。然而,与其设定过于雄心勃勃的目标,不如尝试现实地评估可用资源,并从小处着手。
首先,在权衡各种攻击场景的可能性和潜在严重性之前,请考虑企业的漏洞,并确定其最关键的资产。优先考虑相对更有可能和相对严重的高风险威胁。
然后,查阅威胁情报源、事件报告和 Mitre ATT&CK 等资源,以确定可能的攻击路径和方法。这些信息会告知团队在何处以及如何部署网络欺骗资源,以最大限度地提高有效拦截威胁参与者的机率。
网络欺骗计划本身应记录该计划的目标和目的;可能的威胁参与者、攻击和攻击路径;网络欺骗工具和技术;以及测量和监测战略。
随着该计划的发展,请确保从技术人员和管理层获得反馈和支持。
3. 部署和整合网络欺骗技术
近年来,网络欺骗技术已经取得重大进展,现在有很多商业和开源选项可供选择。请审查并选择最能满足你计划需求的技术,权衡可扩展性、覆盖范围的深度和广度、部署模型、管理界面和自动化功能。至关重要的是,由于所有欺骗技术都必须提醒安全工作人员注意可疑活动,因此,请优先考虑可与安全运营中心现有检测技术和其他工具集集成的功能。
在选择欺骗技术进行部署后,安全人员需要仔细设置和配置资源,使其与“真实”对应物相似。请记住,成功的网络欺骗取决于心理学和社会工程及技术。考虑到这一点,还可以考虑使用现有技术来增强可信度,例如,在生产系统上设置欺骗性用户帐户和电子邮件地址。
4. 执行网络欺骗计划
在部署和测试欺骗技术并培训员工使用后,是时候开始运营。网络欺骗的部署需要持续监控、管理和维护。由于日常使用、修复和其他操作活动,实际生产系统会不断变化。欺骗资源必须以类似的方式波动,否则它们将无法说服攻击者。
此外,请确保将监控数据保存在单独的安全系统上,而不仅仅是欺骗技术本身,以便拥有事件和关键指标的备份记录。
5. 重新审视和修改网络骗案计划
定期评估计划的有效性,对其进行更新,以使其更有效并应用经验教训。使用日志和其他记录来衡量性能和衡量结果。与相关安全人员讨论欺骗资源,重点关注他们遇到的任何问题以及他们提出的改进建议。
最后,建议定期向环境添加新的网络欺骗实例,以检测其他类型的攻击并发现其他威胁。