欺騙技術爲什麼比蜜罐好

最近兩年，隨着APT、內網威脅的迅速增加，攻擊欺騙技術的檢測能力的提高，攻擊欺騙技術和傳統蜜罐欺騙技術在檢測網絡攻擊者方法上是存在必定的差別性，如下是它們的不一樣之處。

1. 徹底相反的基本前提

蜜罐技術是使用組織基礎設施的邏輯視圖設計的。這些蜜罐被部署在有價值的目標周圍，以試圖轉移攻擊者。然而，當攻擊者遇到蜜罐時，它已經在網絡最深處了。
攻擊者將基礎設施視爲社交地圖。一旦他們肯定了在網絡中的位置，他們就會看到相鄰的資源和資源之間的關係來決定他們下一步的行動，幻影欺騙技術是從攻擊者的角度設計的，並提早識別攻擊。這種視角的轉變給了你在威脅狀況下的巨大優點，這些威脅老是壓倒性地支持攻擊者。

2. 誘騙與糾纏

蜜罐的成功依賴於捕獲攻擊者的注意力並激勵他們轉移到蜜罐目的地。這意味着你必須首先讓攻擊者在蜜罐以前而阻止他們。與此同時，他們可能會在網絡中存在數月，會泄露數據並形成損害。
幻影欺騙在網絡中廣泛存在，並反映出實際的基礎設施。虛假的攻擊者並不但願將攻擊者吸引到目的地，而是幾乎在他們得到網絡訪問權後(例如一般是第一次參與攻擊的終結點)，欺騙攻擊者進行欺騙，而攻擊者不會意識到這一點。

3. 有限的可伸縮性與自動化的可伸縮性

您能夠增長部署在整個基礎架構中的蜜罐數量，以增長捕獲攻擊者的可能性。然而，這種方法很快就會變得昂貴而複雜。若是你有500臺機器而且須要50%的覆蓋率，則須要添加500臺新機器和IP地址，更不用說許可證和人力資源來管理這些機器。即便採用自動化，這種方法也會給網絡和員工帶來負擔，而且不會產生更好的吸引力。在整個基礎設施中都部署了幻影欺騙，而且幾乎能夠當即進行擴展，由於技術是無代理的。隨着基礎架構的擴展，欺騙會自動部署，幾乎沒有IT或網絡的開銷。
憑藉幻影欺騙管理服務器(DMS)，欺騙也根據網絡中遇到的每一項資產量身定製，以便組織爲每臺機器或用戶部署最佳，最可靠的欺騙手段，顯著增長檢測攻擊者的機會。

4. 增長誤報與近零的誤報

一個攻擊者必須選擇蜜罐做爲目的地，當它們存在於網絡中時，終端用戶常常會遇到並與誘餌進行交互，從而增長誤報。幻影欺騙使每一個終端上的數據都被100%覆蓋，但卻隱藏在用戶中。由於他們只能暴露在攻擊者的面前，誤報被消除，每一次警報都是真實的威脅。

5. 模仿與真實性

蜜罐是用組織認爲會吸引攻擊者的數據或屬性精心製做的。然而，誘餌應該既有趣又能證實與攻擊者的真實互動。攻擊者尋找特定的特徵，使他們可以成功地避免使用蜜罐。
若是任何東西看起來有點「可疑」，他們會把它單獨留下。幻影欺騙是真實的，隨着時間的推移而變化。它們具備相同的屬性和實際的終端、服務器、數據、應用程序和周圍的網絡環境。沒有兩臺計算機或用戶的欺騙行爲是相同的——即便是在相同的環境中。攻擊者沒法肯定什麼是真實的，什麼是虛假的。
此外，欺騙行爲是精心策劃的，隨着時間的推移不斷變化，在欺騙黑客的過程當中扮演一個重要的角色，他們在學習環境和執行重複動做的過程當中扮演着一個合適的角色。不斷變化的欺騙也阻止了攻擊者使用以前獲取的網絡信息，這進一步延遲了他們在網絡上的橫向移動。

6. 延遲威脅響應與即時威脅響應

經過蜜罐技術，組織的安全團隊必須但願攻擊者可以與蜜罐交互足夠長的時間，以解決來自多臺機器的大量錯誤的警報。這明顯推遲了有效的反應。
此外，因爲攻擊者在組織網絡中已經深刻，所以安全團隊在這一點上每每很是警戒，常常會致使錯誤的決策。
有了幻影欺騙，安全團隊知道攻擊者在攻擊的早期就會欺騙。這給了他們更多的響應選擇和一個清晰的修復路徑。

7. 有用的取證和即時取證的來源攻擊

取證只能彙集在蜜罐誘餌自己，它不提供對源機器或先前行爲的洞察。
當攻擊者被激活時，幻影欺騙會在源機器上提供即時的取證快照。他們繼續提供數據，由於攻擊者嘗試不一樣的方法和途徑。

8. 強調技術與轉變

蜜罐技術已經存在了很長時間，而且是基於對機器和技術能力的假設而設計的。新的欺騙技術能夠幫助攻擊者擺脫困境，由於它是圍繞着人類對新環境或新環境的反應而設計的。當攻擊者登錄網絡時，他會問兩個問題

下一步我應該去哪裏?
我怎麼去呢?

只有在回答了這些問題以後，它纔會進行下一個橫向移動。當幻影的真實欺騙被部署到這些問題的答案時，就會產生一個欺騙的現實。這將會致使攻擊者在一個陷阱服務器上，而不是它理想的目標。在它身邊有許多欺騙手段，攻擊者一般會作出不正確的決定 ， 使它陷入欺騙和迷失方向，這一點是它沒有意識到的。與此同時，它被發現殊不知道。自動的取證反應跟蹤他的路徑和活動，爲組織提供有價值的數據來阻止和糾正攻擊。

原文來自：http://netsecurity.51cto.com/art/201810/585827.htm

本文地址：https://www.linuxprobe.com/cheating-is-better-than-honey-pot.html編輯：馮瑞濤，審覈員：逄增寶