本文来自微信公众号“GoUpSec”。
欺骗技术,一种通过虚假资产来迷惑攻击者的安全策略,预计将在2024年开始流行,并在2025年末成为安全运营的标配。
尽管欺骗技术目前仍然受到业界一些质疑,但2024年十个重要趋势(四大技术趋势和六大应用趋势)将一举确立其在安全运营中的主流地位。
改变欺骗技术的四大技术趋势
网络安全和企业IT的融合正在大大简化欺骗技术。2024年,四大技术趋势即将彻底改变欺骗技术的工作方式,这些趋势包括安全数据湖部署、云计算、API连接性和生成式AI:
一、安全数据湖部署:企业正在实施来自各大科技厂商和云服务商的海量安全数据湖方案。欺骗技术将不断分析这些海量数据,以更好地了解正常和异常行为,作为欺骗模型的基线。
二、云计算:应用于欺骗技术的大语言模型需要大量资源来处理和存储数据。因此,欺骗技术很可能会以SaaS云服务的形式提供,位于现有安全运营技术之上,从而实现欺骗技术的快速普及。
三、API连接:除了安全数据湖之外,欺骗技术还将植入IaaS、资产管理系统(Gartner定义为网络资产攻击面管理)、漏洞管理系统、攻击面管理系统、云安全态势管理(CSPM)等。打通API后,欺骗系统能够全面了解企业的混合IT应用程序和基础设施。
四、生成式AI:基于大语言模型的生成式AI可以生成以假乱真的诱饵(虚假资产或虚假服务)、合成的网络流量和“面包屑”(即放置在真实网络上的虚假资产)。这些欺骗元素可以在混合网络环境中战略性地、大规模自动部署。
新兴欺骗技术的六大应用趋势
上述技术趋势为欺骗技术融入企业IT和安全运营系统提供了技术基础,以下是2024年欺骗技术的六大应用趋势:
一、集成到多个IT扫描/态势管理工具,以“学习”环境信息,包括:资产(包括OT和物联网资产)、IP范围、网络拓扑、用户、访问控制、正常/异常行为等。先进的网络靶场已经可以做到其中一些功能,而欺骗系统将建立在这种合成环境之上,持续进行扫描、数据收集、处理和分析,以跟上混合IT环境、安全防御和威胁态势的变化。
二、采集和分析威胁情报。根据企业的位置和行业,欺骗系统将分析和总结网络威胁情报,寻找特定的对手群体、威胁活动以及通常针对此类公司的对手策略、技术和程序(TTP)。欺骗系统将与各种MITREATT&CK框架(云、企业、移动、ICS等)锚定,以获得对手TTP的精细画像。
三、检查企业安全防御问题。基于威胁情报分析和对手TTP精细画像,欺骗系统可用于检查企业的安全防御措施,包括防火墙规则、端点安全控制、IAM系统、云安全设置、检测规则等。然后,使用MITREATT&CK导航器来发现安全覆盖范围的差距。
四、生成定制化诱饵。所有安全运营数据都可用于训练欺骗大模型,生成定制的面包屑、诱饵和金丝雀令牌。这些诱饵可以让管理一万个资产的企业看起来像一家电信公司,拥有数十万甚至数百万个应用程序、数据元素、设备、身份等资产,可用于吸引和迷惑对手。
五、欺骗技术还将与检测工程紧密协作。生成式人工智能可以同时创建欺骗元素和同伴检测规则。这方面MITRE Engage欺骗框架和社区可以提供支持。安全厂商和MITRE可能会在Engage的商业实施方面进行合作。
六、重点行业:医疗和制造。行业方面,欺骗技术特别适用于使用大量OT/IoT技术的行业,例如医疗和制造业,这些行业使用大量无法托管安全代理的OT/IoT技术,对欺骗技术的需求尤为迫切。后者可通过模拟OT/IoT设备,生成以假乱真的生产设备资产。
虽然不同企业有着不同的欺骗技术需求,但可以预见的是,ISAC这样的行业组织也会参与到行业安全大模型的微调,以此提升整个行业的安全防护能力。
总结:
融合与普及才能兑现欺骗技术的价值
与IT和安全系统融合和联通后,欺骗系统的所有扫描、数据收集、处理和分析都将持续进行,以跟上混合IT环境、安全防御和威胁形势的变化。当企业实施新的SaaS服务、部署生产应用程序或对其基础设施进行更改时,欺骗引擎会记录这些更改并相应地调整其欺骗技术。
与传统的蜜罐不同,新兴的欺骗技术不需要尖端知识或复杂的设置。虽然一些先进的企业可能会定制自己的欺骗网络,但更多公司会选择默认设置。在大多数情况下,基本配置足以迷惑对手。这意味着,通过云服务提供的标准化产品将能大大加快欺骗技术的普及,帮助企业改善威胁检测和响应,提高安全运营能力。
