本文來自微信公眾號(hào)“GoUpSec”。
欺騙技術(shù),一種通過虛假資產(chǎn)來迷惑攻擊者的安全策略,預(yù)計(jì)將在2024年開始流行,并在2025年末成為安全運(yùn)營的標(biāo)配。
盡管欺騙技術(shù)目前仍然受到業(yè)界一些質(zhì)疑,但2024年十個(gè)重要趨勢(四大技術(shù)趨勢和六大應(yīng)用趨勢)將一舉確立其在安全運(yùn)營中的主流地位。
改變欺騙技術(shù)的四大技術(shù)趨勢
網(wǎng)絡(luò)安全和企業(yè)IT的融合正在大大簡化欺騙技術(shù)。2024年,四大技術(shù)趨勢即將徹底改變欺騙技術(shù)的工作方式,這些趨勢包括安全數(shù)據(jù)湖部署、云計(jì)算、API連接性和生成式AI:
一、安全數(shù)據(jù)湖部署:企業(yè)正在實(shí)施來自各大科技廠商和云服務(wù)商的海量安全數(shù)據(jù)湖方案。欺騙技術(shù)將不斷分析這些海量數(shù)據(jù),以更好地了解正常和異常行為,作為欺騙模型的基線。
二、云計(jì)算:應(yīng)用于欺騙技術(shù)的大語言模型需要大量資源來處理和存儲(chǔ)數(shù)據(jù)。因此,欺騙技術(shù)很可能會(huì)以SaaS云服務(wù)的形式提供,位于現(xiàn)有安全運(yùn)營技術(shù)之上,從而實(shí)現(xiàn)欺騙技術(shù)的快速普及。
三、API連接:除了安全數(shù)據(jù)湖之外,欺騙技術(shù)還將植入IaaS、資產(chǎn)管理系統(tǒng)(Gartner定義為網(wǎng)絡(luò)資產(chǎn)攻擊面管理)、漏洞管理系統(tǒng)、攻擊面管理系統(tǒng)、云安全態(tài)勢管理(CSPM)等。打通API后,欺騙系統(tǒng)能夠全面了解企業(yè)的混合IT應(yīng)用程序和基礎(chǔ)設(shè)施。
四、生成式AI:基于大語言模型的生成式AI可以生成以假亂真的誘餌(虛假資產(chǎn)或虛假服務(wù))、合成的網(wǎng)絡(luò)流量和“面包屑”(即放置在真實(shí)網(wǎng)絡(luò)上的虛假資產(chǎn))。這些欺騙元素可以在混合網(wǎng)絡(luò)環(huán)境中戰(zhàn)略性地、大規(guī)模自動(dòng)部署。
新興欺騙技術(shù)的六大應(yīng)用趨勢
上述技術(shù)趨勢為欺騙技術(shù)融入企業(yè)IT和安全運(yùn)營系統(tǒng)提供了技術(shù)基礎(chǔ),以下是2024年欺騙技術(shù)的六大應(yīng)用趨勢:
一、集成到多個(gè)IT掃描/態(tài)勢管理工具,以“學(xué)習(xí)”環(huán)境信息,包括:資產(chǎn)(包括OT和物聯(lián)網(wǎng)資產(chǎn))、IP范圍、網(wǎng)絡(luò)拓?fù)?、用戶、訪問控制、正常/異常行為等。先進(jìn)的網(wǎng)絡(luò)靶場已經(jīng)可以做到其中一些功能,而欺騙系統(tǒng)將建立在這種合成環(huán)境之上,持續(xù)進(jìn)行掃描、數(shù)據(jù)收集、處理和分析,以跟上混合IT環(huán)境、安全防御和威脅態(tài)勢的變化。
二、采集和分析威脅情報(bào)。根據(jù)企業(yè)的位置和行業(yè),欺騙系統(tǒng)將分析和總結(jié)網(wǎng)絡(luò)威脅情報(bào),尋找特定的對手群體、威脅活動(dòng)以及通常針對此類公司的對手策略、技術(shù)和程序(TTP)。欺騙系統(tǒng)將與各種MITREATT&CK框架(云、企業(yè)、移動(dòng)、ICS等)錨定,以獲得對手TTP的精細(xì)畫像。
三、檢查企業(yè)安全防御問題。基于威脅情報(bào)分析和對手TTP精細(xì)畫像,欺騙系統(tǒng)可用于檢查企業(yè)的安全防御措施,包括防火墻規(guī)則、端點(diǎn)安全控制、IAM系統(tǒng)、云安全設(shè)置、檢測規(guī)則等。然后,使用MITREATT&CK導(dǎo)航器來發(fā)現(xiàn)安全覆蓋范圍的差距。
四、生成定制化誘餌。所有安全運(yùn)營數(shù)據(jù)都可用于訓(xùn)練欺騙大模型,生成定制的面包屑、誘餌和金絲雀令牌。這些誘餌可以讓管理一萬個(gè)資產(chǎn)的企業(yè)看起來像一家電信公司,擁有數(shù)十萬甚至數(shù)百萬個(gè)應(yīng)用程序、數(shù)據(jù)元素、設(shè)備、身份等資產(chǎn),可用于吸引和迷惑對手。
五、欺騙技術(shù)還將與檢測工程緊密協(xié)作。生成式人工智能可以同時(shí)創(chuàng)建欺騙元素和同伴檢測規(guī)則。這方面MITRE Engage欺騙框架和社區(qū)可以提供支持。安全廠商和MITRE可能會(huì)在Engage的商業(yè)實(shí)施方面進(jìn)行合作。
六、重點(diǎn)行業(yè):醫(yī)療和制造。行業(yè)方面,欺騙技術(shù)特別適用于使用大量OT/IoT技術(shù)的行業(yè),例如醫(yī)療和制造業(yè),這些行業(yè)使用大量無法托管安全代理的OT/IoT技術(shù),對欺騙技術(shù)的需求尤為迫切。后者可通過模擬OT/IoT設(shè)備,生成以假亂真的生產(chǎn)設(shè)備資產(chǎn)。
雖然不同企業(yè)有著不同的欺騙技術(shù)需求,但可以預(yù)見的是,ISAC這樣的行業(yè)組織也會(huì)參與到行業(yè)安全大模型的微調(diào),以此提升整個(gè)行業(yè)的安全防護(hù)能力。
總結(jié):
融合與普及才能兌現(xiàn)欺騙技術(shù)的價(jià)值
與IT和安全系統(tǒng)融合和聯(lián)通后,欺騙系統(tǒng)的所有掃描、數(shù)據(jù)收集、處理和分析都將持續(xù)進(jìn)行,以跟上混合IT環(huán)境、安全防御和威脅形勢的變化。當(dāng)企業(yè)實(shí)施新的SaaS服務(wù)、部署生產(chǎn)應(yīng)用程序或?qū)ζ浠A(chǔ)設(shè)施進(jìn)行更改時(shí),欺騙引擎會(huì)記錄這些更改并相應(yīng)地調(diào)整其欺騙技術(shù)。
與傳統(tǒng)的蜜罐不同,新興的欺騙技術(shù)不需要尖端知識(shí)或復(fù)雜的設(shè)置。雖然一些先進(jìn)的企業(yè)可能會(huì)定制自己的欺騙網(wǎng)絡(luò),但更多公司會(huì)選擇默認(rèn)設(shè)置。在大多數(shù)情況下,基本配置足以迷惑對手。這意味著,通過云服務(wù)提供的標(biāo)準(zhǔn)化產(chǎn)品將能大大加快欺騙技術(shù)的普及,幫助企業(yè)改善威脅檢測和響應(yīng),提高安全運(yùn)營能力。