Tricks, Fallen und Technologie
Täuschungstechnologie ist eine Kategorie der Erkennungs- und Reaktionstechnologie, die Sicherheitsteams hilft, fortschrittliche Bedrohungen zu erkennen, zu analysieren und zu bekämpfen, indem sie Angreifer auffordert, mit falschen IT-Assets zu interagieren, die in Ihrem Netzwerk bereitgestellt sind. 欺骗方法可以向您发送关于特定恶意行为的高度准确的警告信息。, die sich häufig durch Protokollanalyse oder mit einem SIEM-Tool im Alleingang nur schwer identifizieren lassen. 你的优势:你可以在攻击过程的早期识别可疑活动,并在你的内部网络中迷惑和误导对手。. 这一页概述了欺骗技术,并提供了三个更详细的例子: Honeypots, Honey-User und Honey-Zugangsdaten.
Ganz gleich, ob Sie sich die Täuschungstechnologie als Wurm am Angelhaken, als Käseecke in der Mausefalle oder Gesang der Sirenen, die die Segler in den Tod locken, vorstellen möchten, 结果是一样的:欺骗技术是一种诱饵. Indem Sie unwiderstehliche Fallen aufstellen, die wie rechtmäßige IT-Assets wirken, 引诱攻击者进入您的内部网络并邀请他们进行交互, was eine Warnmeldung auslöst und Ihrem Team Zeit, Erkenntnisse und Kontext verschafft, die sie zur wirksamen Reaktion brauchen. 因为在你的公司里,没有人需要在他们的职权范围内处理欺骗技术, wird jegliche Aktivität automatisch als suspekt aufzeichnet. 因此,欺骗技术的主要优势在于高度准确的警告信息。, die sehr spezifische bösartige Verhaltensweisen identifizieren.
欺骗技术可以减少攻击者在您的网络上停留的时间,并加快检测和修复的平均时间, 减少警告疲劳和有关IOCs和战术的重要信息, Techniken und Verfahren (TTPs) bereitstellen.
欺骗技术还可以帮助识别以下威胁类型:
Damit die Täuschungstechnologie erfolgreich ist, muss sie ausreichend legitim erscheinen, um einen raffinierten Angreifer zu täuschen, 但与此同时,它与您现有的威胁措施完美契合. 理想情况下,欺骗技术很容易实现。, 根据需要自动更新,并可以直接向您发送警告消息 安全信息和事件管理平台(SIEM) einspeisen.
Hier einige Beispiele von Täuschungstechnologie:
Honeypots sind Ködersysteme oder Server, 与生产系统一起部署在您的网络中. 它们可以看起来像网络上的任何其他计算机,也可以像网络上的任何其他计算机一样提供。, dass sie für einen Angreifer attraktiv wirken. Für Honeypots gibt es viele Anwendungen und Anwendungsfälle, deren Sinn es ist, bösartigen Datenverkehr von wichtigen Systemen fernzuhalten, 识别异常网络扫描,并披露有关攻击者及其方法的信息.
Für diese Zwecke gibt es zwei Arten von Honeypots. 研究蜜罐收集有关攻击的信息,专门用于调查最广泛意义上的恶意行为。. 从您的环境和全球收集有关攻击者趋势的信息, Malware-Versionen und Sicherheitslücken, die von Hackern aktiv anvisiert werden. Daraus können Sie Informationen für Ihre Abwehr, Patch-Priorisierung und zukünftige Investitionen ziehen.
Honeypots für die Produktion, die in Ihrem Netzwerk bereitgestellt werden, helfen Ihnen, 发现环境中的内部弱点,给团队更多的时间, darauf zu reagieren. Das Sammeln von Informationen steht weiter ganz oben, 因为“蜜罐”为您提供了额外的监视功能,并填补了识别网络扫描和网络传播的常见漏洞.
Honeypots sind überschaubar und bedürfen nur geringer Wartung. Sie helfen Ihnen, 利用高度精确的警告和上下文信息中断攻击并阻止黑客. Möchten Sie mehr über Honeypots erfahren? Werfen Sie einen Blick auf unsere Seite über Honeypot-Technologie.
Honey-User sind gefälschte Benutzerkonten, 通常在Active Directory和恶意行为者的尝试中提供, Passwörter zu erraten, erkennen und melden. 一旦攻击者能够从内部访问您的网络,他就很可能成为一个垂直的攻击者。 Brute-Force-Angriff ausführen. 在这个过程中,它查询Active Directory的员工帐户,然后尝试使用少量常用的密码。, die Konten zu knacken. Durch die Definition und Überwachung eines Honey-Users, einem Konto ohne jeglichen geschäftlichen Sinn, 可以很容易地确定攻击者的密码率方法.
攻击者更有可能攻击具有吸引人(但仍然可信)描述的账户。, 这就是为什么像“PatchAdmin”或类似的名称推荐用于锁定目的。. Beachten Sie dabei, 在任何情况下,这个假帐户都不能与您公司中的真实人员相关联,也永远不应该用于认证目的。.
Sobald ein Angreifer ein Endgerät kompromittiert hat, 它通常从该资源获取密码并将其应用到其他地方。, um auf weitere Ressourcen im Netzwerk zuzugreifen. Honey-Zugangsdaten helfen Ihnen, dagegen vorzugehen, indem sie gefälschte Zugangsdaten auf das Endgerät projizieren. 当试图使用蜂蜜访问数据进行身份验证时, wird eine Warnmeldung ausgegeben. Ganz gleich, ob ein Benutzer versucht, 使用蜂蜜登录数据登录或尝试, 使用蜂蜜访问数据切换到另一个设备, 不允许用户访问系统,因此非常安全。.
蜂蜜访问数据也清楚地显示了入侵者的路径。, wie er sich durch ihr Netzwerk bewegt. Das ist vergleichbar mit Banken, die Geldtransporte mit explodierenden Tintenbeuteln versehen, 标记这些钱,然后识别它们.
在其他安全措施之外使用欺骗技术可以帮助你, 加强防御,及早发现妥协. Obwohl jede Art der Täuschungstechnologie sinnvoll ist, 通过使用正确的方法来填补现有的漏洞,提供最有效的深度防御攻击的方法.
[The Lost Bots] Episode 4: Deception Technology
Täuschungstechnologie: Aktuelles aus dem Rapid7 Blog