欺骗技能作甚比蜜☏罐好

2020-06-30

欺骗技能作甚比蜜☏罐好

最近两年,跟着APT、内网挟制的迅速增加,攻击诈骗技能的检测才能的提高,攻击诈骗技能和传统蜜罐诈骗技能在检测网络进犯者方法上是存在一定的差异性,以下是它们的不同的地方。

1.完全相反的根本条件

蜜罐技能是使用组织根底设施的逻辑视图设计的。这些蜜罐被布置在有价值的方针周围,以试图转移攻击者。然而,当攻击者遇到蜜罐时,它现已在网络最⊙﹏⊙深处了。

攻击者将根底设施视为社交地图。一旦他们确定了在网络中的方位,他们就会看到相邻的资源和资源之间的关系来抉择他们下一步的举动,幻影诈骗技能是从攻击者的角度设计的,并提前辨认攻击。这种视角的转变给了你在挟制状况下的巨大优势,这些挟制总是压倒性地支撑攻击者。

2.拐骗与纠缠

蜜罐的成功依赖于捕获攻击者的留意力并激励⊙﹏⊙他们转移到蜜罐意图地。这意味着你有必要首要让攻击者在蜜罐之前而阻止他们。与此同时,他们可能会在网络中存在数月,会泄露数据并形成危害。

幻影诈骗在网络中遍及存在,并反映出实践的根底设施。虚假的攻击者其实不期望将攻击者吸引到意图地,而是简直在他们取得网络拜访权后(例如通常是第一次参加攻击的完结点),诈骗攻击者进行诈骗,而攻击者不会认识到这一点。

3.有限的可伸缩性与主动化的可伸缩性

您可以添加布置在整个根底架构中的蜜罐数量,以添加捕获攻击者的可能性。然而,这种方法很快就会变得贵重而杂乱。假如你有500台机器并且需要50%的掩盖率,则需要添加500台新机器和IP地点,更不用说答应证和人力资源来管理这些机器。即便选用主动化,这种方法也会给网络和员工带来担负,并且不会发生更好的吸引力。在整个根底设施中都布置了幻影诈骗,并且简直可以当即进行扩展,因为技能是无署理的。跟着根底架构的扩展,诈骗会主动布置,简直没有IT或网络的开支。

仰仗幻影诈骗管理服务器(DMS),诈骗也依据网络中遇到的每一㊑项财物量身定制,以便组织为每◎台机器或用户布置最佳,最可靠的诈骗手法,显著添加检测攻击者的时机。

4.添加误报与近零的误报

一个攻击者有必要选择蜜罐作为意图地,当它们存在于网络中时,终端用户常常会遇到并与钓饵进行交互,从而添加误报。幻影诈骗使每一个终端上的数据都被100%掩盖,但却隐藏在用户中。因为他们只能暴露在攻击者的面前,误报被消除,每一次警报都是真实的挟制。

5.仿照与真实性

蜜罐是用组织认为会吸引攻击者的数据或属性精心制造的。然而,钓饵应该既风趣又能证明与攻击者的真实互动。攻击者寻找特定的特征,使他们可以成功地防止使用蜜罐。

假如任何东西看起来有点“可疑”,他们会把它单独留下。幻影诈骗是真实的,跟着时间的推移而变化。它们具有相同的属性和实践的终端、服务器、数据、运用程序和周围的网络环境。没有两台核算机或用户的诈骗行为是相同的——即便是在相同的环境中。攻击者无法确定什么是真实的,什么是虚假的。

此外,诈骗行为是精心策划的,跟着时间的推移不断变化,在诈骗黑客的过程当中扮演一个重要的人物,他们在学习环境和履行重复动作的过程当中扮演着一个适宜的人物。不断变化的诈骗也阻止了攻击者使用之前获取的网络信息,这进一步延迟了他们在网络上的横向移动。

6.延迟挟制响应与即时挟制响应

通过蜜罐技能,组织的安全团队有必要期望攻击者可以与蜜罐交互足够长的时间,以解决来自多台机器的很多过错的警报。这显着推延了有用的反响。

此外,因为攻击者在组织网络中现已深化,因此安全团队在这一点上往往十分警觉,常常会导致过错的决策。

有了幻影诈骗,安全团队知道攻击者在攻击的前期就会诈骗。这✤给了他们更多的响应选择和一个明晰的修复途径。

7.有用的取证和即时取证的来历攻击

取证只能集合在蜜罐钓饵本身,它不提供对源机器或先前行为的洞察。

当攻击者被激活时,幻影诈骗会在源机器上提供即时的取证快照。他们继续供给数据,因为攻击者尝试不同的方法和途径。

8.强调技能与转变

蜜罐技能现已存在了很长时间,并且是基于对机器和技能才能的假设而设计的。新的诈骗技能可以协助攻击者脱节窘境,因为它是围绕着人类对新环境或新环境的反响而设计的。当攻击者登陆网络时,他会问两个问题

下一步我应该去哪里,我怎么去呢?

只有在答复了这些问题之后,它才会进行下一个横向移动。当幻影的真实诈骗被布置到这些问题的答案时,就会发生一个诈骗的现实。这将会导致攻击者在一个陷阱服务器上,而不是它抱负的方针。在它身边有许多诈骗手法,攻击者通常会做出不正确的抉择 , 使它堕入诈骗和迷失方向,这一点是它没无意识到的。与此同时,它被发现却不知道。主动的取证反响跟踪他的途径和活动,为组织提供有价值的数据来阻止和纠正攻击。



扫描二维码分享到微信

在线咨询
联系电话

400-888-8866