通过诱捕恶意行为者的数字陷阱进行的策略

关键要点

通过欺骗技术吸引恶意行为者的方式需要强大的基础设施和高度真实的诱饵来收集情报并识别内部威胁。欺骗技术不仅仅是使用蜜罐，这是一种更加复杂的战略。现代欺骗操作包括创造复杂且逼真的虚假数字资产，以吸引网络犯罪分子。成功的欺骗依赖于高水平的真实性，以防止攻击者识别骗局。实施欺骗技术的公司需考虑零信任架构，以便在捕获恶意行为者后进行隔离。

在网络安全领域，通过引诱恶意行为者进入数字陷阱的策略超越了简单的蜜罐，必须建立强大的基础设施并使用高度真实的诱饵，以便收集入侵者的情报以及识别内部威胁。

许多网络安全从业者可能还记得1980年代和1990年代国家安全局NSA发布的早期指导手册，称为“彩虹系列”，因为每本书的封面颜色都不同。其中一本书籍《理解受信系统的隐秘通道分析》于1983年首次发布。它是数字时代最早的文件之一，详细说明了如何在不危及系统安全的情况下以隐秘和欺骗的方式在线操作，为现在被称为欺骗技术奠定了基础。

然而，自那时以来，欺骗技术或引诱恶意行为者进入数字陷阱的方法取得了显著进展。现代欺骗技术涉及将一些计算资源专门用于存放虚构但复杂且逼真的数字记录，这使其成为网络犯罪分子和其他恶意行为者的诱饵。

对于一些大型组织来说，欺骗工作可能演变为真实的场景，配备伪造的社交媒体资料、假办公室布景，甚至是假装员工的演员，全部是为了将坏人引入死胡同。

“欺骗操作是有用的，但你必须有强大的基础设施，”威胁情报黑客和前FBI计算机科学家拉塞尔汉多夫Russell Handorf在今年的Shmoocon大会上表示。他补充道：“你必须知道节奏。你必须在其他基础设施组件上做得好。如果你拥有这些并决定实施欺骗操作，这是一个强烈信号，表明你的基础设施可能存在异常情况。”

小火箭机场节点购买

欺骗需要的不仅仅是蜜罐

欺骗技术的目标，也称为欺骗技术、操作或工具，是创建一个吸引和欺骗对手的环境，以便将他们从组织的重要资产中引开。Rapid7定义欺骗技术为“促进事件检测和响应的技术类别，帮助安全团队检测、分析和防御高级威胁，通过诱使攻击者与部署在网络内的虚假IT资产进行交互。”

大多数网络安全专业人士都熟悉目前最常见的欺骗技术应用，即蜜罐，这些计算机系统经过牺牲以吸引恶意行为者。然而，专家表示蜜罐只是部分的诱饵，应该是更全面的努力的一部分，旨在邀请狡猾且容易愤怒的对手参与复杂的欺骗。

汉多夫强调，“销售蜜罐的公司可能没有考虑到开发、实施和推出真正的欺骗操作所需的工作。你必须了解你的基础设施，掌握你的库存和日志分析。但是，欺骗操作不仅仅是蜜罐。它是一种必须认真思考和有意实施的战略。”

Zscaler的首席安全官兼安全研究负责人Deepen Desai将欺骗操作与运动传感器进行了类比。“如果我画一个比喻，你会在你家里装上锁、钥匙和门，以保护自己不被坏人侵入。但是当坏人真的进去时，无论他们是伪装成好人还是已经在内部，运动传感器就会