1. 完全相反的基本前提

蜜罐技術(shù)是使用組織基礎(chǔ)設(shè)施的邏輯視圖設(shè)計(jì)的。這些蜜罐被部署在有價(jià)值的目標(biāo)周?chē)栽噲D轉(zhuǎn)移攻擊者。然而，當(dāng)攻擊者遇到蜜罐時(shí)，它已經(jīng)在網(wǎng)絡(luò)最深處了。

攻擊者將基礎(chǔ)設(shè)施視為社交地圖。一旦他們確定了在網(wǎng)絡(luò)中的位置，他們就會(huì)看到相鄰的資源和資源之間的關(guān)系來(lái)決定他們下一步的行動(dòng)，幻影欺騙技術(shù)是從攻擊者的角度設(shè)計(jì)的，并提前識(shí)別攻擊。這種視角的轉(zhuǎn)變給了你在威脅情況下的巨大優(yōu)勢(shì)，這些威脅總是壓倒性地支持攻擊者。

2. 誘騙與糾纏

蜜罐的成功依賴于捕獲攻擊者的注意力并激勵(lì)他們轉(zhuǎn)移到蜜罐目的地。這意味著你必須首先讓攻擊者在蜜罐之前而阻止他們。與此同時(shí)，他們可能會(huì)在網(wǎng)絡(luò)中存在數(shù)月，會(huì)泄露數(shù)據(jù)并造成損害。

幻影欺騙在網(wǎng)絡(luò)中普遍存在，并反映出實(shí)際的基礎(chǔ)設(shè)施。虛假的攻擊者并不希望將攻擊者吸引到目的地，而是幾乎在他們獲得網(wǎng)絡(luò)訪問(wèn)權(quán)后(例如通常是第一次參與攻擊的終結(jié)點(diǎn))，欺騙攻擊者進(jìn)行欺騙，而攻擊者不會(huì)意識(shí)到這一點(diǎn)。

3. 有限的可伸縮性與自動(dòng)化的可伸縮性

您可以增加部署在整個(gè)基礎(chǔ)架構(gòu)中的蜜罐數(shù)量，以增加捕獲攻擊者的可能性。然而，這種方法很快就會(huì)變得昂貴而復(fù)雜。如果你有500臺(tái)機(jī)器并且需要50%的覆蓋率，則需要添加500臺(tái)新機(jī)器和IP地址，更不用說(shuō)許可證和人力資源來(lái)管理這些機(jī)器。即使采用自動(dòng)化，這種方法也會(huì)給網(wǎng)絡(luò)和員工帶來(lái)負(fù)擔(dān)，并且不會(huì)產(chǎn)生更好的吸引力。在整個(gè)基礎(chǔ)設(shè)施中都部署了幻影欺騙，并且?guī)缀蹩梢粤⒓催M(jìn)行擴(kuò)展，因?yàn)榧夹g(shù)是無(wú)代理的。隨著基礎(chǔ)架構(gòu)的擴(kuò)展，欺騙會(huì)自動(dòng)部署，幾乎沒(méi)有IT或網(wǎng)絡(luò)的開(kāi)銷。

憑借幻影欺騙管理服務(wù)器(DMS)，欺騙也根據(jù)網(wǎng)絡(luò)中遇到的每一項(xiàng)資產(chǎn)量身定制，以便組織為每臺(tái)機(jī)器或用戶部署最佳，最可靠的欺騙手段，顯著增加檢測(cè)攻擊者的機(jī)會(huì)。

4. 增加誤報(bào)與近零的誤報(bào)

一個(gè)攻擊者必須選擇蜜罐作為目的地，當(dāng)它們存在于網(wǎng)絡(luò)中時(shí)，終端用戶經(jīng)常會(huì)遇到并與誘餌進(jìn)行交互，從而增加誤報(bào)。幻影欺騙使每個(gè)終端上的數(shù)據(jù)都被100%覆蓋，但卻隱藏在用戶中。因?yàn)樗麄冎荒鼙┞对诠粽叩拿媲埃`報(bào)被消除，每一次警報(bào)都是真實(shí)的威脅。

5. 模仿與真實(shí)性

蜜罐是用組織認(rèn)為會(huì)吸引攻擊者的數(shù)據(jù)或?qū)傩跃闹谱鞯摹Ｈ欢T餌應(yīng)該既有趣又能證明與攻擊者的真實(shí)互動(dòng)。攻擊者尋找特定的特征，使他們能夠成功地避免使用蜜罐。

如果任何東西看起來(lái)有點(diǎn)“可疑”，他們會(huì)把它單獨(dú)留下。幻影欺騙是真實(shí)的，隨著時(shí)間的推移而變化。它們具有相同的屬性和實(shí)際的終端、服務(wù)器、數(shù)據(jù)、應(yīng)用程序和周?chē)木W(wǎng)絡(luò)環(huán)境。沒(méi)有兩臺(tái)計(jì)算機(jī)或用戶的欺騙行為是相同的——即使是在相同的環(huán)境中。攻擊者無(wú)法確定什么是真實(shí)的，什么是虛假的。

此外，欺騙行為是精心策劃的，隨著時(shí)間的推移不斷變化，在欺騙黑客的過(guò)程中扮演一個(gè)重要的角色，他們?cè)趯W(xué)習(xí)環(huán)境和執(zhí)行重復(fù)動(dòng)作的過(guò)程中扮演著一個(gè)合適的角色。不斷變化的欺騙也阻止了攻擊者使用之前獲取的網(wǎng)絡(luò)信息，這進(jìn)一步延遲了他們?cè)诰W(wǎng)絡(luò)上的橫向移動(dòng)。

6. 延遲威脅響應(yīng)與即時(shí)威脅響應(yīng)

通過(guò)蜜罐技術(shù)，組織的安全團(tuán)隊(duì)必須希望攻擊者能夠與蜜罐交互足夠長(zhǎng)的時(shí)間，以解決來(lái)自多臺(tái)機(jī)器的大量錯(cuò)誤的警報(bào)。這明顯推遲了有效的反應(yīng)。

此外，由于攻擊者在組織網(wǎng)絡(luò)中已經(jīng)深入，因此安全團(tuán)隊(duì)在這一點(diǎn)上往往非常警惕，經(jīng)常會(huì)導(dǎo)致錯(cuò)誤的決策。

有了幻影欺騙，安全團(tuán)隊(duì)知道攻擊者在攻擊的早期就會(huì)欺騙。這給了他們更多的響應(yīng)選擇和一個(gè)清晰的修復(fù)路徑。

7. 有用的取證和即時(shí)取證的來(lái)源攻擊

取證只能聚集在蜜罐誘餌本身，它不提供對(duì)源機(jī)器或先前行為的洞察。

當(dāng)攻擊者被激活時(shí)，幻影欺騙會(huì)在源機(jī)器上提供即時(shí)的取證快照。他們繼續(xù)提供數(shù)據(jù)，因?yàn)楣粽邍L試不同的方法和途徑。

8. 強(qiáng)調(diào)技術(shù)與轉(zhuǎn)變

蜜罐技術(shù)已經(jīng)存在了很長(zhǎng)時(shí)間，并且是基于對(duì)機(jī)器和技術(shù)能力的假設(shè)而設(shè)計(jì)的。新的欺騙技術(shù)可以幫助攻擊者擺脫困境，因?yàn)樗菄@著人類對(duì)新環(huán)境或新環(huán)境的反應(yīng)而設(shè)計(jì)的。當(dāng)攻擊者登陸網(wǎng)絡(luò)時(shí)，他會(huì)問(wèn)兩個(gè)問(wèn)題

• 下一步我應(yīng)該去哪里?
• 我怎么去呢?

只有在回答了這些問(wèn)題之后，它才會(huì)進(jìn)行下一個(gè)橫向移動(dòng)。當(dāng)幻影的真實(shí)欺騙被部署到這些問(wèn)題的答案時(shí)，就會(huì)產(chǎn)生一個(gè)欺騙的現(xiàn)實(shí)。這將會(huì)導(dǎo)致攻擊者在一個(gè)陷阱服務(wù)器上，而不是它理想的目標(biāo)。在它身邊有許多欺騙手段，攻擊者通常會(huì)做出不正確的決定 ， 使它陷入欺騙和迷失方向，這一點(diǎn)是它沒(méi)有意識(shí)到的。與此同時(shí)，它被發(fā)現(xiàn)卻不知道。自動(dòng)的取證反應(yīng)跟蹤他的路徑和活動(dòng)，為組織提供有價(jià)值的數(shù)據(jù)來(lái)阻止和糾正攻擊。