青藤云安闲 :一种基于欺骗防御的入侵检测技术研究上海搬家
1.欺骗防御工具上班原理
欺骗防御平台有一个集中打点 系统,用来创建、分发和打点 整个欺骗环境以及各个欺骗元素,主要包孕上班站、处事 器、设备、应用、处事 、协议、数据和用户等元素。虽然这些元素都是虚拟出来,但与真实资产几乎一致,因此可被用作诱饵来吸引攻击者。
图1 欺骗防御工具上班原理
1)安闲 团队
安闲 团队在整个过程中饰演重要角色,他们需要明确企业组织掩护目标,以及监控来自欺骗工具的警报。一些成熟的企业组织除了使用欺骗防御的常规功能以外, 上海宝山区搬家公司,已经将其扩展到一些更复杂的场景中,好比生成当地威胁情报、威胁追踪或主动防御等。一旦选择具体的使用场景,欺骗防御技术将会通过设置一些参数来增强整体防御技术,首先可以通过人工生产大量欺骗资产内容;其次设置尽量传神的环境,提高欺骗的传神度;最后将欺骗资产陷阱放置 到合适位置上。
2)欺骗工具
一旦想清楚需要放置 哪种类型的欺骗活动, 上海市青浦区搬场公司,接下来便是 要生产和放置 相应的“陷阱”。这些陷阱可以是虚拟“赝品”、诱饵等,常见的欺骗场景类型包孕:
(1)圈套:假网络、假VLAN和假子网。
(2)诱饵:假处事 器及PC电脑。
(3)蜜罐:伪造数据、文件夹、文件、身份或者用户。
但是每个类型欺骗场景的复杂性是纷歧样,如下图所示:
图2 不同 类型欺骗场景复杂度
为了创建看起来既真实又可信的“假象”,欺骗防御工具将通过检查企业几个信息存储库,如Active、Directory、CMDB数据库等,来了解企业正在使用的命名、拥有资产状况等信息。一旦构建了欺骗使用场景,欺骗防御工具将通过其自带的“打点 系统”来打点 其放置 ,好比通过虚拟化放置 或者使用云处事 方式放置 。
3)攻击者
攻击者通常情况会使用洛克希德·马丁定义的“杀伤链”中一种方法进行攻击。在整个攻击过程的一些环节放置 欺骗防御产品 可以袒露攻击者。这些阶段是:
(1)侦察阶段:攻击者在决定行动之前通常必需 接触和调查一个环境。例如,通过ping方式连接处事 器,可以轻松发现那些未打补丁 的软件版本。但是这种连通,无论它是多么隐蔽,都不该 该发生在用来欺骗的资产上。
(2)横向移动:在这个阶段,攻击者从一个资产移动到另外 一个资产。同样,如果这个新移动资产和攻击跳板是欺骗防御的一部分 ,那么攻击者很快就会被发现。
(3)数据收集:在这个阶段,攻击者接近他们的目标。这时候攻击者已经接近那些包括 有价值数据的处事 器和文件夹。但是这些文件夹和文档都是假的。这时候系统可能已经发送了一个警告,通知安闲 团队攻击者正在寻找的文件类型。
(4)递送:这个阶段指的是将攻击刀兵 传输到指定位置(例如,通过电子邮件附件、网站或USB驱动器),但是攻击目标却是假资产(例如VLAN中的假处事 器)。