传感技术は、事件检测和响应技术的一种。帮助安全团队检测、分析和防御高级威胁,并引导攻击者与网络中的虚假IT资产进行交互。。在deception方法中,日志分析或siem工具它可以为许多特定的不良行为提供高保真的提醒,这些行为很难被识别。。优点:它不仅可以在攻击链的早期阶段识别出可疑的活动,还可以扰乱和引导在内部网络上的攻击者。。在这一页中,我们概述了感知技术,ハニーポット我会详细介绍三个关于ハニーユーザー和哈尼认证信息的例子。。
不管你把“占领技术”看作是挂在鱼钩上的蚯蚓、藏在捕鼠器里的切达奶酪碎片、诱惑船员死亡的警笛声中的哪一种,它们传递的信息都是一样的。。感知技术是引诱的诱饵。。通过设置一个吸引人的陷阱来引导内部网络上的攻击者进行互动,这些陷阱看起来像是真正的资产。。警告被触发,团队获得了有效应对所需的时间、洞察力和上下文。。在组织中,没有任何人员需要与感知技术打交道,这是业务的一部分,所以所有记录的活动都是可疑的。。因此,“感知技术”的主要优点在于,它可以得到高度忠实的提醒,帮助我们识别非常恶劣的行为。。
感知技术缩短了攻击者隐藏在网络上的时间,加快了检测和修复的平均时间,减轻了告警带来的疲劳,从而在侵犯迹象(IoC)和战术、技术、程序(TTP)方面提供重要的信息。。
感知技术可以帮助我们检测以下威胁。。
为了让感知技术发挥作用,我们需要将其很好地融入现有的威胁检测战略中,同时也需要足够的可信度来欺骗高级攻击者。。安装简单,根据需要自动更新,安全信息与事件管理(siem)平台所生成的警报直接被发送,这就是理想的感知技术。。
我想给大家介绍一些具体的关于感知技术的例子。。
ハニーポット是在网络中与正式环境系统一起部署的假系统或服务器。。它们看起来和网络上的其他机器一样,或者被伪装成攻击者的目标。。ハニーポット有很多用途和用途,它可以将恶意流量转移到重要的系统之外,识别异常的网络扫描,并揭示关于攻击者和方法的信息。。
在目的方面,ハニーポット有两种类型。。调查蜂巢是收集关于攻击的信息,特别是用于调查真实世界中的恶意行为。。对客户的环境和更广泛的现实世界进行调查,收集关于攻击者的倾向、恶意软件的变形以及攻击者的目标脆弱的信息。。这是预防性的,围栏,补丁的优先级,以及未来投资所需的信息。。
在网络上部署的实战ハニーポット可以帮助我们发现隐藏在整个环境中的危害,并让团队有更多的时间来应对。。当ハニーポット增加了更多的监视机会,并填补了网络扫描和确定横向移动时常见的检测差距时,收集信息仍然是优先考虑的事情。。
简单易懂、低维护的ハニーポット打破了攻击链,以高保真的警报和基于上下文的信息帮助攻击者放慢速度。想要关于ハニーポット的详细信息吗??哈尼波特技术请一定要看有关的网页。。
ハニーユーザー通常会在目录中设置一个虚假的用户账号,检测到来自恶意的人的密码推测尝试,并发出警告。。进入网络内部的攻击者在垂直方向蓝色力量攻击更有可能尝试。。在这个攻击中,你可以查询激活目录,列出员工的账户,并尝试一些常用的密码来对应这些账户。。我们可以定义并监控ハニーユーザー,这是一个没有任何商业目的的账户,我们可以很容易地识别这种巧妙的密码猜测技术。。
攻击者很有可能会盯上一个有吸引力的(可信的)解释的账号,所以你可以通过给账号起“PatchAdmin”之类的名字来引导攻击者与你互动。。 重要的是,这个假用户账户不能与组织中真实存在的人相关联,也不能用于有效的认证。。
如果攻击者侵犯了端点,他们通常会从资产中收集密码,并尝试在其他地方使用这些密码来访问网络上的资源。。哈尼验证信息可以作为在端点上注入的虚假验证信息,因此它可以帮助你处理这个技巧。。如果你尝试使用亲爱的验证信息进行验证,就会生成警告。。无论用户是使用哈尼验证信息登录资产,还是使用哈尼验证信息迂回到另一个端点,这些验证信息实际上允许访问任何系统所以使用起来非常安全。。
哈尼验证信息还提供了一个明确的证据,证明入侵者在网络上横向移动。。这就像银行在装钱的袋子里放了一个喷雾剂包,然后在钱上做了标记以便日后识别。。
使用防御技术和安全措施来加强防御和尽早发现侵害。。任何类型的探测技术都是有用的,但是采用合适的类型来加强现有检测上的差距,就能获得最有效的多层防御方法。。