在远程工作及其增加的安全风险已成为常态的时候,保护公司网络的持续困难表明现状不起作用。这就是为什么IT安全团队正在从被动转向主动的方法。MITRE Corporation (管理由联邦资助的研发中心的非营利组织) 最近推出了其Shield框架,其中明确指出积极防御对于克服当今的威胁至关重要。了解最新战略和建议的商业领袖将他们的公司置于保持安全的有利地位。
盾牌是从十多年的敌人交战中发展起来的主动防御知识库。有了它,MITRE试图收集和组织它在积极防御和对手参与方面所学到的知识。这些信息的范围从对机会和目标的高级,CISO就绪的考虑,到对捍卫者可以使用的战术,技术和程序的更注重实践者的对话。这个最新的框架旨在鼓励关于主动防御、如何使用它以及安全团队需要知道什么的讨论。
积极防御涵盖了一系列活动,包括与对手交战,基本的网络防御能力和网络欺骗。这需要使用有限的进攻行动和反击来防止对手占领数字领土或资产。总之,这些活动使IT团队能够停止当前的攻击,并更深入地了解perpertrator。然后他们可以为将来的攻击做更充分的准备。
正如MITRE所指出的那样,现代安全堆栈必须包括欺骗功能,以真正阻止和管理对手。在Shield的新策略和技术映射中,欺骗在八种主动防御策略 (渠道,收集,包含,检测,破坏,促进,合法化和测试) 以及33种防御技术中表现突出。
威胁行为者正不停地瞄准企业网络,从看到专有信息的民族国家攻击者到更多希望造成混乱并获得他们可以利用的pII的普通罪犯。分析人士估计,根据目标,企业网络的严重违规行为增加了三到六倍。
当领导者考虑他们的安全策略时,他们不仅需要了解主动防御的含义,还需要了解欺骗的实际含义。一个普遍的误解是,欺骗是蜜罐的代名词,蜜罐已经存在了很长时间,不再有效。为了使它们尽可能现实,需要大量的管理,这样如果攻击者使用蜜罐,他们将无法检测到它不是一个真正的系统,因此知道他们正在被抓住。
所以,是时候澄清这个想法了。事实上,欺骗技术和蜜罐不是同义词。欺骗就是这样开始的,但从那以后它发生了显著的变化。今天的欺骗采取了面包屑/欺骗性的人工制品方法,该方法将攻击者引向错误的踪迹,从而触发警报,以便防御者可以实时找到并阻止攻击者。只有未经授权的用户知道欺骗的存在,因为它们对日常系统没有任何影响,因此误报大大减少了。欺骗技术的这些方面为IT安全组织增加了财务价值。
此外,一些组织错误地认为欺骗过于复杂,产生的投资回报率相对较少。安全组织可以享受使用欺骗技术的好处-这种技术重量轻,维护成本低-但有些人犹豫不决,因为他们认为这是一种压倒性的、复杂的方法,他们不会从中获得足够的价值。然而,使用自动化和人工智能等技术辅助,欺骗消除了以前众所周知的复杂性。
组织倾向于从技术的角度考虑欺骗,但这是错误的; 应该从用例的角度考虑。例如,检测是任何安全程序的基本要素。每个人都需要更好的检测功能-当今欺骗工具的一部分。
随着网络罪犯的策略和工具不断变化,捍卫者也必须改变。扩大的威胁环境和新的攻击类型使这项工作比以往任何时候都更加艰巨。今年,世界各地的许多组织都被迫进行快速的数字化转型,这为不良行为者创造了安全漏洞。这些事件2020年强调需要一种更好的方法来保护关键资产。主动防御是该方法的一部分,如MITRE Shield框架中所述。欺骗技术是一种敏捷解决方案,值得纳入组织的安全策略。