3.3. 蜜标反制
时间:2022-03-17 07:51:01 | 来源:行业动态
时间:2022-03-17 07:51:01 来源:行业动态
蜜标文件多采用攻击者感兴趣的文件类型或文件名称,通过代码捆绑等技术向该文件中嵌入特定数据和代码,通过构造场景引诱攻击者去访问、下载蜜标文件,当攻击者下载并在本地打开蜜标文件时,就会触发内嵌代码,记录并回传攻击主机和攻击者特征信息来实现溯源和反制。
蜜标反制工作示意图如下所示:
采用蜜标文件来反制对防守方安全能力要求较高,需结合用户业务环境特点来制作蜜标文件,同时将蜜标文件部署在攻击者较容易访问的位置才能取得更好的效果。
4. 未来欺骗防御发展预测
攻防演习已向常态化与实战化迈进,攻防演习虽不提蜜罐,但处处是蜜罐,但此蜜罐非彼蜜罐,笔者更倾向于称其为欺骗防御或仿真诱捕技术,传统的利用高交互蜜罐一招溯源攻击者的历史一去不复返,而复杂的可以和真实计算环境融合的新一代欺骗防御技术和产品需求会越来越旺盛。全球知名的IT研究与顾问咨询公司Gartner评价欺骗防御技术是对现有安全防护体系产生深远影响的安全技术。在Gartner 2020年安全运营技术成熟度曲线报告中,分析师将欺骗平台这项技术放在了期望膨胀期,并将目前的成熟度定义为青春期,预计该技术会在5至10年后达到成熟并被广泛使用。
基于最新蜜罐技术演进分析,结合当前欺骗防御行业发展态势,笔者认为未来几年欺骗防御市场和产品发展将有以下几个趋势。