欺骗技术旨在通过在系统的基础设施中分布一系列陷阱和诱饵来欺骗攻击者,以模仿真正的资产. 如果入侵者触发了一个诱饵, 然后,服务器将记录和监控整个交战期间使用的攻击向量.
随着攻击媒介变得越来越复杂, 组织需要能够在攻击链的早期检测到可疑活动并做出相应的响应. 欺骗技术为安全团队提供了许多策略和由此带来的好处:
在事件检测和响应中,时间和环境至关重要. 然而,许多检测解决方案要等到关键资产受到威胁时才发送警报, 而其他的——比如那些只分析日志和网络数据的——则不能提供重要的细节, 比如袭击者是怎么进来的, 或者他们下一步要去哪里. 这让计划一个应对方案变得,几乎不可能.
InsightIDRRapid7的事件检测和响应解决方案可以帮助弥补这些检测方面的差距. 如何? 通过给攻击者提供他们无法拒绝的条件. 利用先进的 欺骗技术 基于对攻击者行为的深刻理解, insighttidr设置了不可抗拒的陷阱,可以在攻击链的早期引出恶意行为,并为您的团队赢得有效响应所需的时间和洞察力.
选择你的毒药:insighttidr提供了四种类型的入侵者陷阱,以便在网络侦察和横向移动期间更早地检测攻击者—在关键数据被盗之前. 四个都是蜜罐, 亲爱的用户, 蜂蜜的凭证, 和蜂蜜文件-使用Metasploit项目的持续攻击者研究快速设置和构建, 以及我们的渗透测试人员和24/7安全运营中心(SOC). 由于insighttidr结合了这种欺骗技术 用户行为分析 和 端点检测,您可以确信它将检测到整个攻击链中的入侵者.
当攻击者第一次登陆您的网络时,这是一件美妙的事情. 为什么? 这是你真正占了上风的罕见时刻之一. insighttidr的蜜罐可以帮助你充分利用它. 它的工作原理是这样的:攻击者使用内部侦察, 比如网络扫描, 确定下一步横向移动的位置.
“粘蜜罐”, 设置为在网络上侦听的诱饵机器/服务器, 检测使用nMap和其他扫描工具来提醒您攻击者的存在. 传统上, 蜜罐很难设置和集中管理, 而是用insighttidr, 很容易在网络中部署一个或多个.
一旦攻击者有内部访问您的网络, 他们可能会尝试垂直暴力, 查询Active 导演y以查看用户的完整列表,并在这些帐户中尝试使用少量常用密码. 您的监控解决方案今天会检测到这一点吗? insighttidr通过允许您定义蜂蜜用户来帮助检测猜测密码的尝试, 例如PatchAdmin, 对那个假账户的任何认证都发出警报.
一旦攻击者危及端点, 它们可以提取密码散列,甚至是明文凭证, 不需要外部恶意软件. 而端点检测和响应解决方案可能能够识别特权升级和其他恶意 利用问题是:攻击者在那里做了什么?
insighttidr不仅提供实时端点检测, 但也注入假蜂蜜凭证在您的端点欺骗攻击者. 如果此凭据在网络上的其他任何地方使用, 比如pass-the-hash, 你会被自动提醒.
一旦攻击者获得了机密材料, 下一步是将其从网络中删除——通常是将文件压缩并复制到外部drop服务器或窃取的云存储帐户. 因为这种泄露通常通过HTTP/HTTPS进行, 使用防火墙和现有的监视解决方案很难检测到.
使用InsightIDR,您可以在关键目录中指定honey文件. 对该文件执行的所有操作-包括打开, 编辑, 和复制-都受到监控, 提供文件级可见性,而无需部署独立服务器 文件完整性监控解决方案.
insighttidr提供了四种类型的入侵者陷阱,以便在网络侦察和横向移动期间更早地检测攻击者, 在关键数据被盗之前. 所有four-honeypots, 亲爱的用户, 蜂蜜的凭证, 和蜂蜜文件-快速设置,并且是通过Metasploit项目的持续攻击者研究构建的.