創新趨勢的「完美風暴」,讓誘捕技術(Deception technology)成為主流,翻轉不對等威脅版圖角力變化。
文/Jon Oltsik‧譯/Nica
這是個預測 2024 的季節,我的是:誘捕技術將在 2024 更加普遍、在 2025 年末成為資安操作的主流。
現在,從誘捕技術懷疑論者聽到的常見對立論點有二。首先,許多網路安全專家表示先前聽過這樣的預測,並未成功證實。其他人則聲稱,誘捕技術僅限於精英企業中的精英。事實上,許多人認為它是保留給在 GCHQ、NSA 或 CrowdStrike、Mandiant 與 Recorded Future 這類威脅情報專門機構工作的威脅分析師所使用的技術而未加以重視。大部份時候是用「科學專案」這樣的字眼。
誘捕技術趨勢
這些都是合理觀點,但我深信某些網路安全與通用 IT 趨勢正匯聚成一場完美風暴,大幅簡化誘捕技術,使其成為主流。這些趨勢包括:
‧資安資料湖佈署
眾多企業正實施來自 AWS、Google、IBM 與 Snowflake 的巨量資安資安儲存庫。誘捕技術持續分析這些資料,以便更加瞭解正常與異常行為。這些資料將成為誘捕模型的基準線。
‧雲端運算
為了依需處理與儲存功能,誘捕模型會需要大量資源。很可能在現有資安操作技術之上,以 SaaS 或以雲端為基礎服務的方式,提供誘捕技術。在這種方式下,誘捕技術將能普及大眾。
‧API 連結
除了資安資料湖外,誘捕技術還開始與 IaaS、資產管理系統(或 Gartner 稱之為網路資產攻擊面管理)、弱點管理系統、攻擊面管理系統、雲端安全性態勢管理(CSPM) 等整合。這種連結性讓誘捕系統能夠全面瞭解企業組織混用 IT 應用與架構。
‧生成式 AI
以大型語言模型為基礎(LLMs),生成式 AI 能夠「生成」看起來可信的圈套(例如虛假資產)、誘餌(例如虛假服務)、人造網路流量與麵包屑(例如置於真實資產上的虛假資源)。這些誘騙元素可以大量策略性、自動化橫跨整個混用網路佈署。
誘捕技術未來可能運作方式
這些趨勢為先進的誘捕技術提供了技術性基礎。以下是誘捕系統可能運作方式的概要:
- 誘捕系統整合到眾多 IT 掃描/態勢管理工具裡,儘其可能學習關於環境資產(包括營運技術與物聯網資訊)、IP 範疇、網路拓撲、使用者、存取控制、正常/異常行為模式等的一切。進階網路安全實戰平台已能進行前述部份任務。誘捕系統就建立在這種合成環境上。
- 誘捕系統會依企業所在位置與產業為基礎,分析並合成網路威脅情報,尋找特定敵對集團、威脅活動與多半針對這類公司的對手戰術、技巧與程序(TTPs)。誘捕系統透過各種 MITRE ATT&CK 框架(雲端、企業、行動網路、ICS 等)定錨,更進一步瞭解對手 TTPs 觀點。誘捕原則就是在網路攻擊的每一步混淆/愚弄它們。
- 誘捕系統接著檢查企業資安防禦:防火牆規則、終端安全性控制、IAM 系統、雲端安全性設定、偵測規則等等。之後再利用 MITRE ATT&CK 探索,找出涵蓋範圍的缺口。這些缺口是誘捕元素完美的著陸點。
- 生成式 AI 模型採用這裡所有資料,建立客製化麵包屑、圈套、誘餌與隱式警報器(canary tokens)。擁有上萬資產必須管理的企業搖身一變,看起來就像擁有數萬甚至數百萬應用程式、資料元件、裝置、身份識別等的電信公司,全都是為了吸引並混淆對手。
值得一提的是,所有的掃描、資料收集、處理與分析,都會持續進行以便因應混用型 IT 環境、資安防禦與威脅版圖的變遷。當企業實施新的 SaaS 服務、佈署上線應用程式,或變動基礎架構,誘捕引擎會發現這些改變,相應調整誘捕技術。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
不同於傳統誘捕系統的是,急速增長的誘捕技術不需要尖端知識或複雜建置。雖然部份進階企業會客製化他們的誘捕網路,但許多公司行號還是選擇預設設定。大部份情況下,基本組態設定就足以混淆對手。還要提醒的是,圈套與誘餌這類欺敵誘捕元素,合法使用者看不到。因此,當某人撥弄麵包屑或觸發隱式警報時,幾乎足以確認絕對不懷好意。在這種方式下,誘捕技術亦有助於企業組織改善威脅偵測與應變方面的資安操作。
最後要說的是:
- 誘捕技術在健康醫療與製造業這類領域尤其受歡迎,它們使用無法交由資安廠商代管的大量營運技術/物聯網裝置。可藉由模仿營運技術/物聯網裝置的方式,對真正的線上裝置產生一層防護罩。
- 誘捕技術將與偵測工程攜手並進。事實上,我可以想見,生成式 AI 如何建立誘捕元素同時產生伴隨的偵測規則。
- 我曾提及,MITRE ATT&CK 框架是這個模型的一部份。誘捕技術還會仰賴 MITRE Engage,這是針對網路誘捕的框架與社群。很可能廠商與 MITRE 最終將在 Engage 與商業用途上共同合作。
- 雖然每個企業都會有自己的誘捕設定,但我能想像 ISACs 這類工業組織會參與微調模型並提升整體工業的保護。
若我還年輕,會開車到波士頓、從當地創投拿些錢再雇用一群 MIT 學生,自行建置現代誘捕系統。我想會有一些類似的獨立作業朝這個方向,但最終誘捕技術會搭載在其他資安操作系統之上。Fortinet 與 Zscaler 都已經朝這個方式進行,期待其他企業也仿效。
(本文授權非營利轉載,請註明出處:CIO Taiwan)