主动入侵检测的下一站 蜜标科技

请注意，最近的 RSAC 2023 大约有相关的信息，谷歌云Mandiant首席执行官Kevin Mandia回顾了当前网络安全发展态势和挑战，他在主题演讲中表示：尽管企业组织每年留给网络安全的预算投入一直在增加，但数据泄露的威胁却越来越泛滥，在此背景下，企业组织需要转变防护思路，化被动为主动。企业组织除了部署传统的防范措施和安全工具外，还应该采取一些创新的措施来加强防御，去识别那些传统安全产品无力阻止的入侵或恶意活动。

虽然密罐系统是一种提前跟踪攻击者、预防数据泄露的主动安全解决方案，但由于其系统设置和维护比较困难，目前尚未得到广泛采用。为了引诱攻击者，蜜罐需要做得很逼真，并与实际生产网络隔离部署，这使得希望构建主动式入侵检测能力的安全团队很难对其进行设置和应用扩展。

为了确保蜜罐系统应用的安全性和完整性，组织需要采用新的方法，比如新一代的蜜标（honeytoken）技术。蜜标之于蜜罐就如同鱼饵和渔网的关系。相比于整体的蜜罐系统应用，密罐技术所需的资源大大降低，但在系统的入侵检测和攻击报告的分析方面却同样非常有效。

我们可以把新一代蜜标技术理解成是蜜罐系统的一个子集，旨在看起来如同正规的凭据或密文。当攻击者触发蜜标时，会立即发起警报。这使得安全分析师可以根据一些所收集的攻击指标迅速采取行动，比如IP地址（区分内部源头和外部源头）、时间戳、用户代理、起源以及记录在蜜标和相邻系统上执行的所有操作的日志。

Mandia认为，目前企业组织在数据泄露事件发生后的实际发现时间平均需要327天。而通过在多个位置布置蜜标，安全团队可以在几分钟时间内快速检测到威胁，并对正在发生的入侵进行响应。简单性是蜜标技术应用的最大优点，企业不需要开发整套的诱骗系统，就可以轻松创建、部署和管理企业级蜜标，实现对大量的软件应用系统进行主动式保护。蜜标的安全性和可靠性是传统防火墙无法比拟的，因此，它是一种新型的网络安全产品。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!