Attivo Networks的CTO,NASA咨询委员会成员和(ISC)²成员Tony Cole告诉Harry Lye如何将传统的军事欺骗技术应用于数字领域以应对网络安全威胁。
Attivo Networks的首席技术官Tony Cole,NASA顾问委员会成员(ISC)和董事会成员。
哈里·莱(Harry Lye):您能谈谈您的背景吗?
Tony Cole:我是Attivo Networks的首席技术官。我在公司工作了将近两年。我的背景非常快:我从1980年代开始从事网络安全。我从军方的密码学领域开始,并建立了很多年的网络,然后在我们作为该领域最早的人之一开始将网络连接在一起时,便转向了网络安全。
我也为NASA咨询委员会工作,因此也为NASA管理员就NASA所做的一切的网络安全提供建议。我还是(ISC)²的董事会成员,这是一个非营利性组织,拥有150,000名获得信息系统安全专家(CISSP)认证的成员。
关于军事经验,您发现对网络安全特别有用吗?我得到了一些真正的选择任务,在网络和建筑系统等各个不同领域,我接受了非常深入的技术培训。
许多士兵是在非常狭窄的视野中接受训练的,他们没有多角度的作战经验,而我从事的是卫星系统,密码系统,大型机,网络等方面的工作,因为我正在构建链接卫星系统的系统,计时系统,等等。我很幸运。
您能解释一下网络环境下的军事欺骗吗?我们知道欺骗在物理领域非常有效。回到第二次世界大战,在那里,英国人和美国人共同参与了“鬼军”行动,这有助于我们在D日取得成功。这次行动部署了欺骗手段,使德国人迷惑在进行行动的地方,因为他们拥有充气式坦克和卡车,以及相关联的部队会意外“泄漏”信息。
今天,您与大多数盟国进行了交谈,他们都同意网络与任何其他领域(航空,陆地,海洋和太空)一样都是战斗领域,它们必须在其中占主导地位。如果您考虑在任何企业或军事组织中运行的生产资产,我们所要做的就是在生产资产上添加面包屑和诱饵。我们先使用未使用的IP空间,然后再使用在该企业内部运行的实际操作系统,然后将这些操作系统作为诱饵放在未使用的IP空间中。
想象一下约翰有一天上班,打开电脑,他收到了一位来自机翼指挥官的电子邮件,邮件看起来非常重要。他单击以打开附件,因此看起来很真实。他不知道,这种依恋被武器化了。它感染了他的系统,被感染的文件发送到命令和控制服务器并关闭了其他恶意软件,现在那里开了一条隧道,它绕开了所有现有的预防技术。这在今天非常普遍。
对手所做的第一件事是他弹出该框并环顾四周:“系统的名称是什么?我在网络上的哪里?单击了哪个链接?哪个附件被打开了?攻击者要做的第一件事通常是使用Mimikatz这样的工具(一种利用后的工具),然后它们会刮擦内存。
如果您刮擦内存,他们首先会在我们发现的活动目录凭据中找到欺骗性的内容。该凭证将使他们进入未被使用的IP空间,我们将诱饵放置在其中,现在它们被困住了,他们甚至不知道。这是非常简单的部分。
欺骗和诱捕是否比首先阻止人们进入网络更好?每年,美国联邦政府都会发布其《联邦信息安全管理法案》(FISMA)报告,并详细说明每个不同联邦机构的等级。他们在上一份报告中说,没有违反对国家安全有重大影响的违规行为;我总是提醒人们,那是他们所知道的攻击。我发现令人着迷的是,在同一份报告中,有27%的时间他们不知道攻击的来源。
这是一个令人恐惧的统计数字。那就是我们进入的地方。有人会进入,但是我们会立即识别出来,然后在他们可以横向穿越环境之前,我们已通知安全运营团队,他们已将其关闭。因此,如果您想研究攻击的源头,而不是将其扑灭,您将知道攻击的起点并收集所有策略。
您是否认为欺骗是网络安全旅行的新方向?Gartner的Gorka Sadowski是今年有关欺骗的最重要的独立语录之一,他说:“他们不知道具有更好信噪比的解决方案”。因为今天,每个系统集成商和政府中的所有安全分析人员都充满了警报。
这是欺骗的真正重要的一点。欺骗性资产的任何接触本身就是异常。因此,这意味着要发出新的高保真警报,而不是查看那堆假阳性警报的假想针,因为被触摸的欺骗性资产至关重要。没有人应该碰他们。这意味着当这些警报传来时,所有人都将全力以赴。因此,这又使他们再次获得了主场优势。
将欺骗与其他网络安全技术进行比较,成功率是多少?这样想吧。您之所以要回家,是因为您家的闹钟响了,您回家了,前门被踢开了,警察在那儿。但是警报响了,防盗响了。闹钟的作用完全符合您的意图,屋内没有受到任何伤害。一切仍然存在,您只需要更换门框即可。欺骗的工作方式几乎相同。
企业管理人员今年早些时候对欺骗用户进行了研究,根据该调查,他们发现驻留时间减少了91%。因此,从首次发生违规行为到发现违规行为的时间范围减少了91%。目前,该时间段通常约为75天。真是巨大。
缩短时间范围对于任何组织都是至关重要的。这就是我们试图让越来越多的组织了解的东西。我上了肥皂盒,我想在很多会议上谈论它。违反行为将会发生;确保您的管理团队了解获胜者可以立即识别出违规行为,并阻止对手成功窃取目标客户。
欺骗方法是否有助于在部署网络安全解决方案时节省成本和效率?在一段时间内,它可以帮助他们在许多领域中确定哪些在起作用,哪些在不起作用。您听说过我之前提到的美国FISMA报告,在该报告中27%的时间他们无法确定发生违规的起点。
通过欺骗,它使Attivo客户能够识别其预防性堆栈中不起作用的功能,并且一段时间后,他们不会更新某些技术,而效率不高的其他技术正在使用更现代的技术进行升级。欺骗正在产生重大影响,并且其使用正在急剧增长。
