เทคโนโลยีการหลอกลวง

Q: การใช้งานเฉพาะทาง

อุปกรณ์ Internet of Things (IoT) มักไม่ได้รับการตรวจสอบโดยระบบป้องกันแบบหลายชั้นแบบดั้งเดิม และยังคงเป็นเป้าหมายหลักของผู้โจมตีภายในเครือข่าย เทคโนโลยีการล่อลวงสามารถระบุตัวผู้โจมตีที่เคลื่อนที่เข้ามาในเครือข่ายโดยใช้อุปกรณ์เหล่านี้ได้

เทคโนโลยีการหลอกลวง (รวมถึงเทคโนโลยีการหลอกลวงและการขัดขวาง ) เป็นหมวดหมู่ของ กลไกการป้องกัน ความปลอดภัยทางไซเบอร์ที่ให้การเตือนล่วงหน้าเกี่ยวกับการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น และแจ้งเตือนองค์กรเกี่ยวกับกิจกรรมที่ไม่ได้รับอนุญาต ผลิตภัณฑ์เทคโนโลยีการหลอกลวงสามารถตรวจจับ วิเคราะห์ และป้องกันการ โจมตี แบบ Zero-dayและการโจมตีขั้นสูงได้บ่อยครั้งแบบเรียลไทม์ เทคโนโลยีเหล่านี้เป็นระบบอัตโนมัติ แม่นยำ^{[ 1 ]}และให้ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมที่เป็นอันตรายภายในเครือข่ายภายในซึ่งอาจมองไม่เห็นโดยการป้องกันทางไซเบอร์ประเภทอื่น เทคโนโลยีการหลอกลวงมุ่งที่จะหลอกลวงผู้โจมตี ตรวจจับพวกเขา แล้วจึงเอาชนะพวกเขา

เทคโนโลยีการหลอกลวงพิจารณาจากมุมมองของผู้โจมตีที่เป็นมนุษย์ และวิธีการใช้ประโยชน์และสำรวจเครือข่ายเพื่อระบุและขโมยข้อมูล โดยบูรณาการกับเทคโนโลยีที่มีอยู่เดิม เพื่อให้มองเห็นภาพรวมของเครือข่ายภายในได้ดียิ่งขึ้น แบ่งปันการแจ้งเตือนที่มีความน่าจะเป็นสูง และข้อมูลข่าวกรองด้านภัยคุกคามกับโครงสร้างพื้นฐานที่มีอยู่

เทคโนโลยี: มุมมองระดับสูง

เทคโนโลยีการหลอกลวงจะสร้างกับดัก (ตัวล่อ) และสิ่งล่อใจโดยอัตโนมัติ ซึ่งจะถูกผสานรวมเข้ากับทรัพยากรไอทีที่มีอยู่ ตัวล่อเหล่านี้จะสร้างชั้นการป้องกันเพิ่มเติมเพื่อขัดขวางผู้โจมตีที่เจาะระบบเครือข่าย กับดักอาจเป็นสินทรัพย์ไอทีที่ใช้ซอฟต์แวร์ระบบปฏิบัติการที่ได้รับอนุญาตอย่างถูกต้อง หรือจำลองอุปกรณ์ต่างๆ เช่นอุปกรณ์ทางการแพทย์เครื่องเอทีเอ็มระบบจุดขายปลีกสวิตช์ เราเตอร์ และอื่นๆ ในทางกลับกัน สิ่งล่อใจมักประกอบด้วย ทรัพยากร เทคโนโลยีสารสนเทศ จริง เช่น ไฟล์ประเภทต่างๆ ที่วางอยู่บนสินทรัพย์ไอที จริง เนื่องจากความก้าวหน้าในด้านความปลอดภัยทางไซเบอร์ โปรแกรมเทคโนโลยีการหลอกลวงจึงมีแนวทางเชิงรุกมากขึ้นและสร้างการแจ้งเตือนที่ผิดพลาดน้อยลง เป้าหมายคือการค้นหาเจตนาของผู้โจมตีและกลยุทธ์ เทคนิค และขั้นตอนของพวกเขาอย่างแม่นยำ ข้อมูลเหล่านี้จะช่วยให้แพลตฟอร์มเทคโนโลยีการหลอกลวงสามารถตอบสนองได้อย่างมีประสิทธิภาพ^{[ 2 ]}

เมื่อเจาะเข้าไปในเครือข่ายได้แล้ว ผู้โจมตีจะพยายามสร้างช่องทางลับ (backdoor)จากนั้นใช้ช่องทางนี้ในการระบุและขโมยข้อมูลและทรัพย์สินทางปัญญา พวกเขาจะเริ่มเคลื่อนที่ไปตามVLAN ภายใน และเกือบจะในทันทีก็จะ "พบ" กับดักอย่างใดอย่างหนึ่ง การโต้ตอบกับ "ตัวล่อ" เหล่านี้จะทำให้เกิดการแจ้งเตือน การแจ้งเตือนเหล่านี้มีความน่าจะเป็นสูงมากและมักจะเกิดขึ้นพร้อมกับการโจมตีที่กำลังดำเนินอยู่ การล่อลวงถูกออกแบบมาเพื่อล่อผู้โจมตีเข้ามา ผู้โจมตีอาจพิจารณาว่านี่เป็นทรัพย์สินที่มีค่าและดำเนินการต่อโดยการฉีดมัลแวร์เทคโนโลยีการล่อลวงโดยทั่วไปจะช่วยให้สามารถวิเคราะห์มัลแวร์ที่ฉีดเข้าไปโดยอัตโนมัติทั้งแบบคงที่และแบบไดนามิก และจัดทำรายงานเหล่านี้ผ่านระบบอัตโนมัติให้กับเจ้าหน้าที่ฝ่ายปฏิบัติการด้านความปลอดภัย เทคโนโลยีการล่อลวงอาจระบุจุดปลายทางที่น่าสงสัยซึ่งเป็นส่วนหนึ่งของวงจรการโจมตีผ่านตัวบ่งชี้การประนีประนอม (IOC) ระบบอัตโนมัติยังช่วยให้สามารถวิเคราะห์หน่วยความจำของจุดปลายทางที่น่าสงสัยโดยอัตโนมัติ จากนั้นจึงแยกจุดปลายทางที่น่าสงสัยออกโดยอัตโนมัติ

การใช้งานเฉพาะทาง

อุปกรณ์ Internet of Things (IoT)มักไม่ได้รับการตรวจสอบโดยระบบป้องกันแบบหลายชั้นแบบดั้งเดิม และยังคงเป็นเป้าหมายหลักของผู้โจมตีภายในเครือข่าย เทคโนโลยีการล่อลวงสามารถระบุตัวผู้โจมตีที่เคลื่อนที่เข้ามาในเครือข่ายโดยใช้อุปกรณ์เหล่านี้ได้

อุปกรณ์ แบบครบวงจรที่ใช้ระบบปฏิบัติการแบบฝังตัวแต่ไม่อนุญาตให้สแกนหรือปกป้องระบบปฏิบัติการเหล่านี้อย่างใกล้ชิดด้วยซอฟต์แวร์ตรวจจับปลายทางหรือการตรวจจับการบุกรุกแบบฝังตัวก็ได้รับการปกป้องอย่างดีด้วยการใช้งานเทคโนโลยีการหลอกลวงในเครือข่ายเดียวกัน ตัวอย่างเช่นระบบควบคุมกระบวนการ (SCADA)ที่ใช้ในงานการผลิตหลายประเภททั่วโลก เทคโนโลยีการหลอกลวงมีความเกี่ยวข้องกับการค้นพบZombie Zero [ ^{3 ] ซึ่ง}เป็นเวกเตอร์การโจมตีเทคโนโลยีการหลอกลวงระบุผู้โจมตีรายนี้โดยใช้มัลแวร์ที่ฝังอยู่ในเครื่องอ่านบาร์โค้ดที่ผลิตในต่างประเทศ

อุปกรณ์ทางการแพทย์มีความเสี่ยงเป็นพิเศษต่อการโจมตีทางไซเบอร์ภายในเครือข่ายการดูแลสุขภาพ เนื่องจากเป็นอุปกรณ์ที่ได้รับการรับรองจากFDA จึงอยู่ในระบบปิดและไม่สามารถเข้าถึงได้ด้วยซอฟต์แวร์ป้องกันภัยไซเบอร์มาตรฐาน เทคโนโลยีการหลอกลวงสามารถล้อมรอบและปกป้องอุปกรณ์เหล่านี้ และระบุผู้โจมตีโดยใช้การวางช่องทางลับและการดึงข้อมูลออกไป การโจมตีทางไซเบอร์ที่เกิดขึ้นกับอุปกรณ์ทางการแพทย์ที่ได้รับการบันทึกไว้เมื่อเร็ว ๆ นี้ ได้แก่ เครื่องเอ็กซ์เรย์ เครื่อง สแกน CTเครื่องสแกนMRI เครื่องวิเคราะห์ก๊าซในเลือด ระบบ PACSและอื่น ๆ อีกมากมาย เครือข่ายที่ใช้อุปกรณ์เหล่านี้สามารถได้รับการปกป้องด้วยเทคโนโลยีการหลอกลวง เวกเตอร์การโจมตีนี้เรียกว่าการโจรกรรมอุปกรณ์ทางการแพทย์หรือ medjack ซึ่งคาดว่าได้แทรกซึมเข้าไปในโรงพยาบาลหลายแห่งทั่วโลกแล้ว^{[ 4 ]}

ผลิตภัณฑ์เทคโนโลยีการหลอกลวงเฉพาะทางในปัจจุบันสามารถรับมือกับการเพิ่มขึ้นของแรนซัมแวร์ได้ด้วยการหลอกแรนซัมแวร์ให้โจมตีทรัพยากรล่อ ในขณะเดียวกันก็แยกจุดที่ติดเชื้อและแจ้งเตือนทีมซอฟต์แวร์ป้องกันภัยไซเบอร์^{[ 5 ]}

ประวัติศาสตร์

ฮันนี่พอตอาจเป็นรูปแบบการหลอกลวงที่ง่ายที่สุดรูปแบบแรก ฮันนี่พอตปรากฏเป็นเพียงทรัพยากรเทคโนโลยีสารสนเทศที่ไม่มีการป้องกัน และนำเสนอตัวเองในลักษณะที่ดึงดูดใจต่อผู้โจมตีที่อยู่ในเครือข่ายอยู่แล้ว อย่างไรก็ตาม ฮันนี่พอตในยุคแรกส่วนใหญ่มีปัญหาด้านการทำงาน ความสมบูรณ์ และประสิทธิภาพโดยรวมในการบรรลุเป้าหมายเหล่านี้ ปัญหาสำคัญคือการขาดระบบอัตโนมัติที่ช่วยให้สามารถใช้งานในวงกว้างได้ กลยุทธ์การใช้งานที่มุ่งเป้าไปที่องค์กรที่มี VLAN มากถึงหลายหมื่นรายการที่ต้องได้รับการปกป้องจะไม่คุ้มค่าทางเศรษฐกิจหากใช้กระบวนการและการกำหนดค่าด้วยตนเอง

ช่องว่างระหว่างระบบล่อลวงแบบดั้งเดิมกับเทคโนโลยีล่อลวงสมัยใหม่นั้นลดลงเรื่อย ๆ และจะลดลงต่อไปเรื่อย ๆ ปัจจุบันระบบล่อลวงสมัยใหม่จัดอยู่ในกลุ่มเทคโนโลยีล่อลวงระดับล่างสุด

ความแตกต่างจากเทคโนโลยีการแข่งขัน/ความร่วมมือ

เทคโนโลยีการป้องกันภัยไซเบอร์แบบดั้งเดิม เช่นไฟร์วอลล์และระบบรักษาความปลอดภัยปลายทางมุ่งเน้นไปที่การป้องกันขอบเขตเครือข่ายเป็นหลัก แต่ไม่สามารถทำได้ด้วยความมั่นใจ 100% การวิเคราะห์เชิงฮิวริสติกอาจตรวจพบผู้โจมตีภายในเครือข่าย แต่บ่อยครั้งที่สร้างการแจ้งเตือนจำนวนมากจนทำให้พลาดการแจ้งเตือนที่สำคัญ ในองค์กรขนาดใหญ่ ปริมาณการแจ้งเตือนอาจสูงถึงหลายล้านครั้งต่อวัน บุคลากรด้านการรักษาความปลอดภัยไม่สามารถประมวลผลกิจกรรมส่วนใหญ่ได้อย่างง่ายดาย แต่การเจาะระบบเพียงครั้งเดียวก็สามารถทำให้เครือข่ายทั้งหมดเสียหายได้ นั่นหมายความว่าผู้โจมตีทางไซเบอร์สามารถเจาะเข้าไปในเครือข่ายเหล่านี้และเคลื่อนไหวได้อย่างไม่หยุดยั้งเป็นเวลาหลายเดือน ขโมยข้อมูลและทรัพย์สินทางปัญญา

เทคโนโลยีการหลอกลวงสร้างการแจ้งเตือนที่เป็นผลลัพธ์สุดท้ายของ กระบวนการ แบบไบนารีโดยพื้นฐานแล้วความน่าจะเป็นจะลดลงเหลือเพียงสองค่า คือ 0% และ 100% บุคคลใดก็ตามที่พยายามระบุ ตรวจสอบเข้าถึง ดู หรือใช้กับดักหรือเหยื่อล่อ จะถูกระบุว่าเป็นผู้ไม่ประสงค์ดีทันที เนื่องจากบุคคลใดก็ตามที่แตะต้องกับดักหรือเหยื่อล่อเหล่านี้ไม่ควรทำเช่นนั้น ความแน่นอนนี้เป็นข้อได้เปรียบเหนือการแจ้งเตือนที่ไม่เกี่ยวข้องจำนวนมากที่สร้างขึ้นโดยวิธีการเชิงอนุมานและความน่าจะเป็น

แนวทางปฏิบัติที่ดีที่สุดแสดงให้เห็นว่าเทคโนโลยีการล่อลวงไม่ใช่กลยุทธ์ที่ใช้ได้โดยลำพัง เทคโนโลยีการล่อลวงเป็นชั้นเพิ่มเติมที่เข้ากันได้กับ ระบบป้องกัน ภัยทางไซเบอร์เชิงลึก ที่มีอยู่ การบูรณาการกับพันธมิตรจะทำให้เทคโนโลยีนี้มีประโยชน์สูงสุด เป้าหมายคือการเพิ่มการป้องกันสำหรับผู้โจมตีที่เป็นมนุษย์ที่มีความก้าวหน้าและซับซ้อนที่สุด ซึ่งจะสามารถเจาะระบบได้สำเร็จ

ดูเพิ่มเติม

อ่านเพิ่มเติม

แลนซ์ สปิตซ์เนอร์ (2002). ฮันนี่พอตสำหรับติดตามแฮกเกอร์ . แอดดิสัน-เวสลีย์ . ISBN 0-321-10895-7.
ฌอน บอดเมอร์; แม็กซ์ คิลเกอร์; เกรกอรี คาร์เพนเตอร์; เจด โจนส์ (2012). การหลอกลวงแบบย้อนกลับ: การตอบโต้การแสวงหาประโยชน์จากภัยคุกคามทางไซเบอร์แบบเป็นระบบ . สำนักพิมพ์ McGraw-Hill Education . ISBN 978-0071772495.

[ 1 ]

[ 2 ]

3 ] ซึ่ง

[ 4 ]

[ 5 ]