《網絡空間欺騙：構築欺騙防禦的科學基石》一2.3.2 網絡空間殺傷鍊的欺騙

2.3.2　網絡空間殺傷鍊的欺騙

本文講的是<b>網絡空間欺騙：構築欺騙防禦的科學基石一2.3.2　網絡空間殺傷鍊的欺騙</b>,網絡空間殺傷鍊是洛克希德·馬丁公司的研究人員倡導的智能驅動安全模型[32]。這個模型的主要前提是攻擊者要想成功，則需要通過鍊中所有步驟。破壞殺傷鍊中的任何步驟都會破壞攻擊，越早破壞攻擊就越好地阻止了攻擊者攻擊我們的系統。

網絡空間殺傷鍊模型是一個很好的證明多級欺騙有效性的架構。使用與網絡空間殺傷鍊相同的基本原則——盡早發現敵人——我們認為，越早檢測到惡意敵手，就可更好地欺騙他們，并了解他們的方法和技術。假設沒有一系列的欺騙技術，則不可能收集到全部的情報資訊。

而且，更好地了解敵人，才可以更好地防禦他們。通過使用欺騙手段，可以不斷了解不同級别的殺傷鍊攻擊者，提高檢測到他們的能力，并降低敵手攻擊的能力。這種負相關關系是檢測攻擊者和其探測防禦的資源之間的一個有趣關系。

顯然，當攻擊者攻擊我們的系統時，我們希望至少比他們快一步。我們認為，這可以通過智能結合的欺騙方法，在安全模型中實作。因為越是進一步提高檢測惡意敵手的能力，就越能進一步領先于他們。以外部網絡探測為例，如果簡單檢測一次攻擊，并确定一組IP位址和域名是“有問題”的，那麼我們并沒實作什麼：這些可以很容易變化，而且惡意敵手會變得更加小心，在他們下次探測我們的系統時便不觸發一個警報。然而，更進一步，如果我們能根據那些很難改變的攻擊因素進行攻擊溯源，那将使得敵手再發起攻擊變得更加困難。例如，如果能夠通過允許獲得更多的根據固定屬性（如不同的協定頭、已知的工具和/或行為和特征）來區分攻擊者的資訊來欺騙攻擊者，我們将會處在一個更有利的防禦位置。攻擊者現在不太清楚我們是如何檢測到他們的，當他們知道時，更改這些屬性将會更加困難。

網絡空間殺傷鍊的部署被視為是富有成效的，Lockheed能夠探測到使用SecurID攻擊成功入侵他們系統中的攻擊者[33]。我們采用并對這個模型進行了改進，以更好地反映欺騙情況的不同。

許多的欺騙技術，如蜜罐，隔離工作區并獨立于目前資訊系統的其他部分。這樣的設計決策在一定程度上是由與蜜罐有關的安全風險驅動的。我們認為，智能防禦與欺騙防禦技術的互相作用可以顯著提高系統安全性，并帶來實作深層檢測的能力。如果檢測表2.1，可以看到我們能将欺騙應用在網絡空間殺傷鍊的每一個階段，這使得我們能夠打破殺傷鍊并盡量将攻擊歸為不同的屬性。在偵察階段，可以通過建立一個網站來誘導敵人，并模仿現實環境的蜜罐活動。例如，一個組織可以訂閱一些雲服務供應商，當監測任何外部利益信号是活動的時候，蜜罐會變為活動的。另一個例子是解決魚叉式網絡釣魚的問題，欺騙技術會建立許多虛拟使用者，并将他們的資訊傳播到網際網路上，同時監測他們的聯系方式來檢測任何探測活動，一些商業安全公司目前就是做這個的。

原文标題：網絡空間欺騙：構築欺騙防禦的科學基石一2.3.2　網絡空間殺傷鍊的欺騙