長久以來,黑客在網絡釣魚攻擊中向企業使用者發送虛假郵件,以期釣中并利用使用者。如今,安全公司 illusive networks 利用郵件資料欺騙功能,植入虛假資訊誘騙捕獲攻擊者,反轉攻防形勢。
illusive networks 的核心技術,是其欺騙平台,提供不同類型的誤導網絡和應用路徑與資訊,以期檢測到惡意攻擊者。該公司成立于2014年,依托以色列網絡安全代工廠team8。
我們鋪開誘騙以擴大視野。我們所做的,是在攻擊者會收集查閱的公司資訊中布下誘騙内容。
——illusive networks 創始人兼ceo奧法·伊斯雷利
驅動 illusive networks 功能開發的核心方法,是在網絡安全中引入攻擊者視角。現代企業往往非常複雜,員工分工細緻繁複,攻擊者很難查清誰管理哪種資産,誰控制哪項服務。從攻擊者的角度看待公司,郵件就是非常豐富的資訊來源,可以幫助攻擊者弄清公司運作模式。
比如說,攻擊者可能想要盜取特定知識産權,而有可能公司首席科學家才握有該資訊。如果公司防護良好,外部攻擊者就不能獲知誰是首席科學家。但跟着郵件路徑走,閱讀公司郵件,卻可能使攻擊者獲得了解特定目标所需的資訊。illusive用郵件欺騙所做的,就是在郵件層誘騙攻擊者,當攻擊者檢查公司郵件收件箱時,隻能獲得錯誤的路徑。
使用者往往通過郵件向自己發送使用者名和密碼,這些資訊對攻擊者而言非常有價值。有了illusive郵件資料欺騙,攻擊者找到的使用者名和密碼資訊隻會是虛假資訊,但向公司發出有人正在探測的警示。
illusive郵件資料欺騙可被植入成貌似微軟exchange郵件伺服器和本地使用者收件箱資訊的樣子,不會影響正常郵件操作。該解決方案的過人之處在于,隻有攻擊者能看到誘騙資訊,而真實的終端使用者看不到。因而,終端使用者不會被騙,也不會産生誤報,看到欺騙資訊的唯一人員隻能是攻擊者。
illusive系統旨在檢測已經進入公司網絡的黑客,入站郵件欺詐攻擊防護不在該系統防護範圍之内,比如商務電郵欺詐(bec)——攻擊者假冒合法郵件賬戶詐騙公司的攻擊形式。
基于欺騙的網絡安全技術市場方興未已,illusive的競争對手很多,包括trapx、acalvio和 attivo networks。伊斯雷利宣稱,illusive不同于其他廠商,其對黑客的欺騙貫穿業務應用全程,提供各種不同的功能。此外,illusive正在研發專注欺騙的額外金融服務,被稱為 swift guard 的欺騙平台旨在幫助銀行對抗欺詐轉賬。
本文轉自d1net(轉載)
![網絡流量分析之流量采集到流量還原[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)