2024年欺骗技术的十大趋势

欺骗技术，一种通过虚假资产来迷惑攻击者的安全策略，预计将在2024年开始流行，并在2025年末成为安全运营的标配。

尽管欺骗技术目前仍然受到业界一些质疑，但2024年十个重要趋势(四大技术趋势和六大应用趋势)将一举确立其在安全运营中的主流地位。

改变欺骗技术的四大技术趋势

网络安全和企业IT的融合正在大大简化欺骗技术。2024年，四大技术趋势即将彻底改变欺骗技术的工作方式，这些趋势包括安全数据湖部署、云计算、API连接性和生成式AI：

一、安全数据湖部署：企业正在实施来自各大科技厂商和云服务商的海量安全数据湖方案。欺骗技术将不断分析这些海量数据，以更好地了解正常和异常行为，作为欺骗模型的基线。

二、云计算：应用于欺骗技术的大语言模型需要大量资源来处理和存储数据。因此，欺骗技术很可能会以SaaS云服务的形式提供，位于现有安全运营技术之上，从而实现欺骗技术的快速普及。

三、API连接：除了安全数据湖之外，欺骗技术还将植入IaaS、资产管理系统(Gartner定义为网络资产攻击面管理)、漏洞管理系统、攻击面管理系统、云安全态势管理(CSPM)等。打通API后，欺骗系统能够全面了解企业的混合IT应用程序和基础设施。

四、生成式AI：基于大语言模型的生成式AI可以生成以假乱真的诱饵(虚假资产或虚假服务)、合成的网络流量和“面包屑”(即放置在真实网络上的虚假资产)。这些欺骗元素可以在混合网络环境中战略性地、大规模自动部署。

新兴欺骗技术的六大应用趋势

上述技术趋势为欺骗技术融入企业IT和安全运营系统提供了技术基础，以下是2024年欺骗技术的六大应用趋势：

一、集成到多个IT扫描/态势管理工具，以“学习”环境信息，包括：资产(包括OT和物联网资产)、IP范围、网络拓扑、用户、访问控制、正常/异常行为等。先进的网络靶场已经可以做到其中一些功能，而欺骗系统将建立在这种合成环境之上，持续进行扫描、数据收集、处理和分析，以跟上混合IT环境、安全防御和威胁态势的变化。

二、采集和分析威胁情报。根据企业的位置和行业，欺骗系统将分析和总结网络威胁情报，寻找特定的对手群体、威胁活动以及通常针对此类公司的对手策略、技术和程序(TTP)。欺骗系统将与各种MITREATT&CK框架(云、企业、移动、ICS等)锚定，以获得对手TTP的精细画像。

三、检查企业安全防御问题。基于威胁情报分析和对手TTP精细画像，欺骗系统可用于检查企业的安全防御措施，包括防火墙规则、端点安全控制、IAM系统、云安全设置、检测规则等。然后，使用MITREATT&CK导航器来发现安全覆盖范围的差距。

四、生成定制化诱饵。所有安全运营数据都可用于训练欺骗大模型，生成定制的面包屑、诱饵和金丝雀令牌。这些诱饵可以让管理一万个资产的企业看起来像一家电信公司，拥有数十万甚至数百万个应用程序、数据元素、设备、身份等资产，可用于吸引和迷惑对手。

五、欺骗技术还将与检测工程紧密协作。生成式人工智能可以同时创建欺骗元素和同伴检测规则。这方面MITRE Engage欺骗框架和社区可以提供支持。安全厂商和MITRE可能会在Engage的商业实施方面进行合作。

六、重点行业：医疗和制造。行业方面，欺骗技术特别适用于使用大量OT/IoT技术的行业，例如医疗和制造业，这些行业使用大量无法托管安全代理的OT/IoT技术，对欺骗技术的需求尤为迫切。后者可通过模拟OT/IoT设备，生成以假乱真的生产设备资产。

虽然不同企业有着不同的欺骗技术需求，但可以预见的是，ISAC这样的行业组织也会参与到行业安全大模型的微调，以此提升整个行业的安全防护能力。

总结：融合与普及才能兑现欺骗技术的价值

与IT和安全系统融合和联通后，欺骗系统的所有扫描、数据收集、处理和分析都将持续进行，以跟上混合IT环境、安全防御和威胁形势的变化。当企业实施新的SaaS服务、部署生产应用程序或对其基础设施进行更改时，欺骗引擎会记录这些更改并相应地调整其欺骗技术。

与传统的蜜罐不同，新兴的欺骗技术不需要尖端知识或复杂的设置。虽然一些先进的企业可能会定制自己的欺骗网络，但更多公司会选择默认设置。在大多数情况下，基本配置足以迷惑对手。这意味着，通过云服务提供的标准化产品将能大大加快欺骗技术的普及，帮助企业改善威胁检测和响应，提高安全运营能力。