保护用户和机器身份的技术研究

关键总结

随着对手在攻击中越来越多地采用身份基础的手段，组织正在将用户和机器身份的安全以及身份基础设施如Microsoft Active Directory放在首位。如今的安全团队依靠多种工具来应对这一转变，其中一些策略比其他策略更为有效。

欺骗技术成为了旨在通过诱导对手接触虚假资源来误导和揭示其意图的一种工具。蜜罐是欺骗技术的最初形式。一旦对手进入蜜罐，检测其存在就变得简单，因为合法的流量不会进入蜜罐。

表面上看，欺骗技术似乎是组织诱捕和欺骗对手、保护数据以及获取潜在恶意活动情报的有效方式。但仔细观察后，会发现如果仅依赖传统的欺骗技术作为防御手段，安全团队可能会忽视一些严重的弱点。

欺骗技术的缺点

欺骗技术依赖于对手对真实目标环境的有限了解。这些工具的开发基于这样一个思想：对手对整个网络拓扑并不知情，因此必须在对目标了解不足的情况下做出决策。然而，对于安全团队来说，精明的对手可以反过来利用这一点，从而让事情变得复杂。

根据我们最近的研究，攻击者从初步入侵到向受害者环境中的另一个主机横向移动的平均时间仅为84分钟。这表明对手依然非常复杂，且比大多数安全专业人士想的更了解网络。对手可能很容易识别出假资产，并使用它们产生虚假警报，从而分散安全团队的注意力，真正在其他地方进行渗透。

另一个限制是由设计不当的系统造成的横向移动风险。除了建立足够合法以吸引对手的系统外，企业还需要确保其安全。它们无法在一夜之间建立一个完全安全的蜜罐系统。这需要时间和精力，来应对设计复杂性，并确保该系统不作为入侵者访问其他系统的跳板。

最后，蜜罐的成本可能也很高。建设和维护一个包含假计算机和资源的独立网络是昂贵的。支持成本也可能增加，因为欺骗技术仍然需要熟练的员工来监控和维护。

如何检测、转移和解除对手的威胁

企业可以通过故意向对手展示被标记为蜜罐令牌的账户来引诱对手，这样可以提醒组织注意潜在攻击。它不是一个完整的系统，而是嵌入代码的合法数据或账户，如果检测到不寻常的活动例如来自未知用户的访问，就会触发警报。这些警报让安全团队能够迅速识别对手的攻击路径，并实施细粒度的保护策略，以实时阻止蜜罐令牌账户活动和横向移动。

与蜜罐相比，蜜罐令牌提供了合法性、安全性和易于实施的优势。因为蜜罐令牌是真实的数据和账户，黑客不太可能发出虚假警报，仍然会继续其活动，而不知道自己已经被安全团队识别和追踪。团队已经知道这是一次合法攻击，这让他们能够快速应对这些威胁，而不是浪费时间确认这是否真正的攻击。此外，使用蜜罐令牌，团队无需建立完整的系统，从而节省时间和资源。

蜜罐令牌还给安全团队带来了安心。通过为安全团队提供独特的策略支持，如触发多因素身份验证，组织可以对蜜罐令牌账户施加严格的安全控制，消除对手在网络中横向移动的