1.1 主动网络空间防御中网络空间抵赖与欺骗的视图
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一1.1 主动网络空间防御中网络空间抵赖与欺骗的视图,将抵赖与欺骗纳入标准操作规程(SOP):随着攻击技术的不断演进,网络空间防御系统也必将随之演化,以提供更加主动和持续的防御。我们预想将网络空间抵赖与欺骗同网络空间威胁情报、网络空间运营安全(OPSEC)一同作为网络空间防御与安全操作的标准操作规程中的重要部分。网络空间工程系统通过应用抵赖与欺骗应对APT攻击,并更加有效地感知攻击者的策略,使得攻击者的行动更加迟缓、资源消耗更多,并且在发起攻击时面临更大的风险。通过以上方式,防御方才可能规避,或者至少是更好地抵御网络空间攻击。
协助防御者实现抵赖与欺骗TTTP与其他缓解性防御TTP机制间的协同:网络空间抵赖与欺骗是一个相对较新的概念,网络空间防御方在抵赖与欺骗工程操作方面缺少经验。网络空间抵赖与欺骗概念对防御方提供了关于何时以及如何使用抵赖与欺骗TTTP来抵御网络空间攻击的方法。
表1.2给出了用于网络空间抵赖与欺骗操作的二维矩阵框架(源于表1.1)。抵赖与欺骗防御利用拒绝型技术手段,通过隐藏真实信息,以阻止(攻击者)对友军信息基本要素(EEFI)的检测;利用欺骗型技术手段,通过曝光错误信息,以误导攻击者侦察欺骗信息基本要素(EEDI)。欺骗者(即防御方)同时必须通过隐藏错误信息,即不外泄的欺骗性信息(NDDI)来保护拒绝与欺骗计划;通过曝光一些友军信息非基本要素(NEFI)来提升抵赖与欺骗中虚假信息的可信度。欺骗型技术的应用是个动态的过程,且欺骗策划方将受益于表1.2中第一象限所示技术间的协同欺骗型防御实施。
在攻击全生命周期中抵御APT威胁(包括漏洞利用前与利用后):最终,我们对抵赖与欺骗TTTP抵御利用受保护商业网络中漏洞发起APT攻击的前、中和后期(即攻击的全生命周期,或者说是洛克希德马丁公司提出的“网络空间杀伤链”)进行了展望。我们所提出的概念同样适用于APT TTP中的“漏洞利用前”。然而,本章主要关注APT利用漏洞的后期,即“漏洞利用后”的问题。
一种可与分析师、操作员和拒绝与欺骗策划方通信、协同的整体化方法:欺骗操作要求精心筹划、全面准备和准确实施;欺骗操作要与网络空间操作、网络空间威胁情报和网络空间运营安全间进行通信;正在实施的网络空间抵赖与欺骗行为需要与其他防御性与缓解性操作实施密切协同;欺骗操作需要网络空间威胁情报对其欺骗性行为成功与否进行反馈;欺骗操作需要对APT的恶意行为进行密切监控并实时反馈,以维持网络空间防御欺骗操作中的网络空间运营安全。通过提出抵赖与欺骗概念中涉及的相关专有名词、综合性架构和系统性方法,以促进网络空间分析师、防御操作员和抵赖与欺骗策划者之间的协同及通信。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一1.1 主动网络空间防御中网络空间抵赖与欺骗的视图
