2024年欺骗技术的十大趋势

一、安全数据湖部署：企业正在实施来自各大科技厂商和云服务商的海量安全数据湖方案。欺骗技术将不断分析这些海量数据，以更好地了解正常和异常行为，作为欺骗模型的基线。

二、云计算：应用于欺骗技术的大语言模型需要大量资源来处理和存储数据。因此，欺骗技术很可能会以SaaS云服务的形式提供，位于现有安全运营技术之上，从而实现欺骗技术的快速普及。

三、API连接：除了安全数据湖之外，欺骗技术还将植入IaaS、资产管理系统（Gartner定义为网络资产攻击面管理）、漏洞管理系统、攻击面管理系统、云安全态势管理（CSPM）等。打通API后，欺骗系统能够全面了解企业的混合IT应用程序和基础设施。

四、生成式AI：基于大语言模型的生成式AI可以生成以假乱真的诱饵（虚假资产或虚假服务）、合成的网络流量和“面包屑”（即放置在真实网络上的虚假资产）。这些欺骗元素可以在混合网络环境中战略性地、大规模自动部署。

五、集成到多个IT扫描/态势管理工具，以“学习”环境信息，包括：资产（包括OT和物联网资产）、IP范围、网络拓扑、用户、访问控制、正常/异常行为等。先进的网络靶场已经可以做到其中一些功能，而欺骗系统将建立在这种合成环境之上，持续进行扫描、数据收集、处理和分析，以跟上混合IT环境、安全防御和威胁态势的变化。

六、采集和分析威胁情报。根据企业的位置和行业，欺骗系统将分析和总结网络威胁情报，寻找特定的对手群体、威胁活动以及通常针对此类公司的对手策略、技术和程序(TTP)。欺骗系统将与各种MITREATT&CK框架（云、企业、移动、ICS等）锚定，以获得对手TTP的精细画像。

七、检查企业安全防御问题。基于威胁情报分析和对手TTP精细画像，欺骗系统可用于检查企业的安全防御措施，包括防火墙规则、端点安全控制、IAM系统、云安全设置、检测规则等。然后，使用MITREATT&CK导航器来发现安全覆盖范围的差距。

八、生成定制化诱饵。所有安全运营数据都可用于训练欺骗大模型，生成定制的面包屑、诱饵和金丝雀令牌。这些诱饵可以让管理一万个资产的企业看起来像一家电信公司，拥有数十万甚至数百万个应用程序、数据元素、设备、身份等资产，可用于吸引和迷惑对手。

九、欺骗技术还将与检测工程紧密协作。生成式人工智能可以同时创建欺骗元素和同伴检测规则。这方面MITRE Engage欺骗框架和社区可以提供支持。安全厂商和MITRE可能会在Engage的商业实施方面进行合作。

十、重点行业：医疗和制造。行业方面，欺骗技术特别适用于使用大量OT/IoT技术的行业，例如医疗和制造业，这些行业使用大量无法托管安全代理的OT/IoT技术，对欺骗技术的需求尤为迫切。后者可通过模拟OT/IoT设备，生成以假乱真的生产设备资产。