這篇以實踐者為中心的評測涵蓋了 Acalvio ShadowPlex，這是一個以欺騙為先的平台，旨在阻止攻擊者在 IT、雲端、OT 和身分方面的進展。如果你正在評估美國安全營運中心 (SOC)的欺騙策略，你應該清楚地了解其操作適用性、推廣工作量以及該平台的價值所在。

重點總結

✔  當您需要早期、高置信度的檢測，以最小的雜訊為現有 SOC 工作流程提供支援時，ShadowPlex 最為強大。

✔  ShadowPlex 是一個由人工智慧驅動的無代理欺騙平台，它在端點、身分儲存、雲端服務和 OT 網路中投射逼真的誘餌、麵包屑和蜜罐令牌，以便在攻擊鏈早期就讓攻擊者上當受騙。

✔  首要價值在於高保真度和早期檢測。欺騙警報會根據攻擊者的意圖而非使用者行為異常觸發，這意味著與傳統的入侵偵測系統 (IDS) 或僅使用安全資訊和事件管理 (SIEM) 的方法相比，誤報率更低。

✔  它與 SIEM、SOAR、EDR 和 ITDR 平台集成，將已驗證的訊號輸入到現有的 SOC 工作流程中，並自動執行分類和遏制操作。

✔  最適合：身分識別管理密集、混合雲的美國環境，具有 Active Directory 或 Entra ID，且存在重大的橫向移動風險，包括受監管的中型市場企業到財富 1000 強企業。

✔  Gartner 預測，到 2030 年，先發制人的網路安全技術將佔 IT 安全支出的 50% 以上，而 2024 年這一比例還不到 5%，高階網路欺騙是這一轉變的核心支柱。

✔  主要差距包括定價透明度、誘餌衛生管理，以及 SOC 和身分團隊之間需要明確的劇本所有權，因為它不是一個設置好就不用管的工具。

什麼是 Acalvio ShadowPlex？

ShadowPlex 是一個無代理欺騙平台，它使用集中管理的誘餌和身份蜜罐令牌來及早偵測攻擊者的意圖。

Acalvio 的平台圍繞著三個基本模組建構。a) 欺騙中心是控制平面，負責設計、部署和管理欺騙資產。b) 投影感測器是部署在網路區段中的輕量級組件，用於在本地投影誘餌，無需終端代理。

c) 欺騙資產包括模仿伺服器和服務的誘餌、在攻擊者搜尋的地方埋下的麵包屑，以及在 Active Directory、Entra ID 和雲端 IAM（身分和存取管理）中植入的蜜罐令牌。

實際結果是得到與惡意活動相關的已驗證訊號，而非統計異常。合法使用者沒有任何理由去接觸誘餌主機或嘗試使用蜜罐憑證。霍尼韋爾公開聲明其威脅防禦平台採用 Acalvio 欺騙技術，這標誌著 OEM 廠商已真正採用該技術，而不僅限於實驗室部署。

實際效果如何？

ShadowPlex 的工作原理是衡量攻擊者節省的時間和分析者節省的時間，而不僅僅是產生的警報數量。

對於概念驗證 (POC)，首先要驗證身分資訊，並選擇高價值資料區段。在測試組織單元 (OU) 和一到兩個雲端訂閱中部署蜜罐帳戶和令牌，然後在核心系統附近部署一個小型誘餌子網路。對實驗室主機執行受控的戰術、技術和程序 (TTP)，包括憑證轉儲、Kerberoasting、DCSync、橫向 RDP 和SSH攻擊以及雲端密鑰濫用。追蹤從首次惡意操作到發出警報的平均偵測時間，然後將誤報與基準 EDR 和 SIEM 規則進行比較。

驗證端到端工作流程，而不僅僅是檢測。確認警告有效負載包含足夠的上下文訊息，以便一級分析師能夠快速進行分類，包括主機身份、涉及的用戶或令牌、網路路徑以及捕獲的命令。在安全環境中觸發 SOAR 工單和隔離操作，以便了解在實際的路由、命名和基於角色的存取控制 (RBAC) 約束下哪些環節會出錯。

成功標準應該以分鐘為單位來衡量，而不是以小時為單位。在實驗室條件下，您還應該看到，基於身分和誘餌互動的警報精確度顯著高於基於行為的檢測，因為資產本身就是指標。

SC Media 對 ShadowPlex v5.2 的評測重點介紹了其端到端的調查功能和參與過程中的取證捕獲功能，這與該平台的核心價值主張相符。

先發制人網路安全的組成部分

先發制人的網路安全結合了主動控制措施，在事件演變為安全漏洞之前，引導攻擊者的行為並縮小影響範圍。

將這些控制措施映射到美國企業架構中，有助於了解欺騙手段相對於現有身分監控、端點遙測和雲端安全態勢工具的位置。如需了解供應商如何從欺騙手段增強美國企業的身份、EDR/XDR 和雲端防禦能力，請參閱《先發制人的網路安全》作為實用參考資料。

Gartner 將先發制人的網路安全定義為利用人工智慧和機器學習技術，在被動偵測之前預測、轉移或消除威脅的能力。在這個模型中，高階網路欺騙是控製手段，它能夠產生可驗證的訊號，迫使對手在不確定性下做出決策。 ShadowPlex 正是為此而生，這也是 Acalvio 經常出現在企業欺騙評估和 OEM 部署案例中的原因。

將這些元件用作堆疊層級的檢查清單，因為大多數團隊已經以不同的產品名稱擁有其中的部分元件：

✔  預測性威脅情報：預測攻擊活動和工具，以便在攻擊發生之前加強可能的攻擊路徑，例如預先阻止已知的網路釣魚工具包基礎設施和加強暴露的服務。

✔  進階網路欺騙：誘使攻擊者意圖，將其引向受控誘餌，同時收集 TTP（戰術、技術和程序），包括蜜罐帳戶等身分路徑和令牌濫用等雲路徑。

✔  自動化移動目標防禦：透過改變攻擊面的一部分，例如輪換暴露的服務或以受控方式動態改變可達路由，來增加攻擊者的不確定性。

✔  身分威脅偵測和回應 (ITDR)：揭露並阻止憑證濫用、AD 攻擊和 Entra ID 洩露，然後強制執行加強控製或快速撤銷權限。

✔  攻擊面和暴露管理 (ASM/EASM)：透過持續發現、基於風險的優先排序以及對外部和內部暴露資產的快速修復，降低可用性。

✔  持續驗證和漏洞及攻擊模擬 (BAS)：持續測試控制措施是否真的能阻止已知技術，然後將失敗轉化為待辦事項和調整工作。

欺騙機制位於此安全架構的中間層，充當「真實訊號」層。它不會取代EDR、ITDR或ASM，而是透過減少歧義來幫助它們更快採取行動。當使用蜜罐憑證時，安全營運中心（SOC）無需討論機率，而是直接執行預設的策略。

設計安全堆疊的一種實用方法是將每個元件對應到您希望強制執行的決策。威脅情報和暴露管理可降低入侵風險。欺騙和動態目標防禦可減緩橫向移動。 ITDR 和 EDR 在觸發事件得到驗證後，負責執行、遏制和證據收集。

將欺騙行為與 EDR/XDR 和 ITDR 進行比較

欺騙技術透過提供經過驗證的觸發訊號來補充 EDR 和 ITDR，從而減少爭論並加快遏制速度。
操作要點很簡單。將欺騙技術作為早期預警機制，然後讓EDR和ITDR大規模地執行和調查。如果將欺騙技術視為一個獨立的控制台，就會錯失其大部分作用。

ShadowPlex值得購買嗎？

當您需要更早、經過驗證的訊號來減少洩漏影響並減少 SOC 噪音時，ShadowPlex 就非常值得考慮，尤其是在身份資訊繁多的混合環境中。

MITRE Engage 提供網路拒止、欺騙和對抗方面的術語和規劃指南，特別強調防禦性對抗和避免反擊。 ShadowPlex 與此方法相符，這對需要政策和法律明確性的美國機構至關重要。

制定所有權計劃。只有當有人負責輪換節奏、劇本更新、安全清單和季度驗證時，欺騙才能成功。如果將其視為一次性部署工具，誘餌會失效，安全營運中心（SOC）也會不再信任訊號。

資料來源：https://hackread.com/acalvio-shadowplex-review-preemptive-cybersecurity/