AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
一篇文章聊聊“欺騙技術”四大特性
國內對“欺騙技術”的應用,基本都容納在一個產品里,一般簡稱“蜜罐”(當然蜜罐也有更明晰、確切的技術指向),往往其中包含了蜜罐、蜜餌、蜜標、蜜網、網絡重定向、面包屑等等多種用于欺騙的技術組合。通常,我們理解這就是欺騙防御的實踐應用。
“欺騙防御”后面增加“體系”兩個字以后,要如何解釋呢?還只是欺騙技術的排列組合么?編者認為不是!到底什么是欺騙防御體系,為什么這項技術會被認為是對抗APT組織攻擊的有利手段?
在過去的安全防護體系當中,已經有了足夠多的“孤島”,所以這兩年態勢感知、SOAR、大數據智能分析技術大行其道。這時我們再增加一個“欺騙技術”的硬件盒子,起到欺騙作用也只是工具般的聊勝于無(這也是目前市場上對于這款產品的普遍認知,攻防演練時拿來用用,結束后束之高閣,歸根結底不是客戶有問題,而是產品定位有問題)。
欺騙防御體系到底如何建設?
編者認為,絕不是基于這項理論,將欺騙技術簡簡單單的排列組合。而是應該通過“欺騙技術”在現有防御體系當中的引用、結合,極大程度上催化防御能力,進而形成的高自動化、高聯動體系。
這里我們不再解釋技術本身,只說一說這項技術的四個特性:
第一點:高精準,無誤報
我們都知道,無論蜜罐還是蜜餌,或者散布的面包屑,都是針對攻擊者定制的陷阱,其本身不是計算資源,放置的位置一般也不是內部員工、系統用戶應該使用的位置,往往只有在攻擊場景中才會被利用,所以欺騙技術的特性之一就是無誤報。這對于態勢感知、SOAR等需要實現自動處置的平臺產品簡直就是福音。
基于這個特性對于所有防御性產品的幫助具備同等效果,比如防火墻、終端防護產品的IP阻斷。
第二點:“非規則”性分析
本質上來講,欺騙產品其實并不需要“規則庫”這種東西,更需要的是“高甜度”的仿真場景,我們只需要把攻擊者踩進來執行的動作記錄下來就足以說明、解決問題了。而這恰恰是過去APT攻擊識別的難點“基于現有規則對攻擊進行匹配,無法解決未知攻擊的識別問題”。
第三點:采集數據維度最全
欺騙技術通過仿真環境、數據的搭建誘導攻擊者對其進行攻擊、訪問,而在這個過程當中,高交互的欺騙技術會給予攻擊者一定的入侵入口,讓其能夠獲得一定的操作權限,這時攻擊者在其上的活動動作,將被監控手段進行采集。能夠獲取到的行為數據是非常全量的,包括原始流量PCAP包、Web訪問記錄、系統命令執行、數據庫操作指令、攻擊過程回放、落盤文件、端口掃描記錄、暴力破解行為及認證憑證、蜜餌觸動信息、攻擊者指紋信息等10余種。運營人員可以通過這些數據更準確的還原其攻擊行為,并判斷攻擊意圖,為處置、防范提供決策上的幫助,這一點也是傳統防御體系所不具備的能力。
在過去,建設態勢感知、大數據平臺,最大的幾個工作難點在于:1、情報不夠準確,依據不準確的數據進行分析、處置往往會極大浪費人力資源;2、數據維度不夠豐富,往往要么早早阻斷掉了,要么采集困難、資源消耗大,攻擊意圖就無法研判了。而現在欺騙技術的引用,這幾個問題剛好都解決了。
最后一點,兜底
對于防御而言,始終沒有萬全的防御手段。防御的結果始終處于動態變化當中。一個全新的0day漏洞、攻擊者通過社工手段找到的入侵跳板、防守方的一次疏漏,都可能導致原本完善的防御體系出現薄弱環節,致使防御失敗。
在這時,欺騙防御中的欺騙技術蜜罐、蜜餌則可以發揮其作用:吸引攻擊者,拖延時間。蜜罐往往仿真客戶環境,建立仿真業務系統、PC機、數據庫等,誘導攻擊者對其實施攻擊動作,而蜜餌則通過仿造具有高吸引力的數據內容,吸引攻擊者獲得。通過這種吸引攻擊的作用,降低攻擊者對真實目標進行入侵的概率,并拖延其攻擊時間,給防守方提供更大的緩沖時間,為防御決戰創造條件。
講到這,大家是不是對欺騙技術的特性有一個大致的印象了。簡而言之,欺騙技術對于現有的防護體系而言,可以是“聯動的催化劑,決策的發動機”(本質上并不起到防御的作用,但是因為其技術特性,可以增強防御聯動力,促進自動化決策的產生)。
具象到產品聯動關系當中:
1
對整體防御起到兜底作用,當防御失效時,蜜罐起到迷惑作用、拖延攻擊者
2
對大數據系統\SOAR等自動化分析處置憑條,提供低誤報、高質量的監測數據,可作為事件處置決策的“自動化發起方”,并對黑客畫像的繪制、行為的完整分析提供全面數據,作用不可替代
3
為IPS \ APT 等威脅檢測系統,提供東西向流量,使威脅感知面增加至橫縱聯通
4
為防御型產品提供“阻斷”依據
5
作為情報的采集器
那您的防御體系里是否缺少一個這樣的“發動機”呢?
最后打個廣告,安恒迷網欺騙防御系統,已實現上述所有功能。迷網,幫助您的安全運營更有效果。
