您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

欺骗防御入门:花最少的时间、金钱和资源得到最大效能

发表于:2018-12-20 作者:李少鹏 来源:安全牛

欺骗技术能赋予防御者其他防护技术所不具备的优势:通过布置满是鲜香美味诱饵的雷区,诱使攻击者暴露出自身意图和手段,实现早期准确检测。FBI和其他顶级司法机构早已使用此类技术诱捕儿童色情犯和金融大盗一类的罪犯了。

设置诱饵的目的,是为了捕获攻击者了解网络时的早期动作及其发现目标的方法。网络攻击的早期阶段也可以称作“现场侦察”,打断这一阶段最终可以减少潜在攻击的驻留时间,对数据保护工作而言至关重要。防御者可以观察正在发生的事,更深入地了解攻击的本质,更透彻地理解攻击者在网络甚或在云文件共享环境中移动的方式。

越来越多的公司企业开始将欺骗作为填补现有安全解决方案空白的一种方式,将之作为数据防丢失、加密、访问管理和用户行为分析等安全解决方案的一种补充。但安全团队如何确定哪种欺骗技术是最适合自家公司的呢?

定义“蜜”环境

当前,欺骗技术市场中绝大多数产品都主要着眼打造复杂的“蜜”环境,旨在引诱攻击者进入虚假系统,转移并记录其攻击行为。

1. 蜜罐

蜜罐是与网络毗连的系统,用以引诱攻击者并检测、转移或研究黑客的攻击尝试。蜜罐按与入侵者的互动程度分为不同类型。设计恰当的话,蜜罐可以阻止攻击者访问公司运营网络中的受保护区域。配置良好的蜜罐应具备公司生产系统中的多个相同组件,尤其是数据。蜜罐最大的价值就是能获取到攻击者行为及意图的相关信息。进出蜜罐的数据可使安全人员收集到这些信息,比如攻击者的击键记录、在虚假蜜罐系统中横向移动的尝试动作等。

2. 蜜网

蜜网是由多个蜜罐组成的真实网络的模拟。基本上,蜜网就是模仿公司网络中常会出现的多台服务器环境的大规模网络诱饵。SANS 2017 报告《蜜罐状态:理解今日蜜罐技术使用》中写道:“蜜网连接与交互的方式与真实网络无异——系统间所有连接都没模拟。”SANS报告按10分制请蜜罐用户为蜜罐和蜜网有效性评分,在总体有效性上蜜网得分7.5。与蜜罐类似,蜜网最大的价值就是安全团队能从中收集到的有关攻击者行为的情报。

只要构建并维护良好,蜜环境可供安全团队观察攻击者巡游网络搜索数据并渗漏出去的方法。但有个前提:攻击者要上钩——进入蜜网。

蜜环境痛点

蜜环境的部署、管理和维护面临几个重大挑战与痛点。在购买欺骗技术之前,你得好好分析一番成本效益。

首先,虽然蜜环境是在企业运营环境之外构建与维护,蜜网仍需黑客初步突破运营环境。公司企业最好期望通往蜜网的面包屑足够诱人,能够切实引诱到黑客。另外,一旦黑客离开虚假环境,我们没办法知道他/她还会不会重新进入该运营环境以继续攻击,也不会知道他/她在被诱饵面包困住前可能渗漏出了什么数据。

  • 其次,创建这些环境所需的成本与资源可能会给本就不堪重负的安全团队又套上一层枷锁。想让攻击者相信蜜网是真实公司网络,公司企业建立的蜜环境就必须模拟运营环境。于是,该环境也必须有人维护以保持其“真实性”。维持蜜网运转所需的投入与保养可没那么轻松。
  • 再次,蜜环境能提供的攻击者相关数据的有用程度是有限的。蜜网确实是了解攻击者如何在系统内搜罗数据的好方法,但攻击者的真实身份和数据被盗后会被攻击者作何用途,就不能靠蜜网探知了。
  • 最后,攻击者越来越精于分辨蜜环境特征。真正危险的黑客往往瞄准他们确知是真实机器的特定IP地址。黑客很容易分辨某主机是不是企业网络中的蜜罐,因为这些机器要么没有出站流量,要么伪装流量没遵循正常使用模式,显得很不自然。想要让蜜网发挥自己的价值,入侵者就不应该感觉到自己处在虚假系统中。蜜网环境应给攻击者一种虚假的真实感和安全感,让他/她觉得自己没被发现或没被监视。

在现实世界中欺骗

在运营环境和云环境中部署欺骗技术,可使安全团队检测并欺骗直奔敏感数据而去的攻击者,而不是寄希望于攻击者被诱导到其他地方。在运营网络中部署可信诱饵文档能提供蜜罐和蜜网的所有好处,且不用创建和维护虚假环境。

不依赖蜜环境的欺骗还可用于主动反击黑客和泄密者。攻击者依靠各种各样的工具保持匿名,这些工具往往能带来大胆攻击的成功。不局限于虚假环境的欺骗技术可穿透这些工具,暴露出攻击者,且攻击者往往还毫无所觉。这就给公司企业和司法机构钉死黑客和泄密者提供了特别的优势。

SANS 2017 报告《蜜罐状态:理解今日蜜罐技术使用》:

https://www.sans.org/reading-room/whitepapers/detection/state-honeypots-understanding-honey-technologies-today-38165