从防火墙、蜜罐到无所不在的迷网欺骗防御

  • A+
所属分类:安全闲碎
从防火墙、蜜罐到无所不在的迷网欺骗防御

网络安全防御


伴随着云计算、大数据、5G、人工智能、物联网等技术的到来,以传统防火墙为代表的企业网络安全“老三样”的被动防护边界已逐渐模糊,防护对象也从服务器、商用PC以及网络边缘设备向云计算、大数据、个人手机和物联网泛终端等多方面转变。

各行各业都在进行着数字化转型,尤其是在疫情环境下,这些变化给企业、社会的发展带来了便利,但随之而来的是新的安全风险。如勒索病毒的爆发、数据泄漏事件的层出不穷,基础设施的大量遭受攻击等


从防火墙、蜜罐到无所不在的迷网欺骗防御


企业传统里的种种安全防御手段,往往大费周章、劳师动众,黑客却只是略施小计,只需利用某一个不起眼的漏洞就能大举入侵,木桶原理,防不胜防。

关上门窗、安装监控摄像头和把贵重物品放在保险箱里,传统依靠城堡周围护城河的边界防护已经一去不复返了。究其本源,网络攻防不对称是当前网络安全面临的核心问题之一;另一方面,在现实网络环境中,我们常看到身为攻击者的黑客,使用钓鱼邮件、钓鱼短信、钓鱼网站的伎俩,甚至以假冒名义的方式,透过各式各样的社交工程手法,目的就是为了误导使用者,利用人性弱点,欺骗使用者上当,将其引入他们设下的局。

然而,这样的“骗术”只有攻击者可以利用吗?防守方当然也可以这么做。

欺骗防御技术(Deception Technology)则是防守方为改变这种不对称格局而引入的一种崭新的网络安全防护思路,其核心思想是通过干扰攻击者的认知以促使其采取有利于防守方的行动,从而记录攻击者的活动与方法、增加其实施攻击的代价、降低其攻击成功的概率。


蜜罐是欺骗技术的一种形式


其实欺骗防御在战争史上并不少见,中国古代有草船借箭,古希腊有特洛伊木马,孙子兵法曾说“欺骗是一切战争的基础”!

网络安全研究人员从1990年就开始使用蜜罐(Honeypot),其目的是收集互联网上大量的僵尸/木马、蠕虫等恶意程序,它们不是为攻击威胁检测而创建的。2011年以后,随着高危软件漏洞的减少和网络运营商大规模封锁高危端口(如TCP 135/445),蠕虫生存环境急剧恶化,致使蠕虫趋冷,蜜罐技术研究也随之趋缓。

其后,随着APT高级持续性威胁出现,传统安全防护机制无法很好地应对此类攻击威胁,安全研究人员再次将目光转向网络欺骗技术,网络欺骗思想开始成熟,网络欺骗技术再次成为安全人员关注的焦点。

在网络攻击中,攻击一般需要依据网络侦查获取的信息来决定下一步动作,网络欺骗正是利用这一特点,通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动。与传统安全技术相比,网络欺骗不是着眼于攻击特征,而是攻击者本身,因此可以扭转攻击者与防御者之间攻防不对称的局面。

网络欺骗技术利用“攻击者需要依赖探测到的信息来决定下一步动作”这一特点,通过构造一系列虚假信息误导攻击者的判断,使攻击者做出错误的动作。

除了蜜罐技术外,网络欺骗还包括对真实资源进行伪装(如主动监听响应空闲IP地址和端口),这是一种积极主动的防御策略;网络欺骗技术既可以单独使用,也可以部署于业务系统之上,还可与已有的网络防御机制(如防火墙、WAF、IDS、IPS 等)联动,提高系统识别威胁和应急响应的能力;

欺骗防御不是御敌于国门之外,而是采用主动诱捕技术,诱敌深入,请君入瓮!在企业内网中布下天罗地网,所有对于蜜罐/蜜饵的触碰都属于非正常行为,因此可以第一时间精确发现攻击行为,大大降低现有安全设备的误报率,而且可以通过蜜罐中的监测发现未知的攻击行为。防守方还可以对攻击者进行溯源和反制,达到一定的震慑效果。


MITRE Shield框架下的欺骗防御技术


MITRE ATT&CK是一个对攻击者行为进行分类的框架,并在整个网络安全行业中得到广泛使用。

近期MITRE 发布了主动防御知识库Shield,MITRE Shield团队采用与MITRE ATT&CK类似的方法来介绍主动防御概念。

MITRE Shield是一个防御知识库,包含可用于主动防御用途的各种技术。由于MITRE ATT&CK攻击模型知识库被各大厂商广泛用于检验现有安全能力的不足,以补充缺失的安全能力,MITRE将Shield知识库与MITRE ATT&CK模型形成映射关系,通过对标ATT&CK模型的TTPs(技术、战术和过程)来描述各种防御技术,能够加速安全厂商安全能力的建设过程。

值得注意的是,这些防御技术是基于红蓝对抗演习和实际运维经验提炼出来的,有较强的现实意义。


从防火墙、蜜罐到无所不在的迷网欺骗防御


MITRE认为,欺骗防御是现代安全体系中与对手抗衡的必备条件。他们在 Shield 模型中把欺骗防御放在了首位。MITRE Shield 包括了引导、收集、控制、检测、破坏、促进、合法化、测试8大战术和36种技术,其中欺骗防御在技术中占了接近一半。在这36项技术手法中,我们发现有多个与诱饵(Decoy)有关,包括诱饵帐号、诱饵文档、诱饵帐户密码、诱饵多样性、诱饵网路,以及诱饵角色、诱饵过程与诱饵系统等,不仅如此,从战略阶段的初期来看,就是要将敌人引导至特定路径或特定方向,收集对手的工具、战术、活动与相关威胁情报,之后再进行一连串的防护应对动作。显然,引导与诱饵是主动式防御的主轴和当中的一大重点。

因此,某种意义上可以认为:主动防御的核心是欺骗防御。Shield从总体上对“欺骗技术”做了详细的介绍,其中很多特性也往往是安全厂商蜜罐所缺乏的,一切皆可成为诱饵(honey everything),如诱饵凭证、诱饵进程等,对Shield欺骗技术的系统了解和认识有利于提升蜜罐或其它欺骗设备的威胁捕获能力。


下一代欺骗防御技术的展望


作为下一代欺骗防御技术的领先者,安恒明鉴-迷网欺骗防御平台(下简称迷网)率先根据MITRE shiled知识库,对相关欺骗防御技术进行了映射和全面实践。

迷网平台主要功能包括:


威胁监测

创新开发各类面包屑和诱饵、流量重定向/黑洞,在攻击链路上进行全方位立体化欺骗布防(系统层、网络层、应用层、数据层);布下天罗地网,可第一时间感知威胁并将攻击者吸引到蜜网/罐中进行有效诱捕;

攻击捕获

基于驱动级监控技术捕获攻击交互行为、投放文件,多维度检测与分析攻击动作、解析流量包,还原攻击过程;

智能分析

自动化网络探测和欺骗层组件部署管理,全面分析攻击者TTPs行为,动态沙箱检测恶意代码,可视化展示攻击路径;

溯源取证

结合威胁情报库进行云端情报分析,识别攻击者指纹特征并取证,甚至进行攻击反制。


同时,迷网针对勒索软件和数据泄露等热点安全事件的可以提供早期的实时检测能力!

当今的迷网分布式欺骗技术将欺骗的重点从孤立的蜜罐转移到了企业真实网络中的端点PC、服务器和真实设备上布下天罗地网般的各种蜜饵和面包屑。这样的分布式欺骗系统可以在整个网络生产环境中全空间、全链路覆盖并收集信息,提供以前无法想象的攻击面可视化效果,并可以在攻击滩头处高效地检测出网络攻击威胁。

我们认为下一代欺骗防御技术将会更加智能,自动化和机器学习将支持快速部署和非接触式欺骗内容自动刷新,可保持欺骗防御层组件的真实性和新鲜度(高保真和高保鲜)

智能欺骗系统可以针对企业网络原始环境主动推荐各类自定义服务器和数据欺骗组件。欺骗防御将和企业业务系统如影随形,企业每上线一个新业务,都将第一时间自动生成相对应的欺骗防御孪生环境。

我们基于多年的欺骗防御实践经验,提出下一代迷网欺骗防御全生命周期技术体系:


事前阶段

将针对客户现有网络资产进行自动化探测,结合中心平台的欺骗策略库,进行智能化、融入式欺骗防御层组件部署;

事中阶段

根据实际攻击者的常见攻击策略和实际攻击路径,进行欺骗层资源的动态编排;可实现”千人千罐”,全动态投食!让攻击者深陷迷网内部,不能自拔;

事后阶段

根据迷网蜜罐中收集到的新的攻击者和攻击手法等威胁情报,自动更新欺骗部署策略库,有效积累未知攻击防御策略!


目前,迷网欺骗防御产品与方案已在政府、金融、通信运营商、电力、能源、智能制造等多个行业获得广泛认可,无所不在的迷网下一代欺骗防御系统将重新定义网络安全主动防御!





往期精选


围观

行业首批!安恒信息AiLand数据安全岛通过中国信通院权威评测


热文

安恒信息发布LED显示屏安全防护方案


热文

亚运练兵|安恒信息护航“韵味杭州”田径邀请赛网络安全


从防火墙、蜜罐到无所不在的迷网欺骗防御

本文始发于微信公众号(安恒信息):从防火墙、蜜罐到无所不在的迷网欺骗防御

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: