赤壁长江河畔,曹魏大军来犯东吴,曹操所带北方之兵不习水战,幸得久居江东,谙习水战的荆州降将蔡瑁、张允+数万荆州水军。
攻击者在正式攻击边界前,通过供应链等手段,获取内部业务情况与员工泄露账号。
周瑜作为东吴统帅,欲除去蔡张二将,此时恰逢蒋干(曹军谋士)前来劝降,周瑜设计“群英宴”招待,设局使其盗得蔡张二人的“密信”(实则是周瑜伪造),蒋干复命后,曹操错杀“蔡张”。
攻击者信息收集阶段,在某开放平台拿到防守方业务信息(伪造的蜜饵),并依此制定作战计划。
折损并没有阻挡曹军的东进,周瑜得到庞统献出的火烧连营之计。恰逢此时蒋干再次来访,周瑜遂借其之手,将庞统引荐给曹操,并献计“铁索连船”,导致了后面“火烧赤壁”名场面的出现,葬送曹军数十万人马,曹操“败走华容”。
攻击者绕过边界进入内网,利用得到的诱饵信息尝试获取业务系统权限(实为蜜罐),系统提示下载VPN插件(实为反制脚本),攻击者下载后运行,导致自身一举一动受到监控。
周瑜利用曹操的猜疑,曹魏人马的疲惫与不善水战,荆州降军的阳奉阴违等等因素,联合诸葛亮,步步设计,出奇制胜,打出火烧赤壁的这记妙手。
防守方当前可选的战术,堆叠部署蜜罐提升自身主动防御体系,只能算是一记本手。这主要是近年来随着蜜罐技术的推广,用户逐渐发现部署蜜罐后的效果与预期有着较大的偏差:
1.虽然部署了一定数量的外网蜜罐,但很少有攻击者踩中触发
// 使用的蜜罐都是自带模板不具备高仿性,攻击者易看穿或者不感兴趣
2.巧幸有攻击者踩中触发,但却捕获不到有效的溯源信息
// 蜜罐脱离实际场景,且缺乏诱导性和交互性,攻击者驻留时间短
3.虽然部署了反制木马且有下载记录,但攻击者迟迟不上线
// 反制场景太刻意,或者木马免杀失效,达不到预期效果
4.由于未能发挥效用,最终蜜罐变成边缘产物
// 蜜罐缺少持续的管理维护机制,没有融入现有安全体系中,发挥价值
如果说简单部署蜜罐只是一记本手,那如何在攻防实战活动,如同赤壁之战中的周郎那样摒弃俗手与本手,打出一记妙手?在解答这个问题之前,我们不如先看个真实的案例:
21年,Y单位参与的攻防演练在如火如荼进行中,突然监控群弹出一个消息:“攻击者上线了.....”。随着这个告警的发出,一场反制谍战大片开始上演,而这场“大戏”中攻击方的一举一动都在我方眼皮底下进行,我方根据获悉的情报,持续调整应对策略一次次化解危机扭转战局。
1.发现攻击者上线
//我方利用预设后门拿下攻击方PC控制权并做了权限维持
2.从攻击方的CS木马平台上获知我方失陷主机信息
//我方分析失陷主机恶意样本并清除,封禁C&C地址域名,及时止损
3.从攻击方主机中发现撞库文件,确认为员工已泄露账号密码
//我方立即封禁已泄露账号,及时止损
4.发现攻击方锲而不舍对客服进行社工钓鱼
//我方分析邮件钓鱼的恶意样本并同步召开专项安全意识培训,及时止损
5.发现对方在写攻击总结报告
//我方迅速利用工具获取报告,了解攻击方完整入侵路线,进行查漏补缺并调整防守策略
6.蜜罐捕获攻击方IP、社交ID等线索
//我方结合情报还原攻击者画像,锁定个人身份,搜集攻击证据提交监管处置
而实现如此奇效,
离不开蜜罐运营服务的落地交付!!!
攻击,唯一不变的是变化。作为防守方,一成不变的部署与策略难以应对持续性的攻击者,因此,在攻防对抗中蜜罐布防策略也要灵活调整。蜜罐有别于其它网关型防御设备,它需要精巧设计,安全工程师充分参与到方案设计-高交互设计-诱饵/蜜罐布防-实践使用等环节,以运营的思路才能发挥到最大价值。
长亭科技基于自身长期的蜜罐部署经验和丰富的攻防实战经验,提出蜜罐运营理念,开展落地实践,并沉淀形成可落地、效果显著的蜜罐运营服务解决方案。
蜜罐运营服务方案实施流程示意图
该方案将谛听(D-Sensor)伪装欺骗系统与常态化安全运营服务相结合,由剧本设计、定制蜜罐、平台部署、运营服务四个部分构成,通过帮助用户进行谛听(D-Sensor)蜜罐的常态化运营,实现蜜罐系统伪装欺骗效果的最大化。
正如Y单位与长亭在蜜罐实战使用中达成的共识一样:
“首先厂商要把蜜罐当成一种服务来交付,而不只是一种产品,需要先结合建设单位风险暴露面,分析可能的攻击路径,精心设计诱捕策略,然后再定制高仿真高交互蜜罐,最后选择合适的部署位置”。
“其次厂商要协助蜜罐运营机制的建立,建设方安排人更新布防策略,把威胁告警日志推送到SOC平台,使蜜罐融入现有安全体系中,让蜜罐服务常态化”。
凡战者,以正合,以奇胜,故善出奇者,无穷如天地,不竭如江海,终而复始,日月是也。
关于蜜罐运营服务方案的更多信息可联系长亭销售人员进行咨询
原文始发于微信公众号(长亭科技):演练在即,如何打赢“网安赤壁之战”?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论