本文来自安全牛,作者/林海静。
《孙子兵法》有云:兵者,诡道也!
经过2000多年的发展,欺骗活动已广泛存在于人类生活的各个方面,而网络空间更是欺骗技术大量应用的新兴领域之一。以社会工程学为代表的欺骗性攻击活动屡屡得手,混淆、隐匿、伪造、钓鱼等攻击手段层出不穷。
欺骗本身是中性的,是善是恶,取决于使用这项技能的目的。网络安全的本质是攻与防的对抗,欺骗技术同样可以被应用到网络安全防御中,实现对未知威胁的主动防御。
欺骗式防御的技术理念
在2015年,国际知名研究机构Gartner提出攻击欺骗(Deception)的技术理念,并将其列为最具有潜力的新型安全技术手段。在Gartner的定义中,欺骗防御技术是指通过使用欺骗或者诱骗手段来阻止网络攻击活动的应对过程,破坏攻击者可能使用的自动化工具,拖延攻击者的入侵活动,并有效检测识别出攻击行为。
基于以上定义,我们可以将欺骗式防御技术理解为,通过刻意准备的诱骗性环境或行为,误导攻击者的分析判断和攻击活动,已达到帮助网络安全防护目标实现的应用效果。总结分析欺骗式防御技术的应用内涵,包含以下几点:
欺骗式防御以安全防护为目的,保护组织的网络、系统、应用等等资产;
欺骗式防御通过暴露事实、隐藏事实、暴露谎言、隐藏谎言等战略战术实现获取攻击者信息、增加攻击难度、粘滞防御等目标;
欺骗式防御属于主动防御的一部分,可以利用欺骗防御技术,构建诱捕、监控、溯源体系。
欺骗式防御应用价值
一直以来,这种对抗态势却呈现出一种并不对等的局面:攻击者只要找到一个脆弱点就可以成功实施攻击活动,而防御者却要疲于应对不计其数的安全漏洞和尚未识别的潜在威胁。
挑战一:自动化攻击大量出现
随着人工智能技术应用的快速发展,新型高级网络攻击手段也变得越来越智能化、自动化、常态化,高级Bots机器人攻击为网络安全行业带来了更为严峻的挑战。欺骗防御能够覆盖网络边界、网络流量、主机层、应用层、数据层等各维度,在网络环境上,对办公网、生产网、测试网等根据环境和业务特性进行不同方式的覆盖,构建欺骗防御体系化的感知能力,发现各类自动化扫描,机器人攻击,能够满足低成本、大批量的部署要求。
挑战二:传统攻击转变为高级威胁
目前,APT攻击已呈高发趋势,无论是攻击组织数量,还是攻击频率都较以往有较大增加。APT攻击也称为定向威胁攻击,指某组织对特定对象展开持续针对性的攻击活动。相较于传统攻击,APT攻击具有隐蔽性、针对性和持续性等攻击特征。无论APT攻击多么隐蔽,但最终的目的仍然是目标系统,欺骗防御产品区别于传统安全产品的安全检测思路,以攻击者的目标、攻击思路、攻击步骤视角,构建覆盖整个攻击链路的防护链路。
挑战三:威胁发现能力不足
在传统的安全防护建设中,很多产品形成的能力是单点式的,孤岛式的安全能力建设模式缺乏对全局安全数据的可见性,高级威胁的发现越来越难以通过单一的安全能力来实现;并且海量信息的实时关联和分析对安全算力要求极高,由于不同安全产品之间缺少数据的关联,产生了大量无效的告警信息,难以发现对组织真正造成的威胁,同时也降低了安全运维的效率。
欺骗防御作为主动防御体系的重要实现,具有高度开放性,能够与现有的安全防护体系、安全运营平台、威胁情报平台进行对接,输出网络攻击、攻击者信息、安全事件过程等关键数据,为整体安全防护和安全运营工作提供精准可靠的情报,为安全建设规划和安全策略优化等作决策支撑。
价值一、获得更多的攻击信息
在传统的安全防护过程中,许多安全控制是“基于边界”的,在网络边界部署安全产品阻止恶意的攻击行为。但随着现在混合云的使用,以及新冠疫情对于远程办公的推动,组织的网络架构已经改变,边界也变得越来越模糊,这就让以往基于边界的防护越来越具有挑战性。同时,许多低成本及自动化的攻击工具不断涌现,这让攻击者可以连续探测计算机系统,直到发现漏洞并继续进行下一步渗透,而防御者不会得到任何攻击目标的信息。使用欺骗式技术可以提高对攻击尝试的理解,提高对攻击威胁的感知。
价值二、增强系统的攻击难度
在攻击策略上,欺骗防御可以通过部署复杂的策略,如隐藏真实的资产,将真实资产伪装成蜜罐,布置陷阱等,诱导攻击者做出错误的行为、得出错误的结论,然后通过一些附加的防御措施保护目标系统。这无疑增加了攻击者获取目标系统信息的难度。
价值三、实现粘滞防御
欺骗式防御能够给攻击者提供虚假的欺骗性情报信息,影响攻击者下一步攻击策略的制定和执行。同时,这也给防御者更多的时间来准备和计划下一步的防护决策和行动。基于欺骗的防御的主要优势是在这样的比赛中为防御者提供了一个优势,即他们主动地给恶意敌手欺骗性的信息,更具体地说是循环的“观察”和“调整”的阶段。
价值四、增加对攻击者的威慑
目前很多安全控制的重点在于防止非法尝试访问计算机系统相关的活动。结果,入侵者正在使用这个准确的负反馈作为他们的尝试是否已被检测到的标志。然后,他们会退出攻击,使用其他更隐蔽的渗透方法。在计算机系统的设计中引入欺骗,这增加了恶意敌手考虑新方法的可能性,即他们是否已经被检测到还是被欺骗了。这阻止了一部分不想冒更多风险的攻击者。这种新的可能性可以阻止那些不愿意冒被欺骗的风险的攻击者做出进一步的分析。此外,这种技术使防御者有能力通过主动提供虚假信息,将攻击者的渗透尝试转变成防御者自身的优势。
欺骗式防御的技术类型
蜜罐技术是欺骗式防御在网络安全领域最早期的代表性应用。但随着技术的发展,欺骗式防御的内涵也在不断丰富,并已经从最初的单点欺骗技术的应用转变为防御理念及防御体系的建立。
从更宏观的视角观察欺骗式防御技术的发展,可以分为两类:一类是战术方面的演进,以蜜罐技术为核心,形成密网、蜜场、蜜标、蜜饵与其他安全产品结合的欺骗防御平台;另一类是战略上的变化,以移动目标防御、拟态防御为代表,从系统架构等更深的层次,改变系统的特征,对现有防御思想进行颠覆性变革,实现原生安全。
蜜罐:蜜罐是一种软件应用系统,用来撑当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。蜜罐有两种主要的应用类型:高交互性蜜罐主要通过设置一个全功能的应用环境,引诱黑客攻击;低交互性蜜罐则是模拟一个特定的生产环境,所以只需要导入有限的信息。
蜜网:蜜网是指由多个蜜罐组成的模拟网络。当多个蜜罐被网络连接在一起时,就可模拟出一个大型的应用网络,并利用其中一部分主机吸引黑客入侵,通过监测、观察入侵过程,一方面调查入侵者来源,另一方面也可以考察安全措施是否有效。
蜜场:蜜场是蜜罐技术的延伸,它具有“逻辑上分散,物理上集中”的部署特点,通过使用重定向技术把多种恶意访问集中到一起,进行统一管理,统一分析。
蜜标:蜜标是一种特殊的蜜罐诱饵,它不是任何的主机节点,而是一种带标记的数字实体。它被定义为不用于常规生产目的的任何存储资源,例如电子邮件消息或数据库记录。
蜜饵:蜜饵一般是一个文件,工作原理和蜜罐类似,诱使攻击者打开或下载。
欺骗防御平台:欺骗防御是一个集中管理系统,用来创建、分发和管理整个欺骗环境以及各个欺骗元素,包括工作站、服务器、设备、应用、服务、协议、数据和用户等多种元素。
移动目标防御(MTD):移动目标防御是美国国家科学技术委员会提出的基于动态化、随机化、多样化思想改造现有信息系统防御缺陷的理论和方法,其核心思想致力于构建一种动态、异构、不确定的网络空间目标环境来增加攻击者的攻击难度,以系统的随机性和不可预测性来对抗网络攻击。
拟态防御:拟态防御是一种主动防御行为,也是我国研究团队首先提出的主动防御理论,核心是实现一种基于网络空间内生安全机理的动态异构冗余构造,为应对网络空间中基于未知漏洞、后门或病毒木马等的未知威胁,提供具有创新意义的防御理论和方法。
目前,欺骗技术逐渐发展成为了安全运营体系中新一代检测和响应技术的重要组成部分,各大安全厂商都将欺骗技术与其他安全产品更紧密联动,向着深度融合的趋势发展。在体系化的欺骗式防御应用方案中,应具备多种重要能力,包含业务仿真、威胁感知、协同防御、攻击行为分析和溯源等,核心技术包含网络地址变换、端口重定向、多种模拟的能力。
欺骗防御重要能力及核心技术
欺骗式防御应用场景
以欺骗式防御的目标来划分,主要的应用场景有:
攻防对抗场景
现阶段,欺骗防御重点应用在攻防对抗中。在攻防演练场景中,防守方需要面对攻击方持续多维的攻击,通过构建欺骗式防御,充分地了解攻击方的整体情况,并根据攻击特点建立完善的、能有效抵御攻击威胁的安全防护体系,是支撑达成防守效果与取得更好成绩的重要手段。
安全运营场景
从网络安全防护角度来看,网络欺骗防御技术作为一种主动式安全防御手段,可以有效对抗网络攻击。网络欺骗防御技术在检测、防护、响应方面均能起到作用,能够实现发现攻击、延缓攻击以及抵御攻击的作用。欺骗防御技术应用在企业安全运营中使用,能够发现、延缓和反制网络攻击。主要场景有:
溯源反制
溯源反制是欺骗式防御的重要应用场景,因为部署在组织内部的欺骗式防御产品,搜集到的攻击信息,相对于其他安全产品,可以确定为真实的攻击操作,同时在产品内置的反制手段可以溯源到攻击者信息,如电话号码和账户信息等,相对于其他产品更具价值。
情报产生
此处的情报包含两个层面,蜜罐部署方式和情报产生方式不同:一方面是组织根据自身情况部署蜜罐等产品,针对组织内部的威胁信息,产生的内部情报;另一方面则是情报厂商推出的免费蜜罐,如微步在线,用户可免费部署其蜜罐,产生的情报信息汇总至安全厂商。
辅助进行威胁感知
部署在组织内部的欺骗式防御产品,可以搜集针对组织的威胁信息,如病毒,或针对某些端口的攻击操作,此处的威胁信息可汇总至态势感知、SOC等产品丰富对威胁的感知能力。
科学研究场景
一些安全厂商的实验室或网络安全主管部门出于研究的目的,收集有关针对不同网络的黑客社区的动机和策略的信息用于分析攻击者的行为,通过一段时间的观察和分析,可以大概感知近期网络安全态势的变化,研究组织面临的威胁,并更好地防范这些威胁。
关于欺骗式防御技术应用的更多需求分析及成功应用案例,请关注安全牛即将发布的《欺骗式防御技术市场&应用指南》报告。