攻擊欺騙技術
兵者,詭道也。 ——《孫子兵法》
古代戰場上就知道使用變幻的攻擊方法來迷惑攻擊者,攻其不備、出其不意,可見攻擊欺騙技術向來就是存在的。然后在網絡攻防對抗的戰場上,攻擊欺騙技術卻在近幾年才登場的。
攻擊欺騙(Deception)是Gartner從2015年起連續四年列為最具有潛力安全技術的新興安全技術手段。Gartner給出的基本定義是通過使用欺騙或者誘騙手段來挫敗或者阻止攻擊者的認知過程,從而破壞攻擊者的自動化工具,拖延攻擊者的活動或者檢測出攻擊。通過在企業防火牆背后使用欺騙技術,企業就可以更好地檢測出已經突破防御的攻擊者,對所檢測到的事件高度信任。欺騙技術的實施現在已經覆蓋堆棧中的多個層,包括端點、網絡、應用和數據。
從以下時間線足以看出Gartner對攻擊欺騙技術的寵愛,並預言未來5-10年攻擊欺騙技術能夠進入主流市場、並對現有安全防護體系產生深遠影響。
- 2016年6月份,Gartner安全與風險管理峰會上,Gartner分析師公布了他們關於2016年十大信息安全技術的研究成果,其中“欺騙技術”被提名。
- 在2017年6月份舉辦的第23屆Gartner安全與風險管理峰會上,Gartner知名分析師Neil McDonald發布了2017年度的11個最新最酷的信息安全技術。其中“欺騙技術”再次被提名。
- Gartner十分看重欺騙技術,在2018年10大戰略技術之一的CARTA(持續自適應風險與信任評估)中,欺騙技術承擔了重要的角色,作為運行時風險與信任評估的重要手段之一。Gartner預測到2019年10%的企業將采用這類技術,主動地進行對抗。目前,國內有不少從事欺騙技術的初創公司和產品,但要達到DDP的平台級水平,還需要大跨越。
傳統安全產品的弊端
1、異常檢測類防御產品告警量大且不精准
針對流量側的異常行為,企業通常采用入侵檢測系統,SIEM等安全設備來檢測和運營處置。對於中大型企業場景,告警量大,且運營人員工作量繁重。找到精准的告警需要耗費安全專家的較多時間精力,並且也較難發現潛伏攻擊者。而蜜罐的關鍵價值之一是:零誤報、告警即攻擊實錘。
2、難以應對高級新型威脅
隨着攻擊手段的不斷變化,目前高等攻擊隱藏性很強,很多都是利用未知漏洞、自定義工具、或者社工、釣魚等方式獲取系統管理員賬號和權限,憑借合法身份、正常操作實施入侵,使得傳統的安全防御手段失效、無法及時發現以及有效應對威脅。
攻擊技術和手段日益更新,但對抗的安全產品更新速度慢,企業更新產品的周期也相對漫長。難以應對多變攻擊手段、新型威脅。亟需一種應對變化攻擊手段和適應業務變更的新技術。
3、 缺乏有效的內網威脅感知手段
事實上受制於技術、經驗、人性等因素,人們幾乎不可能設計出一個完美無缺的安全系統,不能正視漏洞的可觀存在,導致大量重復的安全建設局限於邊界防御,試圖打造一個不可攻破的系統,而對內部網絡的重視不足。
蜜罐類產品的基本功能
1、欺騙偽裝
蜜罐存在的價值再於被攻擊,有攻擊才能有捕獲。通過偽裝成有漏洞的服務(web服務、數據庫、系統服務等)、操作系統等,欺騙攻擊者,在和攻擊者“交鋒”的過程中,不僅保護了企業的真實資產,同時捕捉攻擊數據,用於進一步的研究。除了單個的蜜罐,還有多個蜜罐組成的可延展、可配置的蜜網,仿真性比單個蜜罐高,給攻擊者“沉浸式”的體驗。
2、誘導攻擊
既然蜜罐的價值在於被攻擊,如果攻擊者沒有命中我們准備好的蜜罐陷阱,轉而攻陷了真實資產,那就得不償失了。所以有的蜜罐擁有攻擊流量檢測的功能,或類似牽引器的功能,通過旁路鏡像部署,在不影響正常業務的同時識別除惡意流量,從而將其引入蜜罐中,保護真實資產,提高蜜罐的命中率。
3、攻擊行為分析與溯源
早期的蜜罐多用於安全研究,最初是用來捕獲惡意代碼、抓APT之類高級攻擊的,在商業化用途中,蜜罐被用來感知內網威脅,需要具備威脅感知與捕獲的能力,還要能夠對攻擊者溯源,簡單來說就是需要知道攻擊者做了什么、意圖是什么、攻擊者是誰從哪兒來。攻擊行為的分析通常包括:捕獲攻擊數據包記錄攻擊流量、保存攻擊者上傳文件、識別攻擊指紋等。攻擊溯源多是對攻擊數據的關聯與整合,結合威脅情報與大數據等資源,對攻擊者進行人物畫像或是精准溯源。
4、威脅情報
蜜罐零誤報的特點,使得每一條攻擊日志都是真實的,這些攻擊數據可以通過API接口或是日志服務器等,同步打入SIEM等安全產品,讓數據進行關聯與整合,產生更大的價值。
有哪些廠商在做蜜罐
舉幾個最近了解到的:元支點、默安幻陣、長亭諦聽。
1、元支點
元支點的產品功能是比較全面的,和國內的產品比也是有不少亮點的。
- 首先是仿真性較高,除了有普通的偽裝服務(低交互蜜罐)還有真實性較高的高交互蜜罐,甚至還有工控蜜罐,可見覆蓋的行業多廣;另外,元支點還通過蜜餌來吸引攻擊者,如,日志、數據庫文件、各種文檔、證書憑證、郵件類等,種類豐富。
- 其次他們能夠7*24h保存網絡流量,采用了流量牽引器來將攻擊流量導入蜜罐中,用戶可配置牽引策略,有點HIDS的意思了。
- 防逃逸功、防跳板功能。眾所周知,蜜罐的仿真服務多是基於docker的,對於虛擬容器的安全也是近年人們一直熱議的話題,蜜罐絕大多數使用場景都是在內網中,若攻擊者通過蜜罐為跳板,從陷阱中逃逸出來攻擊內網機器,后果是不堪設想。元支點使用了防逃逸技術,防止虛擬化容器技術向下穿透,采用VLAN隔離和虛擬網絡技術防止橫向移動。
- 機器學習自偽裝
機器學習技術炙手可熱,尤其在大數據時代,正被積極應用於新一代安全產品中。通過機器學習可以讓產品實現自適應的特點,自主適應企業網絡環境改變欺騙策略,學習新的攻擊方法,識別未知攻擊。
2、長亭科技諦聽
長亭科技的蜜罐也算是入場較早的了,仿真服務類型比較豐富,並且支持自定義、業務學習型蜜罐,攻擊行為分析、攻擊溯源都支持。軟硬件都支持,支持集群部署和雲主機部署,可一鍵更新升級,探針的批量安裝部署,解決了大規模安裝維護的問題。
3、默安幻陣
默安科技的幻陣號稱是國內首家率先將欺騙防御技術應用落地的廠商,他們的蜜罐產品幻陣在2017年面世,在國內應該是第一第二家開始做蜜罐的了,雲舒大大還是很給力的。幻陣的蜜罐是基於沙箱的,至於沙箱和容器的優劣此處不予討論,沙箱支持應用服務沙箱、系統服務沙箱、以及業務自定義沙箱。通過偽裝代理和誘餌感應威脅,基於攻擊行為分析,支持攻擊溯源和威脅情報輸出,還支持實時展示攻擊大屏,滿足領導視察的需求。除此之外,幻陣比較突出的點有:自研行為決策分析引擎,可有效應應對多變的攻擊行為;自主研發的機器學習設備指紋專利技術,能夠很好的捕捉攻擊行為;還有依據網絡狀態自主部署沙箱、開放API接口將攻擊信息輸出到WAF、IDS、IPS等。
不僅僅是蜜罐
攻擊欺騙技術是攻防領域一個通用的思想,不僅僅適用於蜜罐產品,像傳統(SIEMl、EDR、HIDS)產品,新興(UEBA、NTA)產品,可以成為威脅檢測解決方案的有效補充。
參考:
http://blog.nsfocus.net/internet-fraud-technology/
https://www.aqniu.com/learn/38552.html
https://yq.aliyun.com/articles/187752