“迷网”系列科普(一):让攻击者逃不出的“盗梦空间”——欺骗诱捕技术介绍
导读:
当下,网络安全的需求,早已不再满足于合规与被动防护,对攻防实战能力提出了更高的标准。
近年来,2024新奥门资料集中了公司各线产品的实战“兵刃”以及多年来的攻防服务经验,推出了基于欺骗诱捕技术、体系的“迷网”产品,以建立产品化的黑客诱捕技术体系,弥补传统安全技术所存在的不足。
接下来,我们会用一个系列专辑来为大家讲解这一新技术、新体系的能力范围,以及实战用途,能够让大家深入了解这一技术。
今天,我们主要探讨第一个话题:欺骗诱捕技术介绍。(TIPS:本文并不是纯正的标准体系描述、概念定义类文章,所有的表述仅限于笔者个人理解,仅供参考。)
一、当前网络安全技术解决的问题与弊端
在了解欺骗诱捕技术之前,我们先需要了解当前网络安全产品解决问题的方式以及所存在的弊端。当下,网络安全的防护主要是由安全设备(或软件)加人的方式实现的。我们从设备与人两个角度来分析当前网络安全防护体系的局限性。
首先说设备,网络安全设备种类非常多,其安全能力的构建主要是基于已知策略、特征构建的感知能力,根据已知的特征对攻击行为进行识别。但是这种方法对于有特定攻击目的的攻击者(比如APT组织)来讲仍不足够,0day是其难以防御的主要问题。另外,因业务系统开发时安全设计考虑不足,导致业务系统的运行与防护策略冲突的情况也经常存在,安全运维人员往往最终采用的方法是关闭防护策略,保障业务稳定运行,类似的情况也是屡见不鲜了。
其次,我们再从人的角度来分析。再严密的防护体系,一旦有了人的参与,弱点自然也就产生了。在有针对性的攻击情形中(如APT攻击),社工、欺骗是常用的技术手段,而目标就是人,想要对此进行完善则需要更专业的人、更严谨的人。但在我国,网络安全专业人才的缺口极大,企业想要培养、招聘专业人才也不是那么容易的事情。然而,哪怕找到了专业的人,就真的能够完成这项重要的工作吗?
在实际的攻防对抗中,其实存在多种不对称现象:工作量不对称、信息披露不对称、成本支出不对称。
1.工作量不对称
攻击方在攻防过程中,往往只需要找到一处弱点即可完成入侵,而防守方则需“千日防贼”加“7*24小时”,还需要进行全面防护,不能存在攻击者可接触的漏洞,方能完成防护任务。而且对于防守方来说,每天运维大量的安全设备、分析海量日志。
2.信息披露不对称
对于攻击方来说,目标企业、可利用漏洞,甚至运维人员都可以通过侦查提前可知;而对于防守方来说,攻击者谁、在哪里显然无法提前知晓的,甚至在攻击者的刻意规避下,防护水平一般的防守方也不见得能够发现攻击者。
3.成本支出
成本支出很好理解,攻击方往往只需要几个VPN、肉鸡等工具就可以开展攻击活动了,而且此类成本越来越低,而防守方需要建立符合等保二级或三级的防护体系,动辄需要上百万的防护硬件费用。防护要求更高的用户每年还需购买安全检查、加固的安全服务,投资颇大。
安全厂商始终在寻找更好的办法。网络安全的防御体系拉大了防御纵深,思路上也逐渐从原来的纯被动式防御,逐渐转变为主被动相结合的防御体系。态势感知、大数据分析技术是其典型实践,而欺骗诱捕体系更是主动式防御的核心代表,该技术的产生极大程度上提升了防守方在网络攻防战中的主动权。
二、欺骗诱捕体系的提出与概念
那么什么是欺骗诱捕体系呢?根据Gartner给出的定义:欺骗技术是利用欺骗、诱捕或诡计手法来阻止或打乱攻击者的认知过程,并损坏攻击者的自动化工具。这个技术的根本目的就两个,拖延其攻击活动、检测出攻击行为。
简而言之,通过使用多种欺骗技术,配合真实网络环境(包括设备、系统与网络等)以及仿真数据,建立的贴近保护对象的主动安全防御体系。
再说的通俗一点,《盗梦空间》大家都看过,某种欺骗技术就相当于某一层梦境,近似于真实的场景,可以欺骗攻击者的认知。欺骗诱捕体系呢,则是把虚拟与现实相结合,把多种欺骗技术相结合,构建的多层空间,你以为你已经逃出了,其实还在梦中,讲究的就是环环相扣,剧情引人入胜。
自2015年起,Gartner连续几年都将其列为“最具潜力的安全技术”,在2019年将其列为“最佳安全技术”。
三、欺骗诱捕体系的特点
首先,欺骗技术的产生并不是用来替代其他威胁检测解决方案的,由于其实现方式并不跟目前的防御、检测体系冲突,反而是传统安全解决方案的重要补充。
其次,欺骗技术的主要作用是欺骗攻击者,举一个最典型的欺骗技术实现方案——蜜罐,该技术往往是通过虚拟化技术,将硬件资源转变为虚拟主机,并在其上搭建Web应用、服务、数据库,甚至伪造终端。但是由于其伪造的这些资源并不能提供真正的服务,也不会开放给正常的资源使用者,所以对于正常人来说,是不会访问到的。所以其另一个特性就是误报极低(合理的部署方式,可以让其理论值为0)。
第三,在部署了欺骗技术的环境中,攻击者进行攻击时想要不被发现,往往需要更加小心、谨慎,尤其是在实战演练当中,这无疑平衡了攻防关系,一定程度上转变了被动防守的局面。
最后,也是非常重要的一点了,就是欺骗诱捕体系由于是专门为欺骗攻击者产生的,内部部署了很多具备反制能力的技术,比如蜜标、溯源脚本等,能够采集攻击者的设备指纹与社交身份,甚至获取攻击者主机权限。所以也是真正意义上具备了一定的追踪溯源反制能力,一方面能够更高质量的输出攻击者画像作为威胁情报,另一方面转守为攻,实现攻防博弈能力。这也是近年来蜜罐产品热议的原因。
四、欺骗诱捕体系由哪些技术构成
蜜罐、蜜饵、蜜标、蜜网、蜜网等。后面的文章我们会继续梳理这些概念,这次就不再赘述了。
五、技术的未来展望
未来欺骗诱捕技术在中国的应用肯定是越来越广泛的。随着网络技术的发展以及国际环境的变化,网络安全被推上了风口浪尖,根据《中华人民共和国网络安全法》的要求,网络安全工作者也不再满足于合规建设,网络攻防实战能力成为必备,每年公安部牵头组织的网络实战演练,也极大的促进了各级机关、单位、企业对于网络安全的重视。
而欺骗诱捕技术在近两年的火热,也恰恰反映了其在攻防实战当中的所起到的积极作用。该技术未来的发展与应用,也必然会朝着更具实战能力、更高质量情报输出的方向发展:复杂的自动化网络编排、更有效的溯源能力、高质量仿真内容、更广阔的仿真场景(工控、物联网、5G等场景)、更好的隐蔽性与自我保护以及与传统安全防护体系的积极联动,会是该技术的主要延伸方向。
下期预告
《“迷网”系列科普(二):欺骗诱捕技术相关技术概念解读》