一、网络欺骗技术概述
网络欺骗技术的前身 — 蜜罐技术
蜜罐的思想最早源于Cliff Stoll的《布谷鸟的蛋》一书,该书描述了一系列有关跟踪黑客的事件,主人公利用蜜罐技术来追踪一起商业间谍案件。
在20世纪90年代后期,蜜罐作为一个欺骗攻击者与其进行交互的工具在网络安全领域兴起。
1998年,Cohen提出了欺骗理论框架和模型,并开发了欺骗工具包(Deception Tool Kit,DTK),通过伪装一些广为人知的漏洞,吸引攻击者的注意力。
1999年,Spitzner提出蜜网技术。蜜网是由多个蜜罐系统加上防火墙、入侵检测、数据分析与自动报警、攻击行为记录等辅助机制组成的网络防御体系,可以向攻击者提供更加充分的交互环境,使得安全人员能够在高度可控的蜜罐网络中,监测诱捕攻击活动,掌握攻击者的攻击方法、攻击意图和攻击工具。在之后的研究中,又引入了分布式蜜罐和分布式蜜网技术,实现了多点部署,显著扩大了蜜罐的覆盖范围。
2003年,蜜场的概念被提出,通过服务重定向技术将各个子网中的非法访问转移到一个集中的蜜罐网络中加以监控,为将蜜罐技术用于防护大规模分布式业务网络提供了一条可行的路径。
蜜罐技术最初的应用场景是辅助入侵检测技术来发现网络中的攻击者和恶意代码,在21世纪初,蠕虫大量爆发,蜜罐技术能够有效监测对具有主动传播特性的网络蠕虫。如今,蜜罐已经扩展至许多领域,在社交网络、物联网、无线网络、工业控制网络等新兴领域都发挥了重要作用。
蜜罐技术的特点及局限性
相比于其他传统网络防御技术,蜜罐技术具有以下特点:
- 一是使用简单,蜜罐不需要改变现有的网络部署方式,用户只需要将蜜罐合理放置在网络中并监测蜜罐告警信息
- 二是占用资源少,蜜罐仅记录和响应尝试与自己建立连接的行为,不会被庞大的网络流量淹没,同时,它对硬件要求较低,不需要昂贵的专用硬件设备
- 三是数据价值高,蜜罐只收集异常访问行为信息,收集到的数据具有较高的研究价值,通过研究分析,可以较完整地还原攻击者的攻击方法、意图和工具
蜜罐技术虽然在研究攻击者行为方面具有重要价值,但是由于自身存在的一些局限性,使其不足以在网络攻防对抗中完全掌握主动权,主要体现在以下方面:
- 一是现有蜜罐技术主要针对具有大规模影响范围的传统普遍化安全威胁,而对于具有特定目标性的高级持续性威胁,诱骗和监测能力不足。应对高级持续性威胁必须拥有高度可定制性、全面隐蔽性和动态环境适应能力,而这些特性恰恰是常规蜜罐技术所欠缺的。
- 二是蜜罐环境在逼真度和可控性方面存在难以调和的矛盾。高交互蜜罐虽然具备高度的诱骗性和伪装性,但在可控性、可维护性等方面存在不足;低交互蜜罐虽然维护成本较低、可控性好,但逼真度不够,难以捕获较高级别的攻击威胁。
总体而言,蜜罐技术相对于传统防御技术具有简单、高效等优势,但也存在动态性低,逼真度与可控性难以兼顾的局限。在网络攻击技术突飞猛进的背景下,传统蜜罐技术已难以适应网络安全防护需求。
从蜜罐技术演进到网络欺骗技术
蜜罐技术就是防御方为了扭转“易攻难守”的劣势局面而提出的一种主动防御技术,通过吸引、诱骗攻击者对其进行非法使用,从而对攻击行为进行记录,以研究攻击者的攻击目的、攻击方法和攻击工具,并通过技术和管理手段有针对性地增强目标系统的安全防护能力。然而,传统蜜罐存在位置固定、配置静态等不足,一旦被攻击者识破或者没能吸引攻击者注意力,蜜罐就可能完全失去作用。近年来,反蜜罐技术不断发展,使得攻击者绕过预设陷阱进而攻击真实资源成为可能,进一步限制了传统蜜罐的效能。
网络欺骗是根据蜜罐的思想演进而来的一种防御机制,通过在防御方网络信息系统中布设体系化的骗局,干扰、误导攻击者对被保护网络信息系统的感知与判断,诱使攻击者做出对防御方有利的决策和动作,从而达到发现、延迟或阻断攻击者活动的目的。
网络攻防过程可以通过美国空军上校约翰·包以德(John Boyd)提出的包以德(OODA)循环理论来描述。OODA循环由:
- 观察(Observe)
- 调整(Orient)
- 决策(Decide)
- 行动(Act)
四个环节组成。
基于OODA循环理论,攻防双方中谁能更快更好地完成“观察—调整—决策—行动”循环过程,谁就能够掌握攻防博弈的主动权。
网络欺骗通过干扰攻击者的OODA循环过程获取对抗过程的主动权和优势。利用网络欺骗技术,防御者可以在对手OODA循环的“观察”和“调整”阶段主动地提供欺骗性信息,迟滞对手的进程,从而给防御者争取更多的时间进行决策和开展行动。
如今,网络欺骗已经远远超越了蜜罐的概念,正朝着网络安全主动防御体系方向发展,开始与博弈论、人工智能等理论深度融合,同时网络虚拟化、软件定义网络、云计算等技术逐步应用于网络欺骗环境构建。
网络欺骗与传统防御技术的核心区别
网络欺骗与传统防御技术的一个根本区别是:
- 传统防御技术专注于攻击者的行为,目的是对它们进行检测和预防,关注的是攻击技术本身以及如何对攻击手段的精确识别
- 网络欺骗着眼于攻击者的认知,目的是干扰他们的认知并诱导攻击者采取有利于目标系统的决策,关注的是攻击者本人以及如何针对攻击者的心理进行干扰和打击
网络欺骗与传统防御技术的另一个区别是:
- 传统防御侧重于信息隐藏
- 网络欺骗防御会采取隐藏真实信息和披露虚假信息相结合的方式来误导攻击者,使其在观察阶段产生认知偏差,从而保护关键目标
网络欺骗与传统蜜罐技术的核心区别
- 蜜罐技术的主要目的是吸引攻击者进入伪装的网络环境,并收集攻击者的活动信息
- 网络欺骗的主要目的是综合使用多种欺骗手段混淆网络,使攻击者对真实的网络结构产生错觉。众所周知,网络探测是网络入侵行动的第一个环节,通过网络探测获取目标网络系统的结构配置等信息,为后续攻击动作提供依据。通过部署网络欺骗环境迷惑攻击者,使其不确定或不能准确地了解真实的网络结构,从而创造有利于防御者的非对称优势。
网络欺骗与移动目标防御的核心区别
移动目标防御(Moving Target Defense,MTD)是为了扭转攻防对抗的不对称格局而提出的主动防御技术,通过不断改变网络系统的属性来动态地转换攻击面,从而提高攻击者的攻击成本和攻击代价。在移动目标防御体系下,网络空间不再一成不变,而是瞬息万变,在动态变化中取得防御优势。
网络欺骗与移动目标防御技术的目标一致,都希望通过增加目标网络系统的不确定性来迷惑攻击者,但网络欺骗比移动目标防御更具攻击性,因为它会故意向攻击者提供虚假信息以使其形成错误的认知。
网络欺骗的部署成本与代价通常会低于移动目标防御。网络欺骗环境部署完成后,攻击者一旦进入,其活动大概率会被迟滞,而移动目标防御则需要频繁地触发动态与随机机制,改变系统的攻击面。
实际上,网络欺骗和移动目标防御机制可以很好地融合,弥补彼此的不足,构建出更加安全高效的网络安全防御体系。例如,在网络系统中加入蜜罐、蜜标等欺骗元素,精心构建出欺骗场景,可以显著扩大移动目标防御系统攻击面的转换空间,提升安全防御能力。
二、动态欺骗式防御的技术理念
动态欺骗、虚实结合
在2015年,国际知名研究机构Gartner提出攻击欺骗(Deception)的技术理念,并将其列为最具有潜力的新型安全技术手段。在Gartner的定义中,欺骗防御技术是指通过使用欺骗或者诱骗手段来阻止网络攻击活动的应对过程,破坏攻击者可能使用的自动化工具,拖延攻击者的入侵活动,并有效检测识别出攻击行为。
基于以上定义,我们可以将欺骗式防御技术理解为,通过刻意准备的诱骗性环境或行为,误导攻击者的分析判断和攻击活动,已达到帮助网络安全防护目标实现的应用效果。总结分析欺骗式防御技术的应用内涵,包含以下几点:
- 欺骗式防御以安全防护为目的,保护组织的网络、系统、应用等等资产
- 欺骗式防御通过暴露事实、隐藏事实、暴露谎言、隐藏谎言等战略战术实现获取攻击者信息、增加攻击难度、粘滞防御等目标
- 欺骗式防御属于主动防御的一部分,可以利用欺骗防御技术,构建诱捕、监控、溯源体系
网络空间防御模式从静态、被动的边界防御逐步发展为外向型的主动防御,这种主动防御可以对网络空间攻击进行学习、结合和影响。这种发展在策略、操作和战略的层面为通过网络空间抵赖与欺骗提高网络系统抵御攻击的能力打开了一扇新的大门。网络空间抵赖与欺骗是一种新兴的交叉学科网络空间安全防御体系。
网络空间欺骗链
网络空间欺骗链是从网络空间生命周期的角度建立的网络空间抵赖与欺骗操作管理高级元模型。
类比于洛克希德·马丁公司提出的“网络空间杀伤链”模型,网络空间欺骗链是从用于策划、准备和执行欺骗操作的流程发展而来的。网络空间欺骗链促进了网络空间抵赖与欺骗、网络空间威胁情报和网络空间运营安全3个系统间的相互融合。网络空间欺骗链一共分为8个阶段,如下图所示。
- 制定目标:就是网络空间欺骗的目的,由于网络欺骗的根本目的是为了影响攻击者的行为,网络空间欺骗的目的则要与对攻击者行为影响的预期息息相关。也就是说,欺骗的目的是通过引导攻击者实施或不实施某些操作,来帮助防御方实施网络空间防御。
- 收集情报:在网络空间欺骗链的第二个阶段中,拒绝与欺骗策划者定义了攻击者在遭到欺骗后的预期行为。从某种程度上说,攻击者预期行为是策划者通过网络空间威胁情报定义的。主要包括攻击者将会观测到什么;攻击者将会如何解读这种观测;攻击者将会如何对观测的结果进行或不进行反馈;以及攻击者的行为如何被防御方监控。
- 设计故事:所谓“封面故事”是指网络空间抵赖与欺骗策划者想要攻击者探测和相信的信息。拒绝与欺骗策划者会将重要组件的抵赖与欺骗操作考虑在内;评估攻击者观测和分析的能力;虚构令攻击者信服的故事,并利用它“解释”攻击者可观测运营组件的原因;同时误导攻击者对其观测意义和重要性的解读。拒绝与欺骗策划者将决定什么信息必须要被掩盖,什么信息必须被虚构并且曝光。
- 筹备工具:在这个阶段,网络空间抵赖与欺骗策划者需要分析所要隐藏的真实事件和活动的特征,以支持封面故事的设计;要鉴别攻击者可以观测的相关签名;要计划利用拒绝策略(比如伪装、重组、扰乱和标注等)隐藏来自攻击者的签名。策划者还要分析可用于描绘和观测所支持骗局的名义上的事件与活动的特征;鉴别攻击者可以观测的相关签名;计划使用可以误导攻击者的欺骗性策略。
- 准备欺骗:在这个阶段,抵赖与欺骗策划者需要对可以使攻击者认知和感知产生影响的欺骗运行进行设计,并探索可用的手段和资源以创造这些影响。
- 执行欺骗:随着欺骗转变和真实运营准备的同步进行和相互交叉,抵赖与欺骗策划者和网络空间运营安全专家必须协同并控制所有正在进行的相关运营,从而可以在不妨碍和折损真实运营的情况下持续、可靠、有效地支持和实施所设计的骗局。
- 实施监控:抵赖与欺骗策划者与网络空间威胁情报分析师、网络空间运营安全专家共同对欺骗和真实运营进行监测和控制。这将对友军和敌军的运营准备实施监控;将会密切关注观测通道和信源选择性传播给攻击者的欺骗信息;将会监测攻击者对“表演”,即执行的封面故事的反馈。网络空间抵赖与欺骗操作员必须通过监测攻击者以决定欺骗性运营是否对攻击者行为产生了预期影响。
- 强化效果:如果网络情报获知欺骗操作没有把封面故事“出售”给攻击者,且并未对攻击者的行为产生预期的影响,那么网络空间抵赖与欺骗策划者就需要通过进一步欺骗、利用其他通道和信源将欺骗运营传递给攻击者以强化封面故事。策划者要重回网络欺骗链的第一步,执行备用欺骗,或者规划其他的运营。
三、动态欺骗式防御的挑战和应用价值
动态欺骗式防御的挑战
一直以来,安全对抗态势呈现出一种并不对等的局面:攻击者只要找到一个脆弱点就可以成功实施攻击活动,而防御者却要疲于应对不计其数的安全漏洞和尚未识别的潜在威胁。
- 挑战一:自动化攻击大量出现。随着人工智能技术应用的快速发展,新型高级网络攻击手段也变得越来越智能化、自动化、常态化,高级Bots机器人攻击为网络安全行业带来了更为严峻的挑战。欺骗防御能够覆盖网络边界、网络流量、主机层、应用层、数据层等各维度,在网络环境上,对办公网、生产网、测试网等根据环境和业务特性进行不同方式的覆盖,构建欺骗防御体系化的感知能力,发现各类自动化扫描,机器人攻击,能够满足低成本、大批量的部署要求。
- 挑战二:传统攻击转变为高级威胁。目前,APT攻击已呈高发趋势,无论是攻击组织数量,还是攻击频率都较以往有较大增加。APT攻击也称为定向威胁攻击,指某组织对特定对象展开持续针对性的攻击活动。相较于传统攻击,APT攻击具有隐蔽性、针对性和持续性等攻击特征。无论APT攻击多么隐蔽,但最终的目的仍然是目标系统,欺骗防御产品区别于传统安全产品的安全检测思路,以攻击者的目标、攻击思路、攻击步骤视角,构建覆盖整个攻击链路的防护链路。
- 挑战三:威胁发现能力不足。在传统的安全防护建设中,很多产品形成的能力是单点式的,孤岛式的安全能力建设模式缺乏对全局安全数据的可见性,高级威胁的发现越来越难以通过单一的安全能力来实现;并且海量信息的实时关联和分析对安全算力要求极高,由于不同安全产品之间缺少数据的关联,产生了大量无效的告警信息,难以发现对组织真正造成的威胁,同时也降低了安全运维的效率。
动态欺骗式防御的应用价值
欺骗防御作为主动防御体系的重要实现,具有高度开放性,能够与现有的安全防护体系、安全运营平台、威胁情报平台进行对接,输出网络攻击、攻击者信息、安全事件过程等关键数据,为整体安全防护和安全运营工作提供精准可靠的情报,为安全建设规划和安全策略优化等作决策支撑。
- 价值一、获得更多的攻击信息。在传统的安全防护过程中,许多安全控制是“基于边界”的,在网络边界部署安全产品阻止恶意的攻击行为。但随着现在混合云的使用,以及新冠疫情对于远程办公的推动,组织的网络架构已经改变,边界也变得越来越模糊,这就让以往基于边界的防护越来越具有挑战性。同时,许多低成本及自动化的攻击工具不断涌现,这让攻击者可以连续探测计算机系统,直到发现漏洞并继续进行下一步渗透,而防御者不会得到任何攻击目标的信息。使用欺骗式技术可以提高对攻击尝试的理解,提高对攻击威胁的感知。
- 价值二、增强系统的攻击难度。在攻击策略上,欺骗防御可以通过部署复杂的策略,如隐藏真实的资产,将真实资产伪装成蜜罐,布置陷阱等,诱导攻击者做出错误的行为、得出错误的结论,然后通过一些附加的防御措施保护目标系统。这无疑增加了攻击者获取目标系统信息的难度。
- 价值三、实现粘滞防御。欺骗式防御能够给攻击者提供虚假的欺骗性情报信息,影响攻击者下一步攻击策略的制定和执行。同时,这也给防御者更多的时间来准备和计划下一步的防护决策和行动。基于欺骗的防御的主要优势是在这样的比赛中为防御者提供了一个优势,即他们主动地给恶意敌手欺骗性的信息,更具体地说是循环的“观察”和“调整”的阶段。
- 价值四、增加对攻击者的威慑。目前很多安全控制的重点在于防止非法尝试访问计算机系统相关的活动。结果,入侵者正在使用这个准确的负反馈作为他们的尝试是否已被检测到的标志。然后,他们会退出攻击,使用其他更隐蔽的渗透方法。在计算机系统的设计中引入欺骗,这增加了恶意敌手考虑新方法的可能性,即他们是否已经被检测到还是被欺骗了。这阻止了一部分不想冒更多风险的攻击者。这种新的可能性可以阻止那些不愿意冒被欺骗的风险的攻击者做出进一步的分析。此外,这种技术使防御者有能力通过主动提供虚假信息,将攻击者的渗透尝试转变成防御者自身的优势。
四、欺骗式防御的技术类型
从更宏观的视角观察欺骗式防御技术的发展,可以分为两类:
- 一类是战术方面的演进,以蜜罐技术为核心,形成密网、蜜场、蜜标、蜜饵与其他安全产品结合的欺骗防御平台
- 一类是战略上的变化,以移动目标防御、拟态防御为代表,从系统架构等更深的层次,改变系统的特征,对现有防御思想进行颠覆性变革,实现原生安全
下面分别简单介绍各个技术:
战术方面的技术类型
- 蜜罐:蜜罐是一种软件应用系统,用来撑当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。蜜罐有两种主要的应用类型:高交互性蜜罐主要通过设置一个全功能的应用环境,引诱黑客攻击;低交互性蜜罐则是模拟一个特定的生产环境,所以只需要导入有限的信息。
- 蜜网:蜜网是指由多个蜜罐组成的模拟网络。当多个蜜罐被网络连接在一起时,就可模拟出一个大型的应用网络,并利用其中一部分主机吸引黑客入侵,通过监测、观察入侵过程,一方面调查入侵者来源,另一方面也可以考察安全措施是否有效。
- 蜜场:蜜场是蜜罐技术的延伸,它具有“逻辑上分散,物理上集中”的部署特点,通过使用重定向技术把多种恶意访问集中到一起,进行统一管理,统一分析。
- 蜜标:蜜标是一种特殊的蜜罐诱饵,它不是任何的主机节点,而是一种带标记的数字实体。它被定义为不用于常规生产目的的任何存储资源,例如电子邮件消息或数据库记录。
- 蜜饵:蜜饵一般是一个文件,工作原理和蜜罐类似,诱使攻击者打开或下载。
战略方面的技术类型
- 欺骗防御平台:欺骗防御是一个集中管理系统,用来创建、分发和管理整个欺骗环境以及各个欺骗元素,包括工作站、服务器、设备、应用、服务、协议、数据和用户等多种元素。
- 移动目标防御(MTD):移动目标防御是美国国家科学技术委员会提出的基于动态化、随机化、多样化思想改造现有信息系统防御缺陷的理论和方法,其核心思想致力于构建一种动态、异构、不确定的网络空间目标环境来增加攻击者的攻击难度,以系统的随机性和不可预测性来对抗网络攻击。
- 拟态防御:拟态防御是一种主动防御行为,也是我国研究团队首先提出的主动防御理论,核心是实现一种基于网络空间内生安全机理的动态异构冗余构造,为应对网络空间中基于未知漏洞、后门或病毒木马等的未知威胁,提供具有创新意义的防御理论和方法。
目前,欺骗技术逐渐发展成为了安全运营体系中新一代检测和响应技术的重要组成部分,各大安全厂商都将欺骗技术与其他安全产品更紧密联动,向着深度融合的趋势发展。在体系化的欺骗式防御应用方案中,应具备多种重要能力,包含:
- 业务仿真
- 威胁感知
- 协同防御
- 攻击行为分析
- 溯源
- 网络地址变换
- 端口重定向多种模拟的能力
蜜罐补丁(一种新型软件网络空间欺骗技术)
当一个软件安全漏洞被发现时,传统的防御响应是快速修补软件来解决问题。但是,如果补丁具有暴露和突出防御者网络中其他易受攻击漏洞的副作用,这种常规的补救措施可能会适得其反。不幸的是,上述现象很常见。补丁式的修补方式往往使攻击者能具体地推断出哪些系统已被修补,哪些系统未打补丁、易受攻击。由于补丁很少被直接采用,所以存在未打补丁的系统是不可避免的,例如,为确保补丁的兼容性,往往需要进行提前检测。
因此,大多数软件安全补丁对新发现的漏洞进行修复的同时,也告知了攻击者该系统仍然易受攻击。这不但形成了一种对抗文化,也使得漏洞探测成为网络空间杀伤链中的关键一环。
蜜罐补丁是一种改变了游戏规则的替代办法,可用来预测和击败这些定向的网络空间攻击。它的目标是通过一种方式来修补新发现的软件安全漏洞,也就是,使未来的攻击者无法再次攻击这些已修补的漏洞,但对攻击者仍然显示漏洞攻击成功。这样就掩饰了已修补的漏洞,防止攻击者轻易地识别出哪些系统是真正未打补丁的,哪些是由打过补丁的系统伪装而成的。所检测到的攻击会被重定向到隔离的、未打补丁的诱饵环境中,受害靶服务器具有完全交互功能,只不过利用“蜂蜜”数据向对手提供假情报,并积极主动地监控对手的行为。
欺骗性的蜜罐补丁能力形成了一种先进的、基于语言的主动防御技术,可以阻止、挫败和误导攻击,并能显著提高攻击者所面临的风险和不确定性。除了有助于保护内部设有蜜罐补丁的网络空间之外,它也有利于公共网络空间的安全。
五、部署有效欺骗的7大战术
使用真实计算机作为诱饵
KnowBe4的数据驱动防御专家Roger Grimes称,最好的欺骗诱饵是最接近真实生产资产的诱饵。如果欺骗设备与其他系统明显不同,会很容易被攻击者发现,因此,诱饵成功的关键是使其看起来像另一个生产系统。Grimes表示,攻击者无法分辨生产环境中使用的生产资产和仅作为欺骗性蜜罐存在的生产资产之间的区别。
诱饵可以是企业打算淘汰的旧系统,也可以是生产环境中的新服务器。Grimes建议,请确保使用与实际生产系统相同的名称——并将它们放在相同的位置-具有相同的服务和防御。
Acalvio的Moy说,关键在于要融入。避免使用明显的迹象,例如通用MAC地址、常见的操作系统补丁程序以及与该网络上的通用约定相符的系统名称。
确保诱饵显得重要且有趣
威胁行为者讨厌欺骗,因为他们知道欺骗会导致他们掉进“兔子洞”而不自知。Crypsis Group的首席顾问Jeremy Brown说,高级欺骗可以极大干扰攻击者的活动,并使他们分心数小时,数天甚至数周。
他表示,一种常见的欺骗式防御技术是建立虚拟服务器或物理服务器,这些服务器看上去存储了重要信息。例如,运行真实操作系统(例如Windows Server 2016)的诱饵域控制器对攻击者来说是非常有吸引力的目标。这是因为域控制器包含Active Directory,而Active Directory则包含环境中用户的所有权限和访问控制列表。
同样地,吸引攻击者注意的另一种方法是创建在环境中未积极使用的真实管理员账户。威胁参与者倾向于寻找赋予他们更高特权的账户,例如系统管理员、本地管理员或域管理员。如果发现账户中存在此类活动,则说明网络中存在攻击行为。
模拟非传统终端设备
Fidelis产品副总裁Tim Roddy说,在网络上部署诱饵时,不要忘记模拟非传统的端点。攻击者越来越多地寻找和利用物联网(IoT)设备和其他互联网连接的非PC设备中的漏洞。因此,请确保网络上的诱饵看起来像安全摄像机、打印机、复印机、运动探测器、智能门锁以及其他可能引起攻击者注意的联网设备。
记住,你的诱饵需要融合到攻击者期望看到的网络场景和设备类型中,这里也包括物联网。
像攻击者一样思考
在部署诱饵系统或其他诱饵时,请站在对手的角度考虑你的网络薄弱的,利用这种思想来制定检测目标清单优先级,以弥补防御系统中的漏洞。
此外,还要考虑攻击者可能需要采取的步骤类型以及攻击目标。沿路径布置一条面包屑痕迹,这些诱饵与对手可能的目标有关。例如,如果攻击者的目标是凭据,请确保将伪造的凭据和其他基于Active Directory的欺骗手段作为策略的一部分。
使用正确的面包屑将过攻击者引诱过来
入侵员工PC的攻击者通常会转到注册表和浏览器历史记录,以查看该用户在何处查找内部服务器、打印机和其他设备。Fidelis的Roddy说,面包屑是模仿这些设备的诱饵的地址。
一个好的做法是将这些诱饵的地址放在最终用户设备上。如果设备受到威胁,攻击者可能会跟随面包屑进入诱饵,从而警告管理员入侵已经发生。
主要将欺骗用于预警
不要仅使用蜜罐和其他欺骗手段来试图跟踪或确定黑客的行为。相反地,最好使用欺骗手段作为预警系统来检测入侵,并将跟踪和监视留给取证工具。
Grimes表示,“根据定义,当蜜罐获得意外连接时,这可能是恶意的。不要让蜜罐警报出现在SIEM中,也不要立即进行调查。”
保持欺骗的新鲜感
旧把戏是任何骗术的敌人。真正有效的欺骗技术,需要不断翻新,以跟上用户活动,应用程序乃至网络暴露情况的变化。例如,新漏洞可能无法修补,但可以通过欺骗快速加以保护。
使用欺骗来增强在已知安全漏洞方面的检测功能。这可能包括难以保护或修补的远程工作人员的便携式计算机、VPN网关网络、合作伙伴或承包商网络以及凭据。
六、欺骗技术发展现状及趋势
根据IDG发布的研究报告指出,2020年的安全预算平均值为7270万美元,高于2019年的5180万美元,而这些安全预算正用于积极研究和投资各种安全解决方案。
其中,一些关键解决方案包括:
- 零信任技术(40%)
- 欺骗技术(32%)
- 微细分(30%)
- 基于云的网络安全服务(30%)
Markets and Markets 发布的一项最新的市场研究报告显示,在2021年欺骗防御技术的市场规模将从现在的10.4亿美元增长到20.9亿美元,复合年增长率(CAGR)约为15.1%。
Mordor Intelligence则估计称,到2025年,市场对网络安全欺骗式防御工具的需求将达到25亿美元左右,而2019年仅为12亿美元。大部分需求将来自政府部门、全球金融机构和其他频繁发生网络攻击的目标。
现有网络欺骗技术没有形成固定且统一的形态,而是随着攻击技术与网络安全需求的变化而演化。尽管有一些网络欺骗技术的理论研究工作,然而更侧重于对网络欺骗效果的分析,没有成体系的理论基础与通用的标准规范。与其他安全防御措施相比,基于欺骗的防御工具需要防止被入侵者发现,这就要求与业务系统具有高度的一致性,现有的欺骗技术在根据业务系统进行动态调整的能力上还有所欠缺,由安全人员开发的欺骗工具与业务环境契合度尚需完善。
概括起来,网络欺骗技术未来发展趋势包括:
- 与威胁情报相结合。一方面利用威胁情报提供的信息完善欺骗策略,另一方面欺骗技术捕获到的信息反过来可以助力威胁情报的生成
- 可定制、智能化的网络欺骗技术框架研究与开发。通过机器学习、人工智能等技术根据所部署的业务环境自动生成与业务系统高度一致、具有高保密性的欺骗环境
- 研究以SDN、云平台等技术部署的具有伸缩性的网络欺骗工具
- 结合认知心理学、军事学等学科关于欺骗的研究成果。进行网络欺骗模型与理论研究。
网络空间防御作为保证网络安全的关键,无论在方法理论、体系构建、还是技术实施等方面都在不断推陈出新。不同于以往“封门堵漏”的被动防御思想,网络空间防御正朝着主动防御的思想策略发展演变。欺骗防御跳出了技术对抗的思路,把关注点从攻击上挪开,进而去关注攻击者本身。
七、欺骗防御业内的竞品动作
美空军研发网络欺骗系统
2017年,美国空军研究实验室(AFRL)投资75万美元开发网络欺骗系统,该系统是一个生成流量的误导系统,为了生成流量,系统会观察本地流量,然后生成与现有流量无法区分的流量,但会经过细微修改满足管理员的目标。
附加的信息能被用来将对手引向假工作站或服务器,和/或将他们的注意力从真正的检索术词或操作优先项转移开来,从而误导渗透进网络的攻击者,使其怀疑获取的信息,或误导他们犯错,尽快暴露,以大大降低攻击者渗透网络的能力。
该项目共分为两个阶段,
- 第一阶段重点研究如何根据对本地流量的观察生成高度真实的流量
- 第二阶段将集中扩展各种协议的生成能力,并使用“蜜罐数据”(Honey Data)— 定制的数据误导攻击者,从而使其采取对我们有利的行动
美国陆军研发网络欺骗技术
2018年8月,美国陆军卓越网络中心在一份机构声明中表示,该中心正在测试网络空间欺骗能力,“这种能力可以用来提供早期预警、虚假信息、混淆信息、赛博延迟或以其他方式阻碍赛博攻击者”。美国陆军补充说,通过使用一种基于传感器的人工智能来学习网络架构和相关行为,从而实现拒止、中立、欺骗和重定向网络攻击。该声明强调要使用自主设备实现网络防御能力。
这并不是美国军方首次对欺骗网络攻击者的技术研发工作进行投资。六年多来,美国国防高级研究计划局(DARPA)一直在投资一个项目,该项目通过伪装、隐藏和欺骗攻击者来保护网络系统。其理念是对基础设施和其他企业资源(如交换机、服务器和存储器)进行虚拟复制以混淆敌人视听。诱饵文件系统可以混淆攻击者,从而大大降低他们攻击的成功率。
该项目并不是一个独立的系统。它是一个更大的以“移动目标为主题”的情报、军事和安全网络项目的一部分,该主题随时间的推移而不断变化。
Acalvio ShadowPlex
Acalvio的ShadowPlex平台可大规模提供企业级欺骗技术。该公司表示,ShadowPlex旨在最大限度减少管理开销和日常管理。他们的安装框架为诱饵部署提供极高的灵活性和可扩展性,并且可以选择通过云或本地部署管理仪表板。
当攻击者与诱饵交互时,可以在时间线、详细事件数据(例如PCAP(数据包捕获)、日志捕获和攻击中使用的凭据)中检查信息。当使用所谓的“高交互模式”时,ShadowPlex将提供攻击者的所有键盘输入、连接的网络、任何文件修改以及在诱饵中使用的任何系统进程和工具。企业环境在不断变化,ShadowPlex能够对环境持续评估并相应地更新诱饵。
ShadowPlex可与威胁追踪和安全运营团队使用的工具配合使用,因为它产生的误报很少,能够为上述团队提供可用于事件响应和主动威胁追踪的数据。ShadowPlex可与SIEM和SOC团队的日志管理解决方案(例如Splunk、ArcSight和QRadar)集成。
ShadowPlex还可以保护大部分OT物联网(IoT)传感器和设备甚至整个工业控制中心。对于IoT和OT设备而言,增加一层欺骗技术防护至关重要,因为许多设备本身的本机安全性有限或根本没有,这也使ShadowPlex成为医疗环境的不错选择(还可以模仿台式电脑和医疗设备)。
Attivo ThreatDefend欺骗和响应平台
2022年3月,SentinelOne收购了Attivo Networks,虽然分析师认为此次收购的主要目标是Attivo监控密码和用户异常行为的身份安全评估能力,但SentinelOne还获得了Attivo的网络和云的欺骗式防御技术——ThreadDefend欺骗和响应平台。Attivo是首批在产品中添加响应功能的欺骗技术厂商之一,该公司通过ThreatDefend进一步推动了这一点,该平台可以部署在本地、云端、数据中心或混合环境中,所有部署的诱饵都与网络中的真实资产高度相似。
ThreatDefend欺骗和响应平台平台的目标与其他欺骗工具并无不同,即部署可与攻击者交互的虚假资产,同时这些虚假资产对于实际用户来说又是不可见或者无法访问的。不过,有些诱饵比其他诱饵更公开一些,这有助于找出内部威胁或窥探员工。
一旦攻击者与ThreatDefend的欺骗性资产进行交互,后者所做的不仅仅是生成警报,它还能向攻击者发出其可能期望的各种响应。它还可以激活沙盒,将攻击者上传的任何恶意软件或黑客工具导入沙盒环境。这不仅可以保护网络,还可以检查恶意软件以确定攻击者的意图和策略。
该平台还允许管理员采取一些措施,例如隔离被攻击者用作启动平台的系统或作废受感染用户的凭据。当用户开始信任该平台后,可以设置为在收集到重要威胁情报后自动运行上述措施,这可以帮助防御者快速提升响应能力,在争分夺秒的事件响应中取得优势。
Illusive Shadow
顾名思义,Illusive Networks公司的Illusive Shadow试图给攻击者的横向移动制造错觉。Illusive Shadow将端点设备变成欺骗装置,为攻击者设置了一个“十面埋伏”的危险环境。该公司声称,其无代理设计可防止黑客检测到欺骗行为,其欺骗技术在与微软、Mandiant、美国国防部和思科等组织进行的140多次红队演习中保持不败战绩。
因为是无代理的,所以Illusive Shadow可以直接部署在本地、云或混合云中。正如人们所预料的那样,Illusive Shadow诱饵以凭据、网络连接、数据和系统以及攻击者可能感兴趣的其他资产的形式出现。Illusive Shadow还会随着企业环境的变化而自动扩展和更改,并将为每台机器定制端点诱饵。
安全分析师和SOC团队对Shadow的管理控制台能够根据攻击者与诱饵、关键资产的交互和攻击活动时间表建模分析攻击者的攻击阶段,这一功能对安全分析师和SOC团队很有吸引力。
CounterCraft网络欺骗平台
CounterCraft的网络欺骗平台(Cyber Deception Platform)通过ActiveLures捕获攻击者,后者可以自定义或基于模板。这些ActiveLure的“面包屑”分布在端点、服务器,甚至在GitHub等在线平台上,吸引攻击者进入ActiveSense环境。
ActiveSense环境基于代理收集的数据,并通过安全和分段的环境反馈。整个系统旨在实时提供有关攻击者活动的情报。根据CounterCraft的说法,ActiveSense环境可以通过CounterCraft平台快速部署和控制。
整个欺骗系统旨在灵活地部署在现有IT环境,并与现有的安全、信息和事件管理系统以及威胁情报系统集成。它还支持企业安全团队已经习惯的常见格式,例如SysLog或OpenIOC。收集的威胁信息也可以自动发送到其他安全系统。
了解攻击者的一种有效方法是通过可视化图表对他们的活动进行建模。CounterCraft的攻击图谱结合来自欺骗平台的实时信息,可帮助安全团队了解攻击者的策略、工具和程序。
Fidelis欺骗平台
Fidelis欺骗平台(Deception Platform)声称其欺骗资产可通过下拉菜单和向导轻松部署,用户可选择让Fidelis平台查看环境并自动部署欺骗资产。该产品在部署时与环境中其他资产能够很好地匹配,还能监控网络的变化和扩展,并给出相应的欺骗式防御建议。例如,如果一家公司添加了一堆新的物联网安全摄像头,Fidelis将检测到这一点并建议部署相似特征的假摄像头。该平台支持几乎所有物联网设备,以及大量OT网络中的设备。
除了易于部署之外,Fidelis还能很好地管理控制其虚假资产,让它们相互通信并执行相同类型的普通设备会执行的操作。甚至还提供一些令人惊讶的高级策略,例如毒化地址解析协议表,使欺骗性资产看起来与真实资产一样活跃。
Fidelis的独到之处还包括能生成以真实方式与欺骗性资产交互的假用户。试图确定资产是否真实的黑客会查看用户与之交互的证据并放松警惕。
TrapX DeceptionGrid(现为CommVault)
2022年2月,数据治理和安全公司CommVault收购了TrapX及其欺骗式防御技术DeceptionGrid,后者是最受欢迎的欺骗平台之一,因为它能提供高度仿真的“高仿资产”。借助DeceptionGrid,企业可以在受保护的网络上轻松部署和管理数千个虚假资产。
DeceptionGrid部署的欺骗资产包括普通网络设备、欺骗令牌和主动陷阱。主要的欺骗性资产被设计成看起来像功能齐全的计算机或设备,而且还为金融或医疗等行业提供了设计模板。DeceptionGrid可以模仿从自动取款机到POS机的几乎任何物联网资产。此外,DeceptionGrid还可以部署具有完整操作系统的欺骗性资产——FullOS陷阱,旨在让攻击者相信他们正在使用真实资产,同时全面监控并收集攻击者一举一动的威胁情报。
TrapX部署的欺骗令牌看上去不起眼但同样重要。与功能齐全的欺骗性资产不同,令牌属于普通文件、配置脚本等类型的诱饵,攻击者在试图入侵系统时会收集系统和网络的信息,这些诱饵令牌不会与攻击者互动,但在被访问、复制或查看时会提醒安全团队。
主动陷阱串联起了DeceptionGrid部署的大量欺骗性资产,这些陷阱在欺骗性资产之间传输大量虚假网络流量,并提供指向欺骗网络其余部分的指针和线索。任何悄悄监控网络流量的攻击者都可能被虚假网络流量欺骗,将欺骗性资产作为攻击目标。
TrapX DeceptionGrid最近在本地和云基础设施中添加了欺骗技术容器环境。通过检测高级网络攻击并提供对软件漏洞利用和容器之间横向移动的可见性,DeceptionGrid 7.2为增强的事件响应和主动防御提供了全面的保护。
原文始发于郑瀚Andrew :动态欺骗式防御技术初探