攻擊欺騙防禦技術在網路攻防實戰中的演化

SLLAQZX發表於2020-06-17
2020年4月,一段不明飛行物(UFO)影片引發了各界的廣泛猜測。美國福布斯網站報導稱,這一段影片很可能是美軍最新技術“幻影誘餌”的演練影像。該技術被視為“遊戲規則改變者”,它可以保護戰機免受紅外製導導彈的攻擊。
攻擊欺騙防禦技術在網路攻防實戰中的演化

五角大樓公佈的美軍拍攝到的UFO畫面


傳統的紅外干擾彈也能夠用來誘騙敵軍,使紅外製導武器脫離真實目標,但在發射後,干擾劑會迅速四散下落。“幻影誘餌”不同,它能夠根據戰機需要來調整投放位置和使用時間;還可以給飛機安裝多個鐳射源,各自生成不同“幻影”,足以迷惑當前最先進的紅外製導系統;甚至可以投射虛假影像以掩護其他目標,例如戰艦、戰鬥群、軍事基地乃至城市。

從單次即失效到位置與時間靈活可控,從單點防護到多點欺騙,從守護戰機自身到掩護整座城市。擴大誘惑面,提高模擬度,守護更多真實資產,這正是“幻影誘餌”的高明之處,它已經完成了從“低互動誘騙”到“高互動誘騙”的進化。

事實上,網路空間與現實世界正發生深度交融,網路安全邊界逐漸模糊,各類已知和未知的安全威脅不斷湧現。網際網路安全其本質是駭客和開發者之間的攻防戰爭,既然是戰爭,就可以借鑑現實戰爭思維來實施防禦。如何將上述欺騙防禦技術“搬運”到網路空間,打造網路安全界的“幻影誘餌”實施防禦?

防守之難:如何消除攻防資訊的不對等?

網路空間安全形勢日趨嚴峻,網路安全攻防演練逐漸成為常態化需求。“拿下10個shell,不如打下一個內網”,內網安全的重要性不言而喻。但在攻防對抗中,攻擊者往往只要找到一個弱點便可直擊企業心臟,防守者卻需要全面考慮風險點,稍有疏忽便功虧一簣。我們唯一確信的是:新的威脅在不斷出現,企業一定存在未被掌控的風險點,而攻擊者一定會在某次攻擊中將其洞穿。

“攻擊者什麼時候進攻?如何知道攻擊者打到哪了?攻擊者打進來都幹了什麼?”

對守方來說,永遠無法預知攻擊者下一步的進攻方式。傳統安全產品無法應對頻發的0day攻擊,亦無法精準感知攻擊隊程式,被內網漫遊了仍不知道是哪裡失守。

此時,攻擊欺騙防禦技術便成了一支奇兵,透過構造一系列虛假環境,有意誤導攻擊者走入“獵人”設定好的陷阱,透過先發制人幫助企業消除攻防資訊的不對等、保護企業真實資產,不再被動響應、盲目捱打。

具體來說,企業採取了更加主動的防禦措施以消耗攻擊成本,例如部署蜜罐,提供虛假裝置或服務來誘捕攻擊者,誤導攻擊者採取錯誤的攻擊方式與工具,這正是攻擊欺騙防禦的主要落地形式。一旦攻擊者觸碰蜜罐系統或開啟蜜標檔案,即刻會被防守方監測,但攻擊者對此尚無感知。在對蜜罐掃描、探測、訪問的過程中,蜜罐系統在不斷消耗攻擊資源、拖延攻擊時間、記錄攻擊行為。防守方從而得以瞭解攻擊方的工具、方法和動機,不僅對當前面對的未知安全威脅有了清晰認知,也能夠透過技術和管理手段來增強實際系統的安全防護能力。

攻擊欺騙:源於蜜罐,勝於蜜罐

陷阱能否成功迷惑敵軍,重點在於偽裝得像不像。

攻擊隊也不傻,你有張良計,我有過牆梯。近年來反蜜罐技術逐漸興起,傳統開源蜜罐因為配置靜態、資訊有限,只能簡單模擬一些作業系統、服務和應用,因此越來越容易被識破。魔術手法一旦曝光,觀眾便會覺得索然無味,低互動蜜罐逐漸失去了價值。

攻擊欺騙防禦技術在網路攻防實戰中的演化

傳統低互動蜜罐示意圖

經過長達三十年的技術演變,如今的高互動蜜罐早已不再囿於蜜罐,而是配合了蜜網、蜜標等其他欺騙手段,我們應該稱之為攻擊欺騙防禦體系。該體系不僅可防護具有大規模影響範圍的非定向攻擊,也大大提升了對個體性定向攻擊的監控效率。既可以單獨使用,也可以部署於業務系統之上,還可與已有的網路防禦機制聯動,提高系統識別威脅和應急響應的能力。相比傳統蜜罐,該體系更像是配備了鐳射的“幻影誘餌”,團隊作戰,且騙術高超。

1.    混合式蜜罐

集低互動和高互動蜜罐為一體的混合式蜜罐,既具備低互動蜜罐對資源要求低的好處,也擁有高互動蜜罐響應能力高的優勢。結合企業特點按需生成,大大降低了資源消耗。

2.    雲蜜標

蜜標系統可生成極具誘惑性並含有“敏感資料”的Word、 PDF、 EXE 等蜜標檔案,並將蜜標檔案分發到蜜罐系統中。當攻擊者竊取蜜標檔案並執行開啟操作時,蜜罐系統會接收回傳的攻擊主機資訊,併傳送給攻擊事件分析平臺,同時向運營者發出告警資訊。而云蜜標的出現讓攻擊者更無遁逃餘地,在任何網路環境下開啟檔案,資訊都會上傳至雲端,告警更準確。

3.    自適應部署

誘捕面的合理部署是影響到防禦效果優劣的重要因素。考慮到企業中安全運營人員的安全能力參差不齊,很難做到從攻擊視角完成Agent部署。現在依託機器學習、人工智慧技術,Agent會根據所部署的業務環境進行智慧識別分析,自動推薦與業務系統高度一致的欺騙環境模板,並實現一鍵配置,大幅縮減安全運營所需人力和時間。

4.    精準溯源

當攻擊者觸碰欺騙模組時,系統會記錄攻擊行為,識別攻擊者IP地址、社交賬號、指紋等資訊,同時聯動全球威脅情報和安全大資料,對攻擊者進行畫像以及自然人社交身份定位。

5.    企業威脅情報源

攻擊欺騙防禦技術一方面可利用已有威脅情報資料完善欺騙策略,另一方面也能將捕獲到的資訊上報,助力企業生成自己的威脅情報源。

攻擊欺騙防禦技術在網路攻防實戰中的演化

360攻擊欺騙防禦服務部署示意圖

欺騙的價值在於攻擊者能得到“真實”的回應,讓他誤以為當前攻擊有效可行。無論攻擊者從哪一個入口進入、進行到任何攻擊階段,都有拖延之術,這就為防守方爭取了黃金防護時間,甚至還提供了反制的機會,圍魏救趙也不過如此。

360攻擊欺騙防禦服務

依託360安全大腦的海量安全大資料,由漏洞雲、威脅情報雲以及超3800人的安全專家雲賦能,360“攻擊欺騙防禦”服務是基於攻擊欺騙理念,而推出的內網威脅感知產品與安全專家相結合的主動防禦服務。

360安全專家團隊擁有多年網路攻防對抗實戰經驗,可依據客戶的網路和業務情況,推薦具有針對性的探針部署方案,透過高模擬蜜標、蜜罐和自定義蜜網的綜合應用,增強對惡意入侵者的攻擊捕獲能力、延緩攻擊程式,為企業贏取應急響應時間,保護企業真實資產。同時也可根據客戶需要,提供安全事件應急響應服務,輸出安全攻擊事件報分析報告,助力企業提升主動防禦能力。

360攻擊欺騙防禦服務支援本地安全大腦部署和雲端安全大腦部署兩種模式。本地部署採用探針+server模式,對客戶原有網路架構不會產生任何影響。雲端部署採用SaaS模式,可為您提供物理機級別的雲上安全服務。您無需額外購買裝置,只需透過部署極其輕量的軟體探針,即可極速構建內網安全體系。

雲端服務優勢

l  申請後24h 內即可開通並部署,便捷高效

l  按月付費,自定義使用時間,精準量化服務成本

l  7*24小時安全專家技術支援,配合客戶進行應急響應

l  360安全大腦雲端賦能,實現安全服務能力自動迭代升級

服務詳情可諮詢:contactus@360.cn


相關文章