“出奇制胜”的“欺骗防御”之术
孙子兵法“凡战者,以正合,以奇胜。故善出奇者,无穷如天地,不竭如江海。”大凡作战,都是以正兵作正面交战,而用奇兵去出奇制胜。欺骗防御技术,即是防御者的谋略,通过布阵以及对对手情况的掌握,用价值诱惑和干扰对手的策略实现收获,抢占先机,以奇制胜!
欺骗防御技术,是防御者通过在己方信息系统中布设骗局,从而误导、干扰攻击者对信息系统的认知,使防御者获有利战机,对攻击者的活动进行发现、延迟或阻断,以此增强信息通信系统的安全。
欺骗防御技术的价值主要体现在三个方面,即入侵检测、粘滞防御,以及对攻击行为的分析溯源。
入侵检测
在网络边界不断模糊的云计算时代,随着虚拟化技术的进步,无副作用、低成本的欺骗防御技术,将成为入侵检测的又一利器。入侵检测是欺骗防御技术最质朴的价值。
随着云、大、物的兴起,安全边界不再清晰,终端、服务、消费者、生产者等结成巨大的网络,很难用点、线、面的方式将计算和存储的边界绘制出来。这就决定了使用传统防御手段很难或者要以天价成本去发现和防御攻击行为,更何况还有内部间谍的攻击行为、合法加密隧道等点对点的连接行为。
欺骗防御技术则不同于边界,它可以立体的方式介入,比如传统蜜罐守株待兔的方式就能捕获到渗透行为、蠕虫传播等,可以有效的应对简单入侵者。
得益于虚拟化的发展,欺骗防御技术的成本大大降低。在单网卡可以虚拟化出不同IP地址的主机、服务甚至物理设备(比如IoT,工控物联网设备),以极低的成本即可填充IP地址空间,让虚拟的主机和真实资产混合在一起,构成立体的检测网络,攻击者一旦触碰,则表明系统正在遭遇攻击。
在入侵检测方面,欺骗防御技术有个很大的优势——即几乎没有副作用。举个例子,在某个生产环境下,客户怀疑自己的网络系统内部有挖矿病毒,但苦于无证据。因为他们的应用场合对系统可用性的要求很高,不确定的情况下不能断电、断网,但无论在主机上安装病毒检测软件还是在边界交换机部署流量检测产品,都存在一定的配置可用性风险。直到后来在网络系统中直接接入蜜罐主机,才终于发现系统内部确实有蠕虫病毒传播,证据确凿,可以整改。
2
粘滞防御
欺骗防御可在各个层次和博弈维度进行粘滞防御,可以通过虚实结合放大防御效果。欺骗防御的价值更加体现在对攻击者的粘滞防御作用。
粘滞防御和入侵检测可以说是一体两面,从攻击者看来,我的活动既要避免被发现,又要灵活机动,所谓“兵之情主速,乘人之不及,由不虞之道,攻其所不戒也”,入侵既要耐得住寂寞,也要抓紧时机,趁防御者措手不及的时机,迅猛出动。
而欺骗防御则可以打破攻击者的“兵贵神速”策略,欺骗防御是个立体的概念。在网络分层维度上,可在物理层、网络层、应用层和数据层分层设置欺骗,在博弈维度上,还能有更加复杂的策略,比如隐藏真实的资产,真实资产伪装成蜜罐,以及布置陷阱等。
比如在网络层采用流量伪装的方式进行迷惑,在流量中故意暴露伪造的敏感信息,或者把真实的流量和虚假的流量混编等手段,误导攻击者。或者通过不断的变换网络拓扑,让APT攻击者更加小心谨慎,他们不得不花费更多的时间去分辨信息的真伪,对于防御者来说,响应的时间就增多,防御的效果就自然提升了。
另外的例子,就是通过虚实的融合,或者拟态的技术将真实资产和虚假蜜罐放在一起。分布式蜜罐技术就能充分利用网络的闲散资源,通过分布范围的IP地址和端口空间,提升欺骗在网络中的占比,增大了入侵者遭遇欺骗的可能性。正如前面所说,得益于虚拟化技术和SDN等技术的发展,虚实融合的成本在大大降低。
3
对攻击行为的分析与溯源
欺骗防御技术的分析与溯源
“知己知彼,百战不殆”是孙子兵法最核心的军事思想。在网络攻防中,要赢得对手就要了解对手。网络欺骗防御技术可构造与真实环境相同的网络环境,当攻击者对诱饵目标发起攻击,就会暴露攻击手段、工具和技巧,防御者通过分析攻击者所使用的工具、方法和目标,推测攻击意图和动机,了解攻击行为背后的组织和个人。
从情报角度来看,欺骗防御技术可以作为分析溯源的组成部分,它和防火墙、终端、IDS等安全产品紧密互补,将数据汇入综合分析平台进行分析。在更大的维度来看,获悉攻击来源和攻击路径。
相比于防火墙、终端和流量检测类技术来说,欺骗防御还可以获取一些特别的信息,比如推测或验证攻击目的,是破坏可用性、窃取数据还是其他,可以收集攻击者使用的执行命令和工具。
欺骗防御技术是博弈策略的应用。防御者甚至可以自制反制作用的蜜饵,比如木马、病毒、追踪的程序等手段,反向瓦解攻击者,有着更广阔的发挥余地。
总
欺骗防御技术的目标是应对网络安全威胁,在日益激烈的网络攻防对抗中守卫信息安全。在可预见的未来,欺骗防御技术会扮演边界防御、主机防御一样重要的角色。如军事上,情报系统、武器装备和军事力量的隐匿与威慑,已经成为对抗中不可或缺的一部分。欺骗防御技术有着极大的想象空间和价值,相信会长远的影响安全行业。
安恒信息欺骗防御产品:
明鉴迷网系统
安恒明鉴迷网系统旨在改变网络攻防博弈不对称局面,是一种对攻击者进行主动诱导欺骗的威胁检测防御系统。迷网通过布置一些诱饵主机、网络服务,诱使攻击者对它们实施攻击,从而了解攻击者意图,感知内网攻击情况,延缓攻击进程,隐匿保护真实资产,全面掌握感知网络空间的整体态势和安全。
安恒明鉴迷网系统已市场覆盖公安、政府、金融、教育等各个行业,积极配合多次国家安保工作,助力多省护网演练,搭配多种防御产品共同保护内网资产。
内容精选
围观
热文