美空军投资75万美元开发网络欺骗系统 降低攻击者渗透能力
E安全1月22日讯 在战场,通常会用欺诈手段克敌制胜,这就是所谓的兵不厌诈。当然,对抗网络对手,网络欺骗技术不失为一个好主意。
美国空军研究实验室(Air Force Research Lab,AFRL)为安全系统开发人员Galios拨款75万美元,用于开发网络欺骗系统,从以大大降低攻击者渗透网络的能力。
具体而言,Galios将为美国空军开发Prattle系统。Galios将Prattle描述成一个生成流量的误导系统,误导渗透进网络的攻击者:使攻击者怀疑获取的信息,或误导他们犯错,尽快暴露。
Galios表示,“为了生成流量,Prattle开始会观察本地流量,然后生成与现有流量无法区分的流量,但会经过细微修改满足管理员的目标。附加的信息能被用来将对手引向假工作站或服务器,和/或将他们的注意力从真正的检索术词或操作优先项转移开来。”
他指出,“因此我们将Prattle生成的流量称之为“伪信号”,以强调它与更易识别的“谣传”之间的区别。另外,我们寻求生成真实的流量,以使对手采取对我们有利的行动。”
Galios指出可以将伪信号用于:
·通过使对手采取更易被发现的行动,使用伪信号提高蜜罐、IDS、SIEM、DLP或其它解决方案的效用。
·用于水印文档或其它数据,以这样一种方式将引入的数据与对手的位置或时间联系起来。
·细微改动网络中传输的真实文档模糊高价值的信息详情,例如设计、计划、源代码或财务数据。
· 误导对手了解组织机构的实际利益和工作。
Galois和塔夫斯大学将带头利用这笔拨款研究高保真网络协议仿真。Galois的子公司Formaltech将作为分包商。Formaltech公司的CyberChaff网络欺骗系统 — 在网络上为攻击者创建看似有效的诱骗设备。该系统将是Prattle项目的一个商业化战略和实施目标。
Galois指出,这笔拨款实际上是AFRL计划的第二阶段。在该项目的第一阶段,项目团队展示了Prattle原型如何根据对本地流量的观察生成高度真实的流量。第二阶段将集中扩展各种协议的生成能力,并使用“蜜罐数据”(Honey Data)— 定制的数据误导攻击者,从而使他们采取对我们有利的行动。
AFRL的工作不仅限于安全欺骗。去年,情报高级研究计划行动(Intelligence Advance Research Projects Activity,IARPA)办公室的高级技术开发人员提出了关于如何更好开发拒绝和欺骗技术(例如蜜罐或欺骗服务器)的信息请求,以强化网络安全。
IARPA在声明中表示,“通过欺骗支持网络对手参与的概念不断发展,但是,研究和实践现状仍不成熟:许多技术缺乏严格的有效性实验措施,信息不足以确定防御欺骗如何改变攻击者的行为,或欺骗如何提升网早期检测网络攻击的可能性。”
Gartner于2015年写到欺骗技术时表示,“新兴的解决方案在未来企业威胁防御中发挥着愈来愈来重要的作用。检测通常是高质量检测的先决条件。然而,企业开始使用欺诈技术积极阻止或挫败恶意软件僵尸网络、威胁攻击者和可疑的连接。在某些情况下,联邦调查人员在应对僵尸网络时使用欺诈技术拦截并破坏命令与控制通信,但许多这些用例一直被用来手动执行网络协议或命令与控制服务器欺骗。欺骗技术的目标是检测,但是,多年来,欺骗技术在许多不同类型的产品中间得以扩展,包括蜜罐传感器。”
研究人员还对欺骗技术做了一些总结:
· 虽然仍处于初期阶段,但作为对抗攻击者的防御策略仍具有优点,可能成为大型组织机构(寻求先进威胁检测和防御解决方案)具吸引力的新能力。
· 许多组织机构不了解威胁欺骗;让安全买家了解威胁欺骗的作用对进一步采用威胁技术和概念至关重要。
· 欺骗作为自动化响应机制代表未来IT安全领域能力的巨大变化,产品经理或安全程序不应轻视它的作用。
· 欺骗诱饵传感器提供商通过在企业内部环境散布传感器,并模仿企业端点服务、应用程序和系统,从而提供先进的攻击检测。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。