默安科技欺骗防御体系:从演练到常态 化偶然为必然 – 作者:默安科技

欺骗防御不是一项新技术,早在20世纪90年代末期,蜜罐作为欺骗技术的一种,思路已经初步形成。随着国内网络安全行业快速发展,基础安全建设已越发成熟,部分组织开始尝试建设基于欺骗技术的防御体系,并在多次攻防演练中验证了这项技术的优势与实际效果。

但目前仍有相当一部分用户对欺骗类产品的认识存在误区,认为其取得的效果大多是“偶然的”,并且把这类技术的应用局限于攻防演练这类特定的场景。

Deception

欺骗类产品背负的“舆论压力”

“想要攻击者踩到陷阱,基本上靠撞大运,概率约等于中彩票!”

“要有效果,需要大面积部署,成本太高,而且牵扯面太大,很难协调。”

“也就是在攻防演练时用那么一下,其他时间只能放着,没啥用。”

“也就在互联网用用,在内网上它根本行不通!”

“只有溯源和反制功能,别的没啥用。”

“高交互蜜罐一定比低交互蜜罐好。”

……

默安科技安全专家梳理和分析了这些误解后发现,所有问题背后都离不开欺骗类产品与技术面临的两个发展瓶颈:

1. 如何保证欺骗防御的效果和有效性?

2. 如何将这项技术的使用场景扩展到日常安全运营中?

瓶颈一:如何保证欺骗技术的效果和有效性,而非偶然事件

欺骗防御的效果和有效性可以从“覆盖面”和“融合度”两个方面入手。欺骗防御节点覆盖面越大、与真实网络的融合度越高,效果越好。

图片[1]-默安科技欺骗防御体系:从演练到常态 化偶然为必然 – 作者:默安科技-安全小百科

扩大覆盖面

扩大欺骗防御节点的覆盖面需要投入大量成本,默安科技通过多种方案实现低成本、快速、大面积的覆盖。

1. 与刃甲联动:服务诱捕

刃甲是默安科技自研的网络攻击干扰压制系统,它部署在互联网出口,通过旁路镜像方式部署,可将“空闲公网IP”的所有访问流量,都转发到蜜罐,实现互联网全部的非业务IP与蜜罐关联。此方案由刃甲与幻阵联动实现,可将幻阵部署至数据中心本地或公有云,攻击者以为攻击了真实IP,却不知“应用”实际在云上,实现调虎离山。

图片[2]-默安科技欺骗防御体系:从演练到常态 化偶然为必然 – 作者:默安科技-安全小百科

2. 中继节点

通过Trunk方式实现蜜网的跨VLAN覆盖,单台中继节点即可覆盖对应汇聚交换机下的所有VLAN。利用网络中空闲IP将攻击流量诱导至蜜罐内,在节省部署成本的同时,实现蜜网节点的全面覆盖,避免蜜网因成本问题出现防守真空区域。

图片[3]-默安科技欺骗防御体系:从演练到常态 化偶然为必然 – 作者:默安科技-安全小百科

3. 伪装代理/多IP模式

在一台空白虚拟机上部署伪装代理(Agent),同时在此虚拟机上绑定多个IP,当攻击者访问到这些IP时,流量将全部被转发到蜜罐。

4. 威胁情报与集中管理

通过威胁情报中心与集中管理中心,将攻击者信息、踪迹、攻击轨迹、蜜罐设备等进行集中管理与集中展示。

提高融合度

覆盖面可以增加成功诱捕攻击者的概率。但假如攻击者触达真实的业务系统,能否诱捕成功,就需要看蜜网与真实网络的融合度,是否做到了“你中我有、我中有你”。

1. 与刃甲联动:网站诱捕

通过旁路部署刃甲,并接入交换机端口镜像,可为真实业务旁路插入攻击者感兴趣的URL,精准捕获其对真实业务的攻击行为。

2. 伪装代理/融合模式

将伪装代理部署在真实业务服务器上,并启用虚假服务端口,当攻击者攻击到此端口时,流量将被转发到蜜罐。

3. 沙箱定制

默安科技提供的定制服务,可根据用户业务特点,定制专属的仿真蜜罐,让攻击者无法辨别真假。

4. 运营服务

欺骗防御是在攻击者的必经之路上部署陷阱,对攻击者进行诱捕。那么,攻击者的必经之路是什么?默安科技提供欺骗防御的安全运营服务,通过攻击者视角对目标企业进行“摸底”,量身定制部署方案,结合运营服务,对攻击者进行精准诱捕。

瓶颈二:如何将欺骗防御运用在常态化的安全运营中,而非“攻防演练专用”

由于欺骗防御在近几年大型攻防演练中的出色表现,业界出现了一些“欺骗防御是攻防演练专用”的声音。其实不然,欺骗防御在常态化的安全运营中有着不可小觑的价值。

1. 补充现有检测能力的不足,发现未知威胁

现有安全检测产品大多基于黑名单或签名来检测已知威胁,针对未知威胁的有效解决方案极少。默安科技刃甲产品首先通过微蜜罐功能精准锁定攻击者,再抓取与其相关的全部流量,协助安全人员分析,捕获0day攻击。

2. 欺骗防御体系是企业安全的一道重要防线

攻击者突破到内网的方式很多,但对0day、社工等攻击方式防不胜防。这时对防守方来说,想要及时“止损”,最好的办法就是能尽早发现攻击者,找出被控主机。欺骗防御体系能够在内网部署大量欺骗节点,并使蜜网与真实业务网络融合。攻击者采用任意攻击方式、从任意网段侵入,为了扩大战果,都会做横向移动,此时就会掉入已部署的陷阱之中。

3. 建立私有威胁情报平台,联防联控

攻击者在攻击时,往往会先攻击分支相对脆弱的点,再通过分支作为跳板,对总部进行攻击。并且可能会在整个攻击过程中更换多个IP,使防守者无法还原整体攻击路径,只能被动防守。

欺骗技术最大的特点就是精准检测。默安科技能够为用户建设欺骗防御体系,在总部搭建威胁情报平台,通过设备指纹锁定攻击者,将其使用过的全部IP进行归并。在其攻击一个分支节点时,总部及其他的分支节点可进行预警,做到事前处置,形成整体的联防联控机制。

从单点到体系 持续引领

默安科技根据多年的欺骗防御攻防实践,目前已形成体系化的工具和战术能力,能够根据不同业务场景、网络架构和防护目标,帮助用户建立积极主动的防御体系。

就工具层面来说,从单点的幻阵产品,扩展到包含中继节点和刃甲等重要组件的产品体系,将欺骗逻辑全方位覆盖至内外网。从战术层面来说,默安科技安全专家总结了适用于不同业务场景的“欺骗防御三十六计”。

自欺骗防御产品化应用以来,默安就致力于突破技术瓶颈,持续进化,引领国内欺骗防御技术的发展方向,推动欺骗防御从单点向体系化的发展,从事前、事中、事后三个阶段,与传统安全产品形成互补,守护更多用户的网络安全。

来源:freebuf.com 2021-03-19 18:08:20 by: 默安科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论