欺骗防御——构建积极主动安全防护体系的关键所在 – 作者:默安科技

信息化不断发展和深入促使数字化转型成为各行业的必然趋势。转型过程中,大量新技术、新应用被引入,网络架构和业务应用方式也在发生变革。同时,在当前网络安全形势严峻,安全防护更强调攻防对抗和安全有效性的背景下,增强安全防护体系的主动防御能力,是有效应对日益复杂的网络攻击手段、保障数据安全和业务安全、确保数字化转型成功的必要路径。

普遍痛点

#1主动防御能力建设,政策已先行

安全合规已进入等保2.0时代,相比等保1.0,等保2.0最大的变化之一是由被动防御体系转变为构建积极主动的防御体系,强调在安全事件的前、中、后阶段具备主动防护与反制能力。注重等保合规建设的单位需在安全体系规划和安全设备选型等问题上作出实质性的合规响应。

#2传统安全建设思路存在局限

传统安全建设思路以被动防御为主,习惯在边界上叠加安全设备,安全能力基于已知的攻击特征和规则匹配形成,针对内部的网络区域缺乏安全感知和防护手段。在当前网络攻击手法变化多端、攻防演练常态化、安全监管力度加大等背景下,传统安全建设思路已无法满足安全防护有效、安全监管合规等多方需求,各级单位面临较大的安全建设压力。

#3安全资源有限,主动防御如何落地?

对于大多数单位来说,安全建设在资金投入、安全专业人员、技术实力等方面的资源是有限的,无法像头部行业的客户一样建设大型安全运营平台,自研或引入有效的基于AI等前沿安全技术工具,同时也缺乏专业的安全运营人员完成策略优化。如何利用有限的资源,建设主动防御能力并发挥真正的效果,是大多数单位要解决的一道难题。

欺骗防御与主动防御能力的关联

作为近几年兴起,并在各类攻防演练活动中大放异彩的欺骗防御类产品,目前业内的认知依然停留在“蜜罐、抓攻击者、溯源加分”等浅层次的方面,对欺骗防御产品的理念、技术特点、应用方式、价值优势缺乏全面了解,与主动防御能力之间的内在联系更缺少深入研究。

MITRE推出的积极防御Shield框架中涵盖了引导、收集、控制、检测、破坏、促进、合法化、测试8大战术和33种技术,其中欺骗防御占比接近一半。在2021年的RSA大会上,MITRE将被动到主动防御的演变分为五个阶段:被动阶段、准主动阶段、主动欺骗阶段、入侵互动阶段、主动防御阶段。其中从准主动阶段到入侵互动阶段,均以欺骗防御为核心,构建诱捕、监控、溯源体系;在最后的主动防御阶段,强调对攻击链的还原和对攻击者的反制。因此,主动防御的核心是采用欺骗防御技术构建安全防护体系。

简言之,欺骗防御产品区别于传统安全产品的安全检测思路,以攻击者的目标、攻击思路、攻击步骤视角,构建覆盖整个攻击链路的防护链路,提供全面且主动性强的安全防守能力,达到精准感知、全程监控、溯源反制、闭环处置等安全目标,确保网络和业务的安全性。

欺骗防御如何真正发挥主动防御能力

与传统安全设备应用场景和方式相对固定不同,欺骗防御类产品能力的全面性、部署设计方案和应用的策略,直接决定了其发挥的防护效果和主动防御能力的水平,需要注意的关键点主要有以下几方面:

#1欺骗防御能力应覆盖所有攻击面

网络防护是对整个潜在攻击面的防护,欺骗防御产品体系要尽可能覆盖所有攻击面,才能最大限度发挥安全防护价值。在网络纵深上,要覆盖网络边界、网络流量、主机层、应用层、数据层等各维度,在网络环境上,对办公网、生产网、测试网等根据环境和业务特性进行不同方式的覆盖,构建欺骗防御体系化的感知能力,全面防御各类网络攻击。

图片[1]-欺骗防御——构建积极主动安全防护体系的关键所在 – 作者:默安科技-安全小百科

#2具备业务环境自学习和仿真能力

欺骗混淆的效果是能否成功诱捕攻击者的前提,深度融入真实的环境尤为重要。除支持操作系统、应用服务类、网站类等业务仿真以及自定义沙箱仿真外,可自动检测单位内部现有服务,通过安全算法编排,将感知节点迅速关联沙箱,实现自适应业务场景。在节省人力部署成本的前提下,以安全人员的视角迅速张开蜜网,真正实现快速、自动化智能部署。

图片[2]-欺骗防御——构建积极主动安全防护体系的关键所在 – 作者:默安科技-安全小百科(幻阵:默安科技旗下欺骗防御产品)

#3满足低成本、大批量的部署要求

欺骗防御安全能力辐射范围即防护范围,针对互联网网站类应用系统的防护,需支持以极低的成本虚拟成百上千个虚假仿真页面,与真实网页融合在一起,实现目录级欺骗防御能力覆盖。在内部环境覆盖方面,传统探针覆盖模式受限于产品成本,应支持在网络侧采用中继方式批量将不同VLAN内空闲IP与仿真沙箱进行关联,达到内部网络全覆盖的效果。

#4锁定攻击者与监控攻击过程能力

为实现真实业务的深度防护,欺骗防御产品要针对诱捕到的攻击者基于多维度的标记,在网络流量侧实时监控攻击者的访问目标、行为、过程等信息,确保攻击可控的同时,通过分析攻击者行为、挖掘内部存在的安全风险及0day漏洞。

#5安全事件闭环处置能力

鉴于安全设备之间对接的复杂性和安全事件处置的时效性要求,欺骗防御体系自身要具备安全事件闭环处置能力,实现诱捕攻击、行为分析、过程监控、溯源反制、阻断处置的全流程闭环。

图片[3]-欺骗防御——构建积极主动安全防护体系的关键所在 – 作者:默安科技-安全小百科

#6自身稳定、安全,安全控制策略完善

欺骗防御产品为增强诱捕能力,经常要内置一些安全漏洞,由于广泛覆盖至互联网、内网等各种环境中,为避免被攻击者攻陷作为攻击跳板,欺骗防御产品要采用相对稳定、漏洞少的虚拟化架构,同时在产品的流量、进程、文件、访问控制等方面具备完善的管控策略。

#7与现有安全技术体系深度融合

欺骗防御作为积极主动防御体系的关键能力,要具有高度开放性,能够与现有的安全防护体系、安全运营平台、威胁情报平台进行对接,输出网络攻击、攻击者信息、安全事件过程等关键数据,为整体安全防护和安全运营工作提供精准可靠的情报,为安全建设规划和安全策略优化等作决策支撑。

随着网络攻防对抗和数字化时代的到来,欺骗防御凭借其创新的理念和日益成熟的技术,对网络攻击防御与核心业务应用防护的价值逐渐被认可,让防守者和防护体系具备了优秀的主动防御能力,扭转了以往攻防不对等的不利局面。

来源:freebuf.com 2021-07-23 14:39:05 by: 默安科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论