学会这一个,让欺骗防御无人识破! – 作者:黑豹cyd0

欺骗的仿真度要求

欺骗防御系统的首要目标是创建高仿真目标网络系统及基础设施,这些系统和基础设施将与实际资产(包括现场生产和测试环境)难以区分。虽然这对欺骗技术来说是一个显而易见的考虑因素,但在技术上而言,实际中构建这样的欺骗系统是相当具有挑战性的。

实现这一目标的最佳系统属性是真实性,因为无论是故意还是偶然,就算恶意攻击者进入到欺骗性系统,也不代表布置的诱饵或陷阱起到了作用。那些表面上的证据是不够的,出现在低交互、低仿真环境中的痕迹也是不可相信的,特别是在对手相当厉害的情况下。

在部署欺骗系统中实现高仿真的主要功能需求可以列出如下:

  • 接口——不言而喻,诱饵必须投射在每个访问实体所期望的接口。例如,欺骗性系统应该运行与真实产品相同的操作系统、应用软件和服务。它还应该能够匹配在环境中看到的网络属性。
  • 性能——欺骗系统的时间特征也必须在访问实体的预期参数范围内。例如,异常缓慢的响应时间或者无法使用Active Directory等服务进行身份验证,这就暗示着一个设计的很糟糕的诱饵的存在。
  • 内容——诱饵的可访问信息必须符合对手的期望。虽然这可能包括面包屑信息,但它还将包括对访问实体可见的配置、管理数据和数据文件。
  • 访问——访问参数(包括标识、身份验证和授权)必须符合对手的期望。诱骗系统如果在访问安全性方面十分松懈或者暴露了漏洞导致太过容易访问,这就暗示了这是一个欺骗系统。
  • 行为——在与诱饵的任何交互过程中表现出来的行为必须符合对手的特定系统期望,包括具有高交互能力,以及在发出新的命令时继续与攻击者交战的能力。

根据正在部署的欺骗系统的具体情况,可能还有其他与仿真度相关的功能要求,特别是在设置诱饵来模拟领域特定功能的情况下。这包括支持特定行业业务(例如银行服务)的欺骗系统,或者为某种特定能力(例如物联网)设计的欺骗系统。

图片[1]-学会这一个,让欺骗防御无人识破! – 作者:黑豹cyd0-安全小百科

高仿真的欺骗扩展到一系列目标

在建立诱饵的过程中,最强大的技术包括镜像各种不同的设备、系统及其应用程序的生产资产。典型的计算环境通常包括pc、路由器、交换机和其他端点的分类,然而每个环境的应用程序和服务都是独一无二的。根据真实资产制作高仿真诱饵,可以混淆攻击者视线,引诱并检测入侵者的存在。

将欺骗扩展到不同的目标端点时,真实性原则仍然是最重要的。对于路由器、交换机、工业控制系统或 SCADA 等网络设备尤其如此,在这些设备中,厉害的对手能够快速检测到仿真诱饵。所以,欺骗系统必须确保假路由器在目标局域网上是高度可信的。

在现代企业中扩展欺骗端点,不仅包括针对一系列不同的计算机和网络设备,还包括将诱饵部署到典型混合企业的各个部分或区域。

适合诱饵集成的区域包括:

  • 数据中心——包括基础设施、服务器和典型的现代物理或虚拟数据中心中包含的元素。
  • 局域网——企业局域网包括各种类型的服务器和端点,它们是欺骗性诱饵最常见的目标系统。
  • 云工作负载——现代企业基本都采用了混合云模式,或者可能完全存在于云中;这意味着云工作负载很容易被欺骗。
  • 远程/分支办事处——现代企业的一个重要组成部分仍然是远程或分支办事处,欺骗防御有助于减少这些地点的网络风险。
  • 专用网络——包括拥有专用设备的环境,如物联网、医用物联网、 ICS-SCADA、 POS 等,这些设备通常会为了经济利益、不利用或危害人类安全而对攻击者妥协。
  • 第三方网络——在与第三方进行谈判时,制定欺骗规定或建议,这是减少风险的一项重要措施。

图片[2]-学会这一个,让欺骗防御无人识破! – 作者:黑豹cyd0-安全小百科

在更专业化的企业中扩展欺骗

由于对手攻击技术的愈发先进,计算机和网络基础设施需要将欺骗引入到较低层次的技术和系统细节。为此,必须考虑将下列的欺骗功能扩展到各种设备:

  • 操作系统集成——为建立在传统操作系统(如 Linux 或 Windows)上的欺骗系统提供了创建动态可信功能的灵活性。当然,对于物联网这样的专业系统,选择的操作系统应与之相符。
  • 应用级功能——应用程序级命令、实用程序和特性必须在诱骗系统上无缝工作,特别是对于路由器和交换机。入侵者经常在攻击中访问网络元素,因此这必须得到重视。
  • 特定于供应商的功能——环境的属性和特征必须嵌入到诱饵中以确保真实性。有能力的对手会很容易发现一个系统配置的细节与真实不符,从而导致欺骗系统的暴露。

这些都是一个欺骗防御系统设计时必须考虑到的事项。因为它们需要将攻击者引入一个目标环境,在这个环境中,任何人或自动攻击软件都可以轻松地连接到各种诱饵,而不知道自己受到了欺骗。随着欺骗技术应用的越来越普遍,这种欺骗存在的概念可能也会震慑到许多入侵者。

组织在部署欺骗系统时通常考虑的一个因素是部署和操作的便利性。在网络上部署欺骗,然后管理修补和操作,这看起来可能十分繁杂困难。但实际上,欺骗环境不难在整个企业范围内部署,也不需要过多的资源来管理和修补。

幻视利用机器学习来分析环境自适应环境,并创建与之相匹配的端点、网络诱饵和证书,在经过审查和批准后,一键部署欺骗。通过跨vlan技术,组织可以无限制地在网络中的任何位置映射诱饵。同时,通过将虚拟机和设备添加到一起的方法还可以实现可伸缩性,而可视化操作后台能够方便地在包括云操作在内的所有设备之间聚合数据管理数据。

案例研究

欺骗系统通常被企业团队认为是被动式的,因为它们被放置在一个网络中,希望未来的攻击者会被迷惑到,最后陷入蜜网。然而如今的欺骗防御,常常使用带有面包屑的诱饵,吸引和引诱攻击者进入一个高交互的环境,以便取证和对攻击进行安全研究。

这种前瞻性的减少风险的做法很有吸引力,因为不仅能够避免攻击,确保在任何威胁环境中后果最小化,而且还能把攻击安全地控制在欺骗环境中。在这种环境中,组织允许攻击者充分发挥他的技术,以收集最大的情报价值。然后,该组织可以利用这些信息完善威胁和对抗情报,来加强他们的防御能力和减少风险管理战略。

一项案例研究表明,许多企业团队现在对攻击期间的欺骗防御很有信心,如高仿真的诱饵被放置在对手已经存在并且正在进行攻击的情况下。

但是我们必须知道,欺骗技术可以有效的部署在网络安全生命周期的所有阶段——预防、检测和响应。当然,每个阶段的功能目标是相同的,即通过欺骗系统检测到入侵者的存在并迅速响应威胁。但是,对于企业维护者来说,欺骗在每个阶段的作用和影响将略有不同。同时,欺骗技术还可以利用本地集成,通过攻击信息共享和自动阻塞、隔离、捕获威胁,简化和加速事件响应,从而加强当前安全基础设施的价值。

网络安全生命周期中的欺骗

图片[3]-学会这一个,让欺骗防御无人识破! – 作者:黑豹cyd0-安全小百科

在预防阶段,诱饵用来将入侵者从真实资产转移到欺骗性环境,从而避免预期产生的不良后果,同时修补入侵者在入侵点已经造成的漏洞。在检测阶段,诱饵被用来中断正在进行的探测活动和早期横向移动,以此减少攻击者的驻留时间。在响应阶段,目标是收集 TTPs和IOCs,欺骗取证可以快速响应,并发现攻击意图和可能目标。

总的来说,欺骗技术为组织提供了早期威胁检测和加速事件响应的高效工具,但是它必须是真实可信的,这样才能够成功地击败高明的对手。

来源:freebuf.com 2020-11-13 18:44:31 by: 黑豹cyd0

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论