极元Oxtrea定义下一代欺骗防御技术—“全息诱捕”
极元信息Oxtrea定义的“全息诱捕”技术,源自于Gartner提出的十大安全技术之一:Deception(欺骗防御技术),欺骗防御技术提供了一种通过伪造或诱骗元素来检测黑客威胁活动的方法,只有那些进行恶意活动的人才能看到,由于没有必要与虚假元素进行合法互动,因此任何与它的互动都是有威胁的警报。我们常见“蜜罐”就是欺骗防御技术中最具代表性的一类产品。
借助欺骗防御技术,每个安全事件都很重要,并可以立即做出响应。这与传统的态势感知和SOC直接形成对比,后者通常会产生大量的误报警报,因为这类系统大多是基于启发式和基于概率的方法,得出的结论并没有确凿的证明。使用这种方法的工具最多可产生70%的错误警报,误报不仅浪费资源,还浪费了分析时间。
现在攻击渗透的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如Metasploit)。因此,攻击者或恶意程序一旦渗透到网络中后,必然会在内部网络中横向移动,其横向扩张的行为有可能会“观察”其中一个陷阱(诱饵),与这些“诱饵”进行交互,从而触发警报。基于以上的攻击行为与态势,极元信息推出了一种与传统“蜜罐”类似,又领先于“蜜罐”的技术——全息诱捕。
一、什么是极元信息提出的全息诱捕?
在四层网络中虚拟出海量的虚拟IP和端口,从而形成海量高密度的陷阱主机,当攻击者访问陷阱主机超过设定的次数时,将该IP认为非可信客体,发出告警并进行及时阻断。“全息诱捕”技术是一种通用的主动防御技术,并且与行业无关。任何行业都可以利用它来快速增强其威胁检测和响应能力。
- “全息诱捕”在所有端点上布满密集的轻量级欺骗陷阱,在攻击过程的早期,即可检测攻击。
- 可以快速启动并运行,而不会给运营造成很大负担。
- “全息诱捕”可在内网产生数以万计的诱饵主机,将传统蜜罐低于1%的命中率提升至超过99%。
- “全息诱捕”采用TRUNK技术向多个VLAN子网中部署大量陷阱诱饵主机,具有极高的利用率。
二、全息诱捕的目的是什么?
- 更为积极主动的检测和阻止各种类型的网络威胁:0DAY,恶意软件,勒索软件,APT,横向移动和恶意内部人员。
- 轻松增强早期威胁的检测,同时不增加操作负担。
- 延缓攻击者的下一步决策,在其还未产生真正的破坏前将其捕获。
- 与极元信息的SwitchWALL形成联动,在内网东西向拦截威胁源。
三、全息诱捕如何进行部署?
- 在网络中相应的VLAN中自动创建大量的虚拟陷阱主机。
- 跨架构分布式部署,去中心化集中管理,同时适配物理架构,虚拟化架构。
- 每个诱饵主机具备网络开放端口,并可以被ping发现。
四、全息诱捕的好处有什么?
1.高准确性
诸如防火墙之类的传统网络防御系统会生成许多警报。在大型企业中,在某些情况下,警报量每天可能达到数百万个警报。安全操作人员无法轻松地处理大部分活动,但是只需一次成功的渗透即可破坏整个网络。
而“全息诱捕”产生的警报是二进制过程的最终产品。概率基本上减少到两个值:0%和100%。任何试图识别,查验,输入,查看任何陷阱(诱饵)或利用诱饵的客体都将立即被识别。任何人触摸这些陷阱或诱饵都是不允许的,因此,大大降低了其误报性,同时也因为其低接触性,使得安全事件的取证成为一个简单而直接的过程。
2.高密度
传统“蜜罐”的部署过于笨拙,需要cpu资源、内存资源、存储资源,还需要安装操作系统,再进行一系列相对复杂的配置,才算是完成一个蜜罐。这就导致了传统的蜜罐不可能在网络中大规模的部署。通过“全息诱捕”技术,可以自动实现大规模部署,并且可以覆盖网络中所有的VLAN。
3.高命中率
传统“蜜罐”部署在网络后,由于数量太少,攻击者或恶意程序触发蜜罐的几率太低,而“全息诱捕”的高密度交错式集群式部署,可以使命中率无限接近于100%。
4.高效能
虚拟的陷阱不依靠传统的虚拟化计算资源(CPU、内存),而是通过内置的网卡芯片阵列基于网络层创建,因此即便启用了大量的陷阱主机,占用系统硬件本身的计算资源也不会超过1%。
5.积极防御
传统的“蜜罐”本身是没有拦截、阻断这种处置功能的,大多都是只能起到一个告警的作用。而极元的“全息诱捕”技术则可以进行主动的拦截和防御。
来源:freebuf.com 2020-03-23 14:09:04 by: Oxtrea
请登录后发表评论
注册