阅读目录(Content)
蜜罐的思想最早源于Cliff Stoll的《布谷鸟的蛋》一书,该书描述了一系列有关跟踪黑客的事件,主人公利用蜜罐技术来追踪一起商业间谍案件。
在20世纪90年代后期,蜜罐作为一个欺骗攻击者与其进行交互的工具在网络安全领域兴起。
1998年,Cohen提出了欺骗理论框架和模型,并开发了欺骗工具包(Deception Tool Kit,DTK),通过伪装一些广为人知的漏洞,吸引攻击者的注意力。
1999年,Spitzner提出蜜网技术。蜜网是由多个蜜罐系统加上防火墙、入侵检测、数据分析与自动报警、攻击行为记录等辅助机制组成的网络防御体系,可以向攻击者提供更加充分的交互环境,使得安全人员能够在高度可控的蜜罐网络中,监测诱捕攻击活动,掌握攻击者的攻击方法、攻击意图和攻击工具。在之后的研究中,又引入了分布式蜜罐和分布式蜜网技术,实现了多点部署,显著扩大了蜜罐的覆盖范围。
2003年,蜜场的概念被提出,通过服务重定向技术将各个子网中的非法访问转移到一个集中的蜜罐网络中加以监控,为将蜜罐技术用于防护大规模分布式业务网络提供了一条可行的路径。
蜜罐技术最初的应用场景是辅助入侵检测技术来发现网络中的攻击者和恶意代码,在21世纪初,蠕虫大量爆发,蜜罐技术能够有效监测对具有主动传播特性的网络蠕虫。如今,蜜罐已经扩展至许多领域,在社交网络、物联网、无线网络、工业控制网络等新兴领域都发挥了重要作用。
相比于其他传统网络防御技术,蜜罐技术具有以下特点:
蜜罐技术虽然在研究攻击者行为方面具有重要价值,但是由于自身存在的一些局限性,使其不足以在网络攻防对抗中完全掌握主动权,主要体现在以下方面:
总体而言,蜜罐技术相对于传统防御技术具有简单、高效等优势,但也存在动态性低,逼真度与可控性难以兼顾的局限。在网络攻击技术突飞猛进的背景下,传统蜜罐技术已难以适应网络安全防护需求。
蜜罐技术就是防御方为了扭转“易攻难守”的劣势局面而提出的一种主动防御技术,通过吸引、诱骗攻击者对其进行非法使用,从而对攻击行为进行记录,以研究攻击者的攻击目的、攻击方法和攻击工具,并通过技术和管理手段有针对性地增强目标系统的安全防护能力。然而,传统蜜罐存在位置固定、配置静态等不足,一旦被攻击者识破或者没能吸引攻击者注意力,蜜罐就可能完全失去作用。近年来,反蜜罐技术不断发展,使得攻击者绕过预设陷阱进而攻击真实资源成为可能,进一步限制了传统蜜罐的效能。
网络欺骗是根据蜜罐的思想演进而来的一种防御机制,通过在防御方网络信息系统中布设体系化的骗局,干扰、误导攻击者对被保护网络信息系统的感知与判断,诱使攻击者做出对防御方有利的决策和动作,从而达到发现、延迟或阻断攻击者活动的目的。
网络攻防过程可以通过美国空军上校约翰·包以德(John Boyd)提出的包以德(OODA)循环理论来描述。OODA循环由:
四个环节组成。
基于OODA循环理论,攻防双方中谁能更快更好地完成“观察—调整—决策—行动”循环过程,谁就能够掌握攻防博弈的主动权。
网络欺骗通过干扰攻击者的OODA循环过程获取对抗过程的主动权和优势。利用网络欺骗技术,防御者可以在对手OODA循环的“观察”和“调整”阶段主动地提供欺骗性信息,迟滞对手的进程,从而给防御者争取更多的时间进行决策和开展行动。
如今,网络欺骗已经远远超越了蜜罐的概念,正朝着网络安全主动防御体系方向发展,开始与博弈论、人工智能等理论深度融合,同时网络虚拟化、软件定义网络、云计算等技术逐步应用于网络欺骗环境构建。
网络欺骗与传统防御技术的一个根本区别是:
网络欺骗与传统防御技术的另一个区别是:
网络欺骗不同于传统的蜜罐技术,它们的主要区别是:
移动目标防御(Moving Target Defense,MTD)是为了扭转攻防对抗的不对称格局而提出的主动防御技术,通过不断改变网络系统的属性来动态地转换攻击面,从而提高攻击者的攻击成本和攻击代价。在移动目标防御体系下,网络空间不再一成不变,而是瞬息万变,在动态变化中取得防御优势。
网络欺骗与移动目标防御技术的目标一致,都希望通过增加目标网络系统的不确定性来迷惑攻击者,但网络欺骗比移动目标防御更具攻击性,因为它会故意向攻击者提供虚假信息以使其形成错误的认知。
网络欺骗的部署成本与代价通常会低于移动目标防御。网络欺骗环境部署完成后,攻击者一旦进入,其活动大概率会被迟滞,而移动目标防御则需要频繁地触发动态与随机机制,改变系统的攻击面。
实际上,网络欺骗和移动目标防御机制可以很好地融合,弥补彼此的不足,构建出更加安全高效的网络安全防御体系。例如,在网络系统中加入蜜罐、蜜标等欺骗元素,精心构建出欺骗场景,可以显著扩大移动目标防御系统攻击面的转换空间,提升安全防御能力。
在2015年,国际知名研究机构Gartner提出攻击欺骗(Deception)的技术理念,并将其列为最具有潜力的新型安全技术手段。在Gartner的定义中,欺骗防御技术是指通过使用欺骗或者诱骗手段来阻止网络攻击活动的应对过程,破坏攻击者可能使用的自动化工具,拖延攻击者的入侵活动,并有效检测识别出攻击行为。
基于以上定义,我们可以将欺骗式防御技术理解为,通过刻意准备的诱骗性环境或行为,误导攻击者的分析判断和攻击活动,已达到帮助网络安全防护目标实现的应用效果。总结分析欺骗式防御技术的应用内涵,包含以下几点:
网络空间防御模式从静态、被动的边界防御逐步发展为外向型的主动防御,这种主动防御可以对网络空间攻击进行学习、结合和影响。这种发展在策略、操作和战略的层面为通过网络空间抵赖与欺骗提高网络系统抵御攻击的能力打开了一扇新的大门。网络空间抵赖与欺骗是一种新兴的交叉学科网络空间安全防御体系。
网络空间欺骗链是从网络空间生命周期的角度建立的网络空间抵赖与欺骗操作管理高级元模型。
类比于洛克希德·马丁公司提出的“网络空间杀伤链”模型,网络空间欺骗链是从用于策划、准备和执行欺骗操作的流程发展而来的。网络空间欺骗链促进了网络空间抵赖与欺骗、网络空间威胁情报和网络空间运营安全3个系统间的相互融合。网络空间欺骗链一共分为8个阶段,如下图所示。
一直以来,安全对抗态势呈现出一种并不对等的局面:攻击者只要找到一个脆弱点就可以成功实施攻击活动,而防御者却要疲于应对不计其数的安全漏洞和尚未识别的潜在威胁。
欺骗防御作为主动防御体系的重要实现,具有高度开放性,能够与现有的安全防护体系、安全运营平台、威胁情报平台进行对接,输出网络攻击、攻击者信息、安全事件过程等关键数据,为整体安全防护和安全运营工作提供精准可靠的情报,为安全建设规划和安全策略优化等作决策支撑。
从更宏观的视角观察欺骗式防御技术的发展,可以分为两类:
下面分别简单介绍各个技术:
目前,欺骗技术逐渐发展成为了安全运营体系中新一代检测和响应技术的重要组成部分,各大安全厂商都将欺骗技术与其他安全产品更紧密联动,向着深度融合的趋势发展。在体系化的欺骗式防御应用方案中,应具备多种重要能力,包含:
当一个软件安全漏洞被发现时,传统的防御响应是快速修补软件来解决问题。但是,如果补丁具有暴露和突出防御者网络中其他易受攻击漏洞的副作用,这种常规的补救措施可能会适得其反。不幸的是,上述现象很常见。补丁式的修补方式往往使攻击者能具体地推断出哪些系统已被修补,哪些系统未打补丁、易受攻击。由于补丁很少被直接采用,所以存在未打补丁的系统是不可避免的,例如,为确保补丁的兼容性,往往需要进行提前检测。
因此,大多数软件安全补丁对新发现的漏洞进行修复的同时,也告知了攻击者该系统仍然易受攻击。这不但形成了一种对抗文化,也使得漏洞探测成为网络空间杀伤链中的关键一环。
蜜罐补丁是一种改变了游戏规则的替代办法,可用来预测和击败这些定向的网络空间攻击。它的目标是通过一种方式来修补新发现的软件安全漏洞,也就是,使未来的攻击者无法再次攻击这些已修补的漏洞,但对攻击者仍然显示漏洞攻击成功。这样就掩饰了已修补的漏洞,防止攻击者轻易地识别出哪些系统是真正未打补丁的,哪些是由打过补丁的系统伪装而成的。所检测到的攻击会被重定向到隔离的、未打补丁的诱饵环境中,受害靶服务器具有完全交互功能,只不过利用“蜂蜜”数据向对手提供假情报,并积极主动地监控对手的行为。
欺骗性的蜜罐补丁能力形成了一种先进的、基于语言的主动防御技术,可以阻止、挫败和误导攻击,并能显著提高攻击者所面临的风险和不确定性。除了有助于保护内部设有蜜罐补丁的网络空间之外,它也有利于公共网络空间的安全。
KnowBe4的数据驱动防御专家Roger Grimes称,最好的欺骗诱饵是最接近真实生产资产的诱饵。如果欺骗设备与其他系统明显不同,会很容易被攻击者发现,因此,诱饵成功的关键是使其看起来像另一个生产系统。Grimes表示,攻击者无法分辨生产环境中使用的生产资产和仅作为欺骗性蜜罐存在的生产资产之间的区别。
诱饵可以是企业打算淘汰的旧系统,也可以是生产环境中的新服务器。Grimes建议,请确保使用与实际生产系统相同的名称——并将它们放在相同的位置-具有相同的服务和防御。
Acalvio的Moy说,关键在于要融入。避免使用明显的迹象,例如通用MAC地址、常见的操作系统补丁程序以及与该网络上的通用约定相符的系统名称。
威胁行为者讨厌欺骗,因为他们知道欺骗会导致他们掉进“兔子洞”而不自知。Crypsis Group的首席顾问Jeremy Brown说,高级欺骗可以极大干扰攻击者的活动,并使他们分心数小时,数天甚至数周。
他表示,一种常见的欺骗式防御技术是建立虚拟服务器或物理服务器,这些服务器看上去存储了重要信息。例如,运行真实操作系统(例如Windows Server 2016)的诱饵域控制器对攻击者来说是非常有吸引力的目标。这是因为域控制器包含Active Directory,而Active Directory则包含环境中用户的所有权限和访问控制列表。
同样地,吸引攻击者注意的另一种方法是创建在环境中未积极使用的真实管理员账户。威胁参与者倾向于寻找赋予他们更高特权的账户,例如系统管理员、本地管理员或域管理员。如果发现账户中存在此类活动,则说明网络中存在攻击行为。
Fidelis产品副总裁Tim Roddy说,在网络上部署诱饵时,不要忘记模拟非传统的端点。攻击者越来越多地寻找和利用物联网(IoT)设备和其他互联网连接的非PC设备中的漏洞。因此,请确保网络上的诱饵看起来像安全摄像机、打印机、复印机、运动探测器、智能门锁以及其他可能引起攻击者注意的联网设备。
记住,你的诱饵需要融合到攻击者期望看到的网络场景和设备类型中,这里也包括物联网。
在部署诱饵系统或其他诱饵时,请站在对手的角度考虑你的网络薄弱的,利用这种思想来制定检测目标清单优先级,以弥补防御系统中的漏洞。
此外,还要考虑攻击者可能需要采取的步骤类型以及攻击目标。沿路径布置一条面包屑痕迹,这些诱饵与对手可能的目标有关。例如,如果攻击者的目标是凭据,请确保将伪造的凭据和其他基于Active Directory的欺骗手段作为策略的一部分。
入侵员工PC的攻击者通常会转到注册表和浏览器历史记录,以查看该用户在何处查找内部服务器、打印机和其他设备。Fidelis的Roddy说,面包屑是模仿这些设备的诱饵的地址。
一个好的做法是将这些诱饵的地址放在最终用户设备上。如果设备受到威胁,攻击者可能会跟随面包屑进入诱饵,从而警告管理员入侵已经发生。
不要仅使用蜜罐和其他欺骗手段来试图跟踪或确定黑客的行为。相反地,最好使用欺骗手段作为预警系统来检测入侵,并将跟踪和监视留给取证工具。
Grimes表示,“根据定义,当蜜罐获得意外连接时,这可能是恶意的。不要让蜜罐警报出现在SIEM中,也不要立即进行调查。”
旧把戏是任何骗术的敌人。真正有效的欺骗技术,需要不断翻新,以跟上用户活动,应用程序乃至网络暴露情况的变化。例如,新漏洞可能无法修补,但可以通过欺骗快速加以保护。
使用欺骗来增强在已知安全漏洞方面的检测功能。这可能包括难以保护或修补的远程工作人员的便携式计算机、VPN网关网络、合作伙伴或承包商网络以及凭据。
根据IDG发布的研究报告指出,2020年的安全预算平均值为7270万美元,高于2019年的5180万美元,而这些安全预算正用于积极研究和投资各种安全解决方案。
其中,一些关键解决方案包括:
Markets and Markets 发布的一项最新的市场研究报告显示,在2021年欺骗防御技术的市场规模将从现在的10.4亿美元增长到20.9亿美元,复合年增长率(CAGR)约为15.1%。
Mordor Intelligence则估计称,到2025年,市场对网络安全欺骗式防御工具的需求将达到25亿美元左右,而2019年仅为12亿美元。大部分需求将来自政府部门、全球金融机构和其他频繁发生网络攻击的目标。
现有网络欺骗技术没有形成固定且统一的形态,而是随着攻击技术与网络安全需求的变化而演化。尽管有一些网络欺骗技术的理论研究工作,然而更侧重于对网络欺骗效果的分析,没有成体系的理论基础与通用的标准规范。与其他安全防御措施相比,基于欺骗的防御工具需要防止被入侵者发现,这就要求与业务系统具有高度的一致性,现有的欺骗技术在根据业务系统进行动态调整的能力上还有所欠缺,由安全人员开发的欺骗工具与业务环境契合度尚需完善。
概括起来,网络欺骗技术未来发展趋势包括:
网络空间防御作为保证网络安全的关键,无论在方法理论、体系构建、还是技术实施等方面都在不断推陈出新。不同于以往“封门堵漏”的被动防御思想,网络空间防御正朝着主动防御的思想策略发展演变。欺骗防御跳出了技术对抗的思路,把关注点从攻击上挪开,进而去关注攻击者本身。
2017年,美国空军研究实验室(AFRL)投资75万美元开发网络欺骗系统,该系统是一个生成流量的误导系统,为了生成流量,系统会观察本地流量,然后生成与现有流量无法区分的流量,但会经过细微修改满足管理员的目标。
附加的信息能被用来将对手引向假工作站或服务器,和/或将他们的注意力从真正的检索术词或操作优先项转移开来,从而误导渗透进网络的攻击者,使其怀疑获取的信息,或误导他们犯错,尽快暴露,以大大降低攻击者渗透网络的能力。
该项目共分为两个阶段,
2018年8月,美国陆军卓越网络中心在一份机构声明中表示,该中心正在测试网络空间欺骗能力,“这种能力可以用来提供早期预警、虚假信息、混淆信息、赛博延迟或以其他方式阻碍赛博攻击者”。美国陆军补充说,通过使用一种基于传感器的人工智能来学习网络架构和相关行为,从而实现拒止、中立、欺骗和重定向网络攻击。该声明强调要使用自主设备实现网络防御能力。
这并不是美国军方首次对欺骗网络攻击者的技术研发工作进行投资。六年多来,美国国防高级研究计划局(DARPA)一直在投资一个项目,该项目通过伪装、隐藏和欺骗攻击者来保护网络系统。其理念是对基础设施和其他企业资源(如交换机、服务器和存储器)进行虚拟复制以混淆敌人视听。诱饵文件系统可以混淆攻击者,从而大大降低他们攻击的成功率。
该项目并不是一个独立的系统。它是一个更大的以“移动目标为主题”的情报、军事和安全网络项目的一部分,该主题随时间的推移而不断变化。
Acalvio的ShadowPlex平台可大规模提供企业级欺骗技术。该公司表示,ShadowPlex旨在最大限度减少管理开销和日常管理。他们的安装框架为诱饵部署提供极高的灵活性和可扩展性,并且可以选择通过云或本地部署管理仪表板。
当攻击者与诱饵交互时,可以在时间线、详细事件数据(例如PCAP(数据包捕获)、日志捕获和攻击中使用的凭据)中检查信息。当使用所谓的“高交互模式”时,ShadowPlex将提供攻击者的所有键盘输入、连接的网络、任何文件修改以及在诱饵中使用的任何系统进程和工具。企业环境在不断变化,ShadowPlex能够对环境持续评估并相应地更新诱饵。
ShadowPlex可与威胁追踪和安全运营团队使用的工具配合使用,因为它产生的误报很少,能够为上述团队提供可用于事件响应和主动威胁追踪的数据。ShadowPlex可与SIEM和SOC团队的日志管理解决方案(例如Splunk、ArcSight和QRadar)集成。
ShadowPlex还可以保护大部分OT物联网(IoT)传感器和设备甚至整个工业控制中心。对于IoT和OT设备而言,增加一层欺骗技术防护至关重要,因为许多设备本身的本机安全性有限或根本没有,这也使ShadowPlex成为医疗环境的不错选择(还可以模仿台式电脑和医疗设备)。
2022年3月,SentinelOne收购了Attivo Networks,虽然分析师认为此次收购的主要目标是Attivo监控密码和用户异常行为的身份安全评估能力,但SentinelOne还获得了Attivo的网络和云的欺骗式防御技术——ThreadDefend欺骗和响应平台。Attivo是首批在产品中添加响应功能的欺骗技术厂商之一,该公司通过ThreatDefend进一步推动了这一点,该平台可以部署在本地、云端、数据中心或混合环境中,所有部署的诱饵都与网络中的真实资产高度相似。
ThreatDefend欺骗和响应平台平台的目标与其他欺骗工具并无不同,即部署可与攻击者交互的虚假资产,同时这些虚假资产对于实际用户来说又是不可见或者无法访问的。不过,有些诱饵比其他诱饵更公开一些,这有助于找出内部威胁或窥探员工。
一旦攻击者与ThreatDefend的欺骗性资产进行交互,后者所做的不仅仅是生成警报,它还能向攻击者发出其可能期望的各种响应。它还可以激活沙盒,将攻击者上传的任何恶意软件或黑客工具导入沙盒环境。这不仅可以保护网络,还可以检查恶意软件以确定攻击者的意图和策略。
该平台还允许管理员采取一些措施,例如隔离被攻击者用作启动平台的系统或作废受感染用户的凭据。当用户开始信任该平台后,可以设置为在收集到重要威胁情报后自动运行上述措施,这可以帮助防御者快速提升响应能力,在争分夺秒的事件响应中取得优势。
顾名思义,Illusive Networks公司的Illusive Shadow试图给攻击者的横向移动制造错觉。Illusive Shadow将端点设备变成欺骗装置,为攻击者设置了一个“十面埋伏”的危险环境。该公司声称,其无代理设计可防止黑客检测到欺骗行为,其欺骗技术在与微软、Mandiant、美国国防部和思科等组织进行的140多次红队演习中保持不败战绩。
因为是无代理的,所以Illusive Shadow可以直接部署在本地、云或混合云中。正如人们所预料的那样,Illusive Shadow诱饵以凭据、网络连接、数据和系统以及攻击者可能感兴趣的其他资产的形式出现。Illusive Shadow还会随着企业环境的变化而自动扩展和更改,并将为每台机器定制端点诱饵。
安全分析师和SOC团队对Shadow的管理控制台能够根据攻击者与诱饵、关键资产的交互和攻击活动时间表建模分析攻击者的攻击阶段,这一功能对安全分析师和SOC团队很有吸引力。
CounterCraft的网络欺骗平台(Cyber Deception Platform)通过ActiveLures捕获攻击者,后者可以自定义或基于模板。这些ActiveLure的“面包屑”分布在端点、服务器,甚至在GitHub等在线平台上,吸引攻击者进入ActiveSense环境。
ActiveSense环境基于代理收集的数据,并通过安全和分段的环境反馈。整个系统旨在实时提供有关攻击者活动的情报。根据CounterCraft的说法,ActiveSense环境可以通过CounterCraft平台快速部署和控制。
整个欺骗系统旨在灵活地部署在现有IT环境,并与现有的安全、信息和事件管理系统以及威胁情报系统集成。它还支持企业安全团队已经习惯的常见格式,例如SysLog或OpenIOC。收集的威胁信息也可以自动发送到其他安全系统。
了解攻击者的一种有效方法是通过可视化图表对他们的活动进行建模。CounterCraft的攻击图谱结合来自欺骗平台的实时信息,可帮助安全团队了解攻击者的策略、工具和程序。
Fidelis欺骗平台(Deception Platform)声称其欺骗资产可通过下拉菜单和向导轻松部署,用户可选择让Fidelis平台查看环境并自动部署欺骗资产。该产品在部署时与环境中其他资产能够很好地匹配,还能监控网络的变化和扩展,并给出相应的欺骗式防御建议。例如,如果一家公司添加了一堆新的物联网安全摄像头,Fidelis将检测到这一点并建议部署相似特征的假摄像头。该平台支持几乎所有物联网设备,以及大量OT网络中的设备。
除了易于部署之外,Fidelis还能很好地管理控制其虚假资产,让它们相互通信并执行相同类型的普通设备会执行的操作。甚至还提供一些令人惊讶的高级策略,例如毒化地址解析协议表,使欺骗性资产看起来与真实资产一样活跃。
Fidelis的独到之处还包括能生成以真实方式与欺骗性资产交互的假用户。试图确定资产是否真实的黑客会查看用户与之交互的证据并放松警惕。
2022年2月,数据治理和安全公司CommVault收购了TrapX及其欺骗式防御技术DeceptionGrid,后者是最受欢迎的欺骗平台之一,因为它能提供高度仿真的“高仿资产”。借助DeceptionGrid,企业可以在受保护的网络上轻松部署和管理数千个虚假资产。
DeceptionGrid部署的欺骗资产包括普通网络设备、欺骗令牌和主动陷阱。主要的欺骗性资产被设计成看起来像功能齐全的计算机或设备,而且还为金融或医疗等行业提供了设计模板。DeceptionGrid可以模仿从自动取款机到POS机的几乎任何物联网资产。此外,DeceptionGrid还可以部署具有完整操作系统的欺骗性资产——FullOS陷阱,旨在让攻击者相信他们正在使用真实资产,同时全面监控并收集攻击者一举一动的威胁情报。
TrapX部署的欺骗令牌看上去不起眼但同样重要。与功能齐全的欺骗性资产不同,令牌属于普通文件、配置脚本等类型的诱饵,攻击者在试图入侵系统时会收集系统和网络的信息,这些诱饵令牌不会与攻击者互动,但在被访问、复制或查看时会提醒安全团队。
主动陷阱串联起了DeceptionGrid部署的大量欺骗性资产,这些陷阱在欺骗性资产之间传输大量虚假网络流量,并提供指向欺骗网络其余部分的指针和线索。任何悄悄监控网络流量的攻击者都可能被虚假网络流量欺骗,将欺骗性资产作为攻击目标。
TrapX DeceptionGrid最近在本地和云基础设施中添加了欺骗技术容器环境。通过检测高级网络攻击并提供对软件漏洞利用和容器之间横向移动的可见性,DeceptionGrid 7.2为增强的事件响应和主动防御提供了全面的保护。