數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

 随着攻防演習日益實戰化、常态化使得(de)蜜罐從十幾年的老安全技(jì)術(shù)煥發新春，基于蜜罐演進而來(lái)的欺騙防禦也因此而名聲大(dà)噪，越來(lái)越多(duō)的安全廠商已經将資源投入到此技(jì)術(shù)領域。在最近信通(tōng)院組織的蜜罐産品能力評測中，參與的主流廠商有(yǒu)36家(jiā)之多(duō)。蜜罐技(jì)術(shù)火(huǒ)熱的背後，是蜜罐技(jì)術(shù)可(kě)有(yǒu)效彌補當前網絡安全防禦方案短(duǎn)闆的巨大(dà)推力，同時(shí)，趨于常态化的攻防演習也是最大(dà)的催化劑之一。在過去的攻防演習中，蜜罐不僅展示出面向攻擊優秀的誘捕和(hé)溯源能力，在日常安全運維中也體(tǐ)現出了不可(kě)或缺的獨特價值，這可(kě)能才是蜜罐真正的生(shēng)命力。

    基于對蜜罐技(jì)術(shù)的研究，結合對開(kāi)源蜜罐項目和(hé)商用欺騙防禦類産品的調研和(hé)分析，本文将從對當前蜜罐産品使用的新技(jì)術(shù)介紹出發，來(lái)看未來(lái)欺騙防禦的發展走向。

    環境仿真

    傳統蜜罐通(tōng)常提供的是“單維”的仿真，仿真特定的主機、服務、應用環境等；而最新的蜜罐則需要的是“多(duō)維”的仿真能力，在之前的基礎上(shàng)，可(kě)以結合用戶真實網絡或業務環境去定制(zhì)環境仿真配置和(hé)數(shù)據。從而提供一個(gè)和(hé)用戶真實環境相近、能夠有(yǒu)效迷惑攻擊者的仿真誘捕環境。試想，如果一個(gè)完整的虛拟環境，部署在用戶真實網絡之前，不僅可(kě)以有(yǒu)效推遲攻擊者進攻的步伐，還(hái)可(kě)以獲得(de)攻擊者的攻擊方式和(hé)行(xíng)為(wèi)邏輯等信息。

    環境仿真技(jì)術(shù)主要包括軟件仿真技(jì)術(shù)、容器(qì)仿真技(jì)術(shù)、虛拟機仿真技(jì)術(shù)等，幾類仿真技(jì)術(shù)所能提供的仿真能力和(hé)支持仿真的類型示意如下：

    幾類仿真技(jì)術(shù)簡要對比如下：

    攻擊誘導

    攻擊誘導的目标就是通(tōng)過技(jì)術(shù)手段在攻擊者進入網絡後主動引誘攻擊者進入到泥沼當中不能自拔，在有(yǒu)限的仿真環境下提升命中率。常見的攻擊誘導技(jì)術(shù)包括：誘餌投放、流量轉發、虛拟IP等。在典型攻防演習場(chǎng)景中，攻擊誘導技(jì)術(shù)可(kě)以将主動權互換，成為(wèi)防守方獲取主動權的利器(qì)。

    誘餌投放

    誘餌是投放在互聯網或企業內(nèi)網裏的各種留給攻擊者的虛假情報，很(hěn)多(duō)情報是都極具誘惑力，誘導攻擊者快速進入被控狀态。

    根據類型和(hé)用途不同，可(kě)以分為(wèi)日志(zhì)誘餌、證書(shū)誘餌、賬戶誘餌、郵件誘餌、項目代碼誘餌等。誘餌包括IP地址、用戶賬戶、服務應用路徑、密碼本等信息，當攻擊者獲取誘餌裏的信息後，一般會(huì)順藤摸瓜，沿着誘餌裏線索提供的主機、服務、應用進行(xíng)深入滲透，進而将攻擊者引誘到陷阱之中。誘餌投放工作(zuò)示意圖如下：

    流量轉發

    通(tōng)過流量轉發可(kě)以實現将攻擊者試圖訪問正常資産的攻擊流量主動轉發到仿真環境裏。常見的流量轉發實現技(jì)術(shù)包括網絡轉發和(hé)主機轉發。

    1、主機轉發：一般需要在主機上(shàng)部署探針軟件，探針用于監測客戶未使用的網絡端口來(lái)虛拟真實服務，通(tōng)過探針将試圖訪問這些(xiē)端口的異常連接請(qǐng)求轉發到仿真環境裏；

    2、網絡轉發：根據威脅線索通(tōng)過動态調整網關設備策略等方式來(lái)将異常流量直接導入到仿真環境裏。

    流量轉發工作(zuò)示意圖如下所示：

    虛拟IP

    虛拟IP，顧名思義就是給單個(gè)主機綁定多(duō)個(gè)IP地址，通(tōng)過在仿真環境裏将IP資源綁定到蜜罐誘捕環境上(shàng)來(lái)批量生(shēng)成虛拟資産，提高(gāo)蜜罐的覆蓋率，增加攻擊者攻擊蜜罐的概率。

    虛拟IP工作(zuò)示意圖如下所示：

    溯源反制(zhì)

    傳統的基于IP的溯源方法對攻擊者的身份信息獲取十分有(yǒu)限，很(hěn)難及時(shí)對攻擊者進行(xíng)有(yǒu)效溯源和(hé)反制(zhì)。蜜罐系統則給了防守方以反制(zhì)攻擊者的機會(huì)，通(tōng)過蜜罐裏預設的反制(zhì)手段，主動獲取攻擊者主機或者網絡的信息，來(lái)更準确的定位攻擊者的身份，實現更精準的溯源。在典型攻防演習場(chǎng)景中，防守方隻需要獲得(de)虛拟身份即可(kě)，一個(gè)優秀的蜜罐系統完成這個(gè)任務可(kě)謂手到擒來(lái)。

    常用的溯源反制(zhì)技(jì)術(shù)包括：WEB反制(zhì)、掃描反制(zhì)、密标文件反制(zhì)等方式。

    WEB反制(zhì)

    攻擊者在浏覽網站(zhàn)或WEB應用頁面時(shí)，會(huì)下載頁面數(shù)據、腳本文件在用戶本地解析執行(xíng)、渲染展示。利用這個(gè)特性，将反制(zhì)腳本嵌入到正常的網站(zhàn)或WEB應用頁面裏，攻擊者訪問時(shí)也會(huì)将反制(zhì)腳本自動下載到攻擊者本地運行(xíng)來(lái)獲取溯源信息。WEB反制(zhì)是較常用的反制(zhì)手段，可(kě)獲取的典型溯源信息包括：

    1、獲取攻擊者主機操作(zuò)系統和(hé)浏覽器(qì)的特性信息，包括攻擊者主機的操作(zuò)系統類型、操作(zuò)系統時(shí)區(qū)、屏幕分辨率、浏覽器(qì)指紋、浏覽器(qì)類型、浏覽器(qì)版本等信息；

    2、通(tōng)過應用的JSONP漏洞獲取攻擊者主機上(shàng)曾經使用過的社交賬号、攻擊者手機号等個(gè)人(rén)信息；

    3、對攻擊者本地端口進行(xíng)掃描，獲取攻擊者本機開(kāi)放端口等數(shù)據；

    WEB反制(zhì)工作(zuò)示意圖如下所示：

    掃描反制(zhì)

    攻擊者在實施攻擊時(shí)大(dà)多(duō)數(shù)情況都會(huì)使用掃描器(qì)或攻擊工具，利用掃描對象、掃描器(qì)或攻擊工具的漏洞可(kě)以在攻擊者進行(xíng)掃描或嘗試攻擊的同時(shí)，反向來(lái)獲取攻擊者的身份信息。

    通(tōng)過在仿真環境裏預設一些(xiē)針對特定服務、掃描工具的反制(zhì)模塊，當攻擊者采用這類工具實施掃描或攻擊時(shí)會(huì)觸發對應反制(zhì)模塊，實現讀取攻擊者設備指紋和(hé)身份信息來(lái)實現反制(zhì)。當前部分欺騙防禦産品裏已使用了掃描反制(zhì)技(jì)術(shù)，較常用的掃描反制(zhì)手段包括MySQL反制(zhì)、SQLMap反制(zhì)、AWVS反制(zhì)等。

    掃描反制(zhì)工作(zuò)示意圖如下所示：

    蜜标反制(zhì)

    蜜标文件多(duō)采用攻擊者感興趣的文件類型或文件名稱，通(tōng)過代碼捆綁等技(jì)術(shù)向該文件中嵌入特定數(shù)據和(hé)代碼，通(tōng)過構造場(chǎng)景引誘攻擊者去訪問、下載蜜标文件，當攻擊者下載并在本地打開(kāi)蜜标文件時(shí)，就會(huì)觸發內(nèi)嵌代碼，記錄并回傳攻擊主機和(hé)攻擊者特征信息來(lái)實現溯源和(hé)反制(zhì)。

    蜜标反制(zhì)工作(zuò)示意圖如下所示：

    采用蜜标文件來(lái)反制(zhì)對防守方安全能力要求較高(gāo)，需結合用戶業務環境特點來(lái)制(zhì)作(zuò)蜜标文件，同時(shí)将蜜标文件部署在攻擊者較容易訪問的位置才能取得(de)更好的效果。

    未來(lái)欺騙防禦發展預測

    攻防演習已向常态化與實戰化邁進，攻防演習雖不提蜜罐，但(dàn)處處是蜜罐，但(dàn)此蜜罐非彼蜜罐，筆者更傾向于稱其為(wèi)“欺騙防禦”或“仿真誘捕”技(jì)術(shù)，傳統的利用高(gāo)交互蜜罐一招溯源攻擊者的曆史一去不複返，而複雜的可(kě)以和(hé)真實計(jì)算(suàn)環境融合的新一代欺騙防禦技(jì)術(shù)和(hé)産品需求會(huì)越來(lái)越旺盛。全球知名的IT研究與顧問咨詢公司Gartner評價“欺騙防禦”技(jì)術(shù)是對現有(yǒu)安全防護體(tǐ)系産生(shēng)深遠影(yǐng)響的安全技(jì)術(shù)。在Gartner2020年安全運營技(jì)術(shù)成熟度曲線報告中，分析師(shī)将“欺騙平台”這項技(jì)術(shù)放在了“期望膨脹期”，并将目前的成熟度定義為(wèi)“青春期”，預計(jì)該技(jì)術(shù)會(huì)在5至10年後達到成熟并被廣泛使用。

    基于最新蜜罐技(jì)術(shù)演進分析，結合當前欺騙防禦行(xíng)業發展态勢，筆者認為(wèi)未來(lái)幾年欺騙防禦市場(chǎng)和(hé)産品發展将有(yǒu)以下幾個(gè)趨勢。

    欺騙防禦技(jì)術(shù)應用會(huì)更廣泛

    欺騙防禦作(zuò)為(wèi)主動防禦的範疇，在多(duō)個(gè)領域都能發揮他獨特的價值。應用到威脅監測方面利用它誤報低(dī)的優點，可(kě)以作(zuò)為(wèi)常态化運維監測工具使用，也可(kě)以将其作(zuò)為(wèi)一個(gè)引擎或者模塊集成到其他安全産品裏，賦能其他産品提供威脅誘捕的能力；應用到溯源領域，利用多(duō)種反制(zhì)手段，可(kě)以提供對攻擊的精确溯源；同時(shí)，欺騙防禦可(kě)以産出高(gāo)質量的本地威脅情報，這些(xiē)情報數(shù)據可(kě)以和(hé)本地比如WAF、FW進行(xíng)聯動或者集成來(lái)提高(gāo)全網主動防禦能力。正是由于欺騙防禦在多(duō)個(gè)領域均有(yǒu)着重要作(zuò)用，因此未來(lái)欺騙防禦技(jì)術(shù)勢必應用也會(huì)更加廣泛。

    集合網絡測繪技(jì)術(shù)的計(jì)算(suàn)環境仿真

    誘捕環境能否有(yǒu)效迷惑攻擊者，關鍵還(hái)得(de)看誘捕環境是否能仿得(de)足夠真，較簡單的仿真環境，較容易被攻擊者識破，很(hěn)難有(yǒu)效拖延攻擊者的攻擊行(xíng)為(wèi)。為(wèi)了有(yǒu)效提升誘捕環境的仿真度，通(tōng)過集合網絡測繪技(jì)術(shù)來(lái)對用戶網絡進行(xíng)測繪，基于測繪的結果來(lái)仿真出跟用戶真實網絡近似的誘捕網絡，同時(shí)，基于測繪的結果自動去優化攻擊誘導策略來(lái)提高(gāo)成功誘捕攻擊的概率，打造一個(gè)貼近用戶真實網絡，可(kě)以有(yǒu)效迷惑攻擊者、主動誘導攻擊行(xíng)為(wèi)的誘捕網絡環境，将能有(yǒu)效助力威脅誘捕能力的提升。

    仿真模闆行(xíng)業化、業務化

    将仿真基礎能力和(hé)仿真業務能力松耦合，産品提供仿真基礎能力支撐，采用模闆來(lái)管理(lǐ)和(hé)維護行(xíng)業化、業務化的仿真業務能力；通(tōng)過系統自動學習，或者提供直觀、簡便的接口支持用戶自定義等方式來(lái)生(shēng)成仿真模闆，支持通(tōng)過模闆實現仿真業務能力的共享。這樣可(kě)以大(dà)大(dà)提高(gāo)欺騙防禦産品部署時(shí)業務适配的靈活性和(hé)效率，有(yǒu)助于提升産品和(hé)行(xíng)業業務的貼合度，有(yǒu)利于加速欺騙防禦産品的應用和(hé)推廣。

    溯源仍然是未來(lái)重點之一

    傳統的溯源手段對攻擊者的身份信息獲取十分有(yǒu)限，面臨定位不準、取證調查難等諸多(duō)困難。采用欺騙防禦可(kě)以提供更加精準的溯源手段，能夠更準确的定位攻擊者的身份，為(wèi)防守方提供更精準的溯源能力。因此，溯源能力仍然是欺騙防禦類産品的未來(lái)重點方向之一。随着攻防對抗的演進，所采取的溯源反制(zhì)手段也需同步叠代，同時(shí)反制(zhì)手段需結合用戶業務環境特點去定制(zhì)化才能取得(de)更好的效果，因此，投入成本相對較高(gāo)，主要應用在大(dà)中型企事業機構和(hé)對溯源有(yǒu)強需求的場(chǎng)景裏使用。

轉自[  品牌資訊   ]