默安科技欺骗防御体系:从演练到常态 化偶然为必然
2021-03-18
欺骗防御不是一项新技术,早在20世纪90年代末期,蜜罐作为欺骗技术的一种,思路已经初步形成。随着国内网络安全行业快速发展,基础安全建设已越发成熟,部分组织开始尝试建设基于欺骗技术的防御体系,并在多次攻防演练中验证了这项技术的优势与实际效果。
但目前仍有相当一部分用户对欺骗类产品的认识存在误区,认为其取得的效果大多是“偶然的”,并且把这类技术的应用局限于攻防演练这类特定的场景。
欺骗类产品背负的“舆论压力”
“想要攻击者踩到陷阱,基本上靠撞大运,概率约等于中彩票!”
“要有效果,需要大面积部署,成本太高,而且牵扯面太大,很难协调。”
“也就是在攻防演练时用那么一下,其他时间只能放着,没啥用。”
“也就在互联网用用,在内网上它根本行不通!”
“只有溯源和反制功能,别的没啥用。”
“高交互蜜罐一定比低交互蜜罐好。”
……
默安科技安全专家梳理和分析了这些误解后发现,所有问题背后都离不开欺骗类产品与技术面临的两个发展瓶颈:
1. 如何保证欺骗防御的效果和有效性?
2. 如何将这项技术的使用场景扩展到日常安全运营中?
瓶颈一:如何保证欺骗技术的效果和有效性,而非偶然事件
欺骗防御的效果和有效性可以从“覆盖面”和“融合度”两个方面入手。欺骗防御节点覆盖面越大、与真实网络的融合度越高,效果越好。
扩大覆盖面
扩大欺骗防御节点的覆盖面需要投入大量成本,默安科技通过多种方案实现低成本、快速、大面积的覆盖。
1. 与刃甲联动:服务诱捕
刃甲是默安科技自研的网络攻击干扰压制系统,它部署在互联网出口,通过旁路镜像方式部署,可将“空闲公网IP”的所有访问流量,都转发到蜜罐,实现互联网全部的非业务IP与蜜罐关联。此方案由刃甲与幻阵联动实现,可将幻阵部署至数据中心本地或公有云,攻击者以为攻击了真实IP,却不知“应用”实际在云上,实现调虎离山。
2. 中继节点
通过Trunk方式实现蜜网的跨VLAN覆盖,单台中继节点即可覆盖对应汇聚交换机下的所有VLAN。利用网络中空闲IP将攻击流量诱导至蜜罐内,在节省部署成本的同时,实现蜜网节点的全面覆盖,避免蜜网因成本问题出现防守真空区域。
3. 伪装代理/多IP模式
在一台空白虚拟机上部署伪装代理(Agent),同时在此虚拟机上绑定多个IP,当攻击者访问到这些IP时,流量将全部被转发到蜜罐。
4. 威胁情报与集中管理
通过威胁情报中心与集中管理中心,将攻击者信息、踪迹、攻击轨迹、蜜罐设备等进行集中管理与集中展示。
提高融合度
覆盖面可以增加成功诱捕攻击者的概率。但假如攻击者触达真实的业务系统,能否诱捕成功,就需要看蜜网与真实网络的融合度,是否做到了“你中我有、我中有你”。
1. 与刃甲联动:网站诱捕
通过旁路部署刃甲,并接入交换机端口镜像,可为真实业务旁路插入攻击者感兴趣的URL,精准捕获其对真实业务的攻击行为。
2. 伪装代理/融合模式
将伪装代理部署在真实业务服务器上,并启用虚假服务端口,当攻击者攻击到此端口时,流量将被转发到蜜罐。
3. 沙箱定制
默安科技提供的定制服务,可根据用户业务特点,定制专属的仿真蜜罐,让攻击者分不清真假。
4. 运营服务
欺骗防御是在攻击者的必经之路上部署陷阱,对攻击者进行诱捕。那么,攻击者的必经之路是什么?默安科技提供欺骗防御的安全运营服务,通过攻击者视角对目标企业进行“摸底”,量身定制部署方案,结合运营服务,对攻击者进行精准诱捕。
瓶颈二:如何将欺骗防御运用在常态化的安全运营中,而非“攻防演练专用”
由于欺骗防御在近几年大型攻防演练中的出色表现,业界出现了一些“欺骗防御是攻防演练专用”的声音。其实不然,欺骗防御在常态化的安全运营中有着不可小觑的价值。
1. 补充现有检测能力的不足,发现未知威胁
现有安全检测产品大多基于黑名单或签名来检测已知威胁,针对未知威胁的有效解决方案极少。默安科技刃甲产品首先通过微蜜罐功能精准锁定攻击者,再抓取与其相关的全部流量,协助安全人员分析,捕获0day攻击。
2. 欺骗防御体系是企业安全的一道重要防线
攻击者突破到内网的方式很多,但对0day、社工等攻击方式防不胜防。这时对防守方来说,想要及时“止损”,最好的办法就是能尽早发现攻击者,找出被控主机。欺骗防御体系能够在内网部署大量欺骗节点,并使蜜网与真实业务网络融合。攻击者采用任意攻击方式、从任意网段侵入,为了扩大战果,都会做横向移动,此时就会掉入已部署的陷阱之中。
3. 建立私有威胁情报平台,联防联控
攻击者在攻击时,往往会先攻击分支相对脆弱的点,再通过分支作为跳板,对总部进行攻击。并且可能会在整个攻击过程中更换多个IP,使防守者无法还原整体攻击路径,只能被动防守。
欺骗技术最大的特点就是精准检测。默安科技能够为用户建设欺骗防御体系,在总部搭建威胁情报平台,通过设备指纹锁定攻击者,将其使用过的全部IP进行归并。在其攻击一个分支节点时,总部及其他的分支节点可进行预警,做到事前处置,形成整体的联防联控机制。
从单点到体系 持续引领
默安科技根据多年的欺骗防御攻防实践,目前已形成体系化的工具和战术能力,能够根据不同业务场景、网络架构和防护目标,帮助用户建立积极主动的防御体系。
就工具层面来说,从单点的幻阵产品,扩展到包含中继节点和刃甲等重要组件的产品体系,将欺骗逻辑全方位覆盖至内外网。从战术层面来说,默安科技安全专家总结了适用于不同业务场景的“欺骗防御三十六计”。
自欺骗防御产品化应用以来,默安就致力于突破技术瓶颈,持续进化,引领国内欺骗防御技术的发展方向,推动欺骗防御从单点向体系化的发展,从事前、事中、事后三个阶段,与传统安全产品形成互补,守护更多用户的网络安全。
正勤·美培创意园3号楼