欺骗防御入门:花最少的时间、金钱和资源得到最大效能
|
欺骗技术能赋予防御者其他防护技术所不具备的优势:通过布置满是鲜香美味诱饵的雷区,诱使攻击者暴露出自身意图和手段,实现早期准确检测。FBI和其他顶级司法机构早已使用此类技术诱捕儿童色情犯和金融大盗一类的罪犯了。
设置诱饵的目的,是为了捕获攻击者了解网络时的早期动作及其发现目标的方法。网络攻击的早期阶段也可以称作“现场侦察”,打断这一阶段最终可以减少潜在攻击的驻留时间,对数据保护工作而言至关重要。防御者可以观察正在发生的事,更深入地了解攻击的本质,更透彻地理解攻击者在网络甚或在云文件共享环境中移动的方式。 越来越多的公司企业开始将欺骗作为填补现有安全解决方案空白的一种方式,将之作为数据防丢失、加密、访问管理和用户行为分析等安全解决方案的一种补充。但安全团队如何确定哪种欺骗技术是最适合自家公司的呢? 定义“蜜”环境 当前,欺骗技术市场中绝大多数产品都主要着眼打造复杂的“蜜”环境,旨在引诱攻击者进入虚假系统,转移并记录其攻击行为。 1. 蜜罐 蜜罐是与网络毗连的系统,用以引诱攻击者并检测、转移或研究黑客的攻击尝试。蜜罐按与入侵者的互动程度分为不同类型。设计恰当的话,蜜罐可以阻止攻击者访问公司运营网络中的受保护区域。配置良好的蜜罐应具备公司生产系统中的多个相同组件,尤其是数据。蜜罐最大的价值就是能获取到攻击者行为及意图的相关信息。进出蜜罐的数据可使安全人员收集到这些信息,比如攻击者的击键记录、在虚假蜜罐系统中横向移动的尝试动作等。 2. 蜜网 蜜网是由多个蜜罐组成的真实网络的模拟。基本上,蜜网就是模仿公司网络中常会出现的多台服务器环境的大规模网络诱饵。SANS 2017 报告《蜜罐状态:理解今日蜜罐技术使用》中写道:“蜜网连接与交互的方式与真实网络无异——系统间所有连接都没模拟。”SANS报告按10分制请蜜罐用户为蜜罐和蜜网有效性评分,在总体有效性上蜜网得分7.5。与蜜罐类似,蜜网最大的价值就是安全团队能从中收集到的有关攻击者行为的情报。 只要构建并维护良好,蜜环境可供安全团队观察攻击者巡游网络搜索数据并渗漏出去的方法。但有个前提:攻击者要上钩——进入蜜网。 蜜环境痛点 蜜环境的部署、管理和维护面临几个重大挑战与痛点。在购买欺骗技术之前,你得好好分析一番成本效益。 首先,虽然蜜环境是在企业运营环境之外构建与维护,蜜网仍需黑客初步突破运营环境。公司企业最好期望通往蜜网的面包屑足够诱人,能够切实引诱到黑客。另外,一旦黑客离开虚假环境,我们没办法知道他/她还会不会重新进入该运营环境以继续攻击,也不会知道他/她在被诱饵面包困住前可能渗漏出了什么数据。
在现实世界中欺骗 在运营环境和云环境中部署欺骗技术,可使安全团队检测并欺骗直奔敏感数据而去的攻击者,,而不是寄希望于攻击者被诱导到其他地方。在运营网络中部署可信诱饵文档能提供蜜罐和蜜网的所有好处,且不用创建和维护虚假环境。 不依赖蜜环境的欺骗还可用于主动反击黑客和泄密者。攻击者依靠各种各样的工具保持匿名,这些工具往往能带来大胆攻击的成功。不局限于虚假环境的欺骗技术可穿透这些工具,暴露出攻击者,且攻击者往往还毫无所觉。这就给公司企业和司法机构钉死黑客和泄密者提供了特别的优势。 SANS 2017 报告《蜜罐状态:理解今日蜜罐技术使用》: https://www.sans.org/reading-room/whitepapers/detection/state-honeypots-understanding-honey-technologies-today-38165 【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文 【编辑推荐】
点赞 0 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
