媒體報(bào)道

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2021 > 正文

一篇文章聊聊“欺騙技術(shù)”四大特性

閱讀量：次

“欺騙技術(shù)”是指利用欺騙、誘捕或詭計(jì)手法來干擾攻擊者的認(rèn)知、攻擊過程，以達(dá)到拖延其攻擊活動(dòng)或者檢測出其攻擊手段的技術(shù)。欺騙防御是利用“欺騙技術(shù)”以達(dá)到防御目的一種應(yīng)用。

國內(nèi)對“欺騙技術(shù)”的應(yīng)用，基本都容納在一個(gè)產(chǎn)品里，一般簡稱“蜜罐”（當(dāng)然蜜罐也有更明晰、確切的技術(shù)指向），往往其中包含了蜜罐、蜜餌、蜜標(biāo)、蜜網(wǎng)、網(wǎng)絡(luò)重定向、面包屑等等多種用于欺騙的技術(shù)組合。通常，我們理解這就是欺騙防御的實(shí)踐應(yīng)用。

“欺騙防御”后面增加“體系”兩個(gè)字以后，要如何解釋呢？還只是欺騙技術(shù)的排列組合么？編者認(rèn)為不是！到底什么是欺騙防御體系，為什么這項(xiàng)技術(shù)會(huì)被認(rèn)為是對抗APT組織攻擊的有利手段？

在過去的安全防護(hù)體系當(dāng)中，已經(jīng)有了足夠多的“孤島”，所以這兩年態(tài)勢感知、SOAR、大數(shù)據(jù)智能分析技術(shù)大行其道。這時(shí)我們再增加一個(gè)“欺騙技術(shù)”的硬件盒子，起到欺騙作用也只是工具般的聊勝于無（這也是目前市場上對于這款產(chǎn)品的普遍認(rèn)知，攻防演練時(shí)拿來用用，結(jié)束后束之高閣，歸根結(jié)底不是客戶有問題，而是產(chǎn)品定位有問題）。

欺騙防御體系到底如何建設(shè)？

編者認(rèn)為，絕不是基于這項(xiàng)理論，將欺騙技術(shù)簡簡單單的排列組合。而是應(yīng)該通過“欺騙技術(shù)”在現(xiàn)有防御體系當(dāng)中的引用、結(jié)合，極大程度上催化防御能力，進(jìn)而形成的高自動(dòng)化、高聯(lián)動(dòng)體系。

這里我們不再解釋技術(shù)本身，只說一說這項(xiàng)技術(shù)的四個(gè)特性：

第一點(diǎn)：高精準(zhǔn)，無誤報(bào)

我們都知道，無論蜜罐還是蜜餌，或者散布的面包屑，都是針對攻擊者定制的陷阱，其本身不是計(jì)算資源，放置的位置一般也不是內(nèi)部員工、系統(tǒng)用戶應(yīng)該使用的位置，往往只有在攻擊場景中才會(huì)被利用，所以欺騙技術(shù)的特性之一就是無誤報(bào)。這對于態(tài)勢感知、SOAR等需要實(shí)現(xiàn)自動(dòng)處置的平臺產(chǎn)品簡直就是福音。

基于這個(gè)特性對于所有防御性產(chǎn)品的幫助具備同等效果，比如防火墻、終端防護(hù)產(chǎn)品的IP阻斷。

第二點(diǎn)：“非規(guī)則”性分析

本質(zhì)上來講，欺騙產(chǎn)品其實(shí)并不需要“規(guī)則庫”這種東西，更需要的是“高甜度”的仿真場景，我們只需要把攻擊者踩進(jìn)來執(zhí)行的動(dòng)作記錄下來就足以說明、解決問題了。而這恰恰是過去APT攻擊識別的難點(diǎn)“基于現(xiàn)有規(guī)則對攻擊進(jìn)行匹配，無法解決未知攻擊的識別問題”。

第三點(diǎn)：采集數(shù)據(jù)維度最全

欺騙技術(shù)通過仿真環(huán)境、數(shù)據(jù)的搭建誘導(dǎo)攻擊者對其進(jìn)行攻擊、訪問，而在這個(gè)過程當(dāng)中，高交互的欺騙技術(shù)會(huì)給予攻擊者一定的入侵入口，讓其能夠獲得一定的操作權(quán)限，這時(shí)攻擊者在其上的活動(dòng)動(dòng)作，將被監(jiān)控手段進(jìn)行采集。能夠獲取到的行為數(shù)據(jù)是非常全量的，包括原始流量PCAP包、Web訪問記錄、系統(tǒng)命令執(zhí)行、數(shù)據(jù)庫操作指令、攻擊過程回放、落盤文件、端口掃描記錄、暴力破解行為及認(rèn)證憑證、蜜餌觸動(dòng)信息、攻擊者指紋信息等10余種。運(yùn)營人員可以通過這些數(shù)據(jù)更準(zhǔn)確的還原其攻擊行為，并判斷攻擊意圖，為處置、防范提供決策上的幫助，這一點(diǎn)也是傳統(tǒng)防御體系所不具備的能力。

在過去，建設(shè)態(tài)勢感知、大數(shù)據(jù)平臺，最大的幾個(gè)工作難點(diǎn)在于：1、情報(bào)不夠準(zhǔn)確，依據(jù)不準(zhǔn)確的數(shù)據(jù)進(jìn)行分析、處置往往會(huì)極大浪費(fèi)人力資源；2、數(shù)據(jù)維度不夠豐富，往往要么早早阻斷掉了，要么采集困難、資源消耗大，攻擊意圖就無法研判了。而現(xiàn)在欺騙技術(shù)的引用，這幾個(gè)問題剛好都解決了。

最后一點(diǎn)，兜底

對于防御而言，始終沒有萬全的防御手段。防御的結(jié)果始終處于動(dòng)態(tài)變化當(dāng)中。一個(gè)全新的0day漏洞、攻擊者通過社工手段找到的入侵跳板、防守方的一次疏漏，都可能導(dǎo)致原本完善的防御體系出現(xiàn)薄弱環(huán)節(jié)，致使防御失敗。

在這時(shí)，欺騙防御中的欺騙技術(shù)蜜罐、蜜餌則可以發(fā)揮其作用：吸引攻擊者，拖延時(shí)間。蜜罐往往仿真客戶環(huán)境，建立仿真業(yè)務(wù)系統(tǒng)、PC機(jī)、數(shù)據(jù)庫等，誘導(dǎo)攻擊者對其實(shí)施攻擊動(dòng)作，而蜜餌則通過仿造具有高吸引力的數(shù)據(jù)內(nèi)容，吸引攻擊者獲得。通過這種吸引攻擊的作用，降低攻擊者對真實(shí)目標(biāo)進(jìn)行入侵的概率，并拖延其攻擊時(shí)間，給防守方提供更大的緩沖時(shí)間，為防御決戰(zhàn)創(chuàng)造條件。

講到這，大家是不是對欺騙技術(shù)的特性有一個(gè)大致的印象了。簡而言之，欺騙技術(shù)對于現(xiàn)有的防護(hù)體系而言，可以是“聯(lián)動(dòng)的催化劑，決策的發(fā)動(dòng)機(jī)”（本質(zhì)上并不起到防御的作用，但是因?yàn)槠浼夹g(shù)特性，可以增強(qiáng)防御聯(lián)動(dòng)力，促進(jìn)自動(dòng)化決策的產(chǎn)生）。

具象到產(chǎn)品聯(lián)動(dòng)關(guān)系當(dāng)中:

對整體防御起到兜底作用，當(dāng)防御失效時(shí)，蜜罐起到迷惑作用、拖延攻擊者

對大數(shù)據(jù)系統(tǒng)\SOAR等自動(dòng)化分析處置憑條，提供低誤報(bào)、高質(zhì)量的監(jiān)測數(shù)據(jù),可作為事件處置決策的“自動(dòng)化發(fā)起方”，并對黑客畫像的繪制、行為的完整分析提供全面數(shù)據(jù)，作用不可替代

為IPS \ APT 等威脅檢測系統(tǒng)，提供東西向流量，使威脅感知面增加至橫縱聯(lián)通

為防御型產(chǎn)品提供“阻斷”依據(jù)

作為情報(bào)的采集器

那您的防御體系里是否缺少一個(gè)這樣的“發(fā)動(dòng)機(jī)”呢？

最后打個(gè)廣告，安恒迷網(wǎng)欺騙防御系統(tǒng)，已實(shí)現(xiàn)上述所有功能。迷網(wǎng)，幫助您的安全運(yùn)營更有效果。

關(guān)閉

云安全>

態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

>

>

新一代安全服務(wù)>

偵測服務(wù)>

保護(hù)檢測服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營管理服務(wù)>

特色服務(wù)>

>

數(shù)據(jù)安全>

基礎(chǔ)安全>