欺骗技术——用欺骗的手段来主动防御

2018-11-23

        随着黑客攻击技术不断的提升,防御技术也不断的创新。近几年也出现了很多的新技术新名词,如威胁情报、态势感知等。欺骗技术也是攻防升级后的新技术,被评为Gartner2016年十大信息安全技术之一。

 

什么是欺骗技术?

 

        孙子的《孙子兵法》中说的: “ 一切战争都是建立在欺骗的基础上的。”

        “欺骗”是战争中使用的经典战术,无论是作为己方保护还是作为攻击敌人的机制。在第二次世界大战期间进行的最著名的欺骗行动之一,是英国人在入侵西西里之前的战役中欺骗了德国人。这是一个典型的策略性错误信息的行动,目的是欺骗敌人,转移他们的注意力,使他们脱离真正的攻击发生地。

        网络欺骗策略背后的想法是类似的。企业通常在不同程度上了解攻击者正在寻找什么,他们期望找到什么,以及他们如何攻击和使用他们找到的信息?

欺骗技术原理

 

        欺骗技术是通过使用欺骗手段阻止或者摆脱攻击者的认知过程,扰乱攻击者的自动化工具,延迟攻击者的行为或者扰乱破坏计划。例如,欺骗功能会制造假的漏洞、系统、分享和缓存。如果攻击者试图攻击这些假的资源,那么这就是一个强烈的信号说明攻击正在进行中,因为合法用户是不应该看到或者试图访问这些资源的。


与传统蜜罐技术的差异

 

        有些人认为欺骗技术概念或多或少指的就是现代动态蜜罐和蜜网,基本上,他们的理解是正确的。欺骗技术则是一个新的术语,其定义尚未定型,基本指的就是一系列更高级的蜜罐和蜜网产品。

        欺骗技术和传统蜜罐欺骗技术在检测网络攻击者方法上是存在一定的差异性,以下是它们的不同之处:


01 完全相反的基本前提

 

        蜜罐技术是使用组织基础设施的逻辑视图设计的。这些蜜罐被部署在有价值的目标周围,以试图转移攻击者。然而,当攻击者遇到蜜罐时,它已经在网络最深处了。

        攻击者将基础设施视为社交地图。一旦他们确定了在网络中的位置,他们就会看到相邻的资源和资源之间的关系来决定他们下一步的行动,欺骗技术是从攻击者的角度设计的,并提前识别攻击。这种视角的转变给了你在威胁情况下的巨大优势,这些威胁总是压倒性地支持攻击者。


02 诱骗与纠缠

 

        蜜罐的成功依赖于捕获攻击者的注意力并激励他们转移到蜜罐目的地。这意味着你必须首先让攻击者在蜜罐之前阻止他们。与此同时,他们可能会在网络中存在数月,会泄露数据并造成损害。

         欺骗技术模拟实际的基础设施及网络中的实际资产信息,来欺骗攻击者进行攻击,而攻击者不会意识到这一点。


 03 有限的可伸缩性与自动化的可伸缩性

 

        部署时通常采用增加在整个基础架构中的蜜罐数量,以增加捕获攻击者的可能性。然而,这种方法很快就会变得昂贵而复杂。如果你有500台机器并且需要50%的覆盖率,则需要添加250台新机器和IP地址,更不用说许可证和人力资源来管理这些机器。

        而欺骗技术的组织网络本质上是动态的,部署的欺骗层上的基础设施及网络中的实际资产信息也是动态的,一旦检测到变化,欺骗层上的信息会主动并自动适应,通过添加、更新或重新分配基础设施及网络中的实际资产信息,来达到欺骗攻击者的目的。

 

04 增加误报与近零的误报

 

        一个攻击者必须选择蜜罐作为目的地,当它们存在于网络中时,终端用户经常会与诱饵进行交互,从而增加误报。

        欺骗技术使每个终端上的数据都被100%覆盖,但却隐藏在用户中。因为他们只能暴露在攻击者的面前,误报被消除,每一次警报都是真实的威胁。


05 模仿与真实性

 

        蜜罐上放置的诱饵是用组织认为会吸引攻击者的数据或属性,但其根本是静态的。攻击者会寻找蜜罐诱饵特定的特征,使自己能够成功地避免使用蜜罐。

        然而,诱饵应该既有趣又能证明与攻击者的真实互动。

        欺骗技术的诱饵是真实的,随着时间的推移而变化。它们具有相同的属性和实际的终端、服务器、数据、应用程序和周围的网络环境。即使是在相同的环境中,也没有两台计算机或用户的欺骗行为是相同的,造成攻击者无法确定什么是真实的,什么是虚假的。

 

06 延迟威胁响应与即时威胁响应

 

        通过蜜罐技术,组织的安全团队必须希望攻击者能够与蜜罐交互足够长的时间,以解决来自多台机器的大量错误的警报。这明显推迟了有效的反应。

        此外,由于攻击者在组织网络中已经深入,因此安全团队在这一点上往往非常警惕,经常会导致错误的决策。

        有了欺骗技术,安全团队知道攻击者在攻击的早期就会欺骗。这给了他们更多的响应选择和一个清晰的修复路径。

 

07 有用的取证和即时取证的来源攻击

 

        蜜罐的取证只能聚集在蜜罐诱饵本身,它不提供对源机器或先前行为的洞察。

        而欺骗技术可以为组织提供关于试获取攻击机器的完整取证报告,以及攻击的全部过程,包括攻击者的内部“过程”,以及尝试与命令和控制服务器来泄露数据等等。


08 调技术与转变

 

        蜜罐技术已经存在了很长时间,并且是基于对机器和技术能力的假设而设计的。

        欺骗技术可以帮助攻击者摆脱困境,因为它是围绕着人类对新环境或新环境的反应而设计的。当攻击者登陆网络时,他会问两个问题:

    下一步我应该去哪里?

    我怎么去呢?

        只有在回答了这些问题之后,它才会进行下一个横向移动。当真实欺骗被部署到这些问题的答案时,就会产生一个欺骗的现实。这将会导致攻击者在一个陷阱服务器上,而不是它理想的目标。在它身边有许多欺骗手段,攻击者通常会做出不正确的决定 , 使它陷入欺骗和迷失方向,这一点是它没有意识到的。与此同时,它被发现却不知道。自动的取证反应跟踪他的路径和活动,为组织提供有价值的数据来阻止和纠正攻击。

        欺骗技术作为新兴的网络安全技术,在国内还未得到用户的普遍认识。然而,欺骗技术已经超越了今天的蜜罐概念。通过诱饵积极的引诱攻击者到欺骗环境中,从而达到防御的效果。


文章引用:http://netsecurity.51cto.com/art/201810/585827.htm?mobile