0
本文作者: 木子 | 2020-06-17 16:41 |
2020年4月,一段不明飛行物(UFO)視頻引發(fā)了各界的廣泛猜測(cè)。美國(guó)福布斯網(wǎng)站報(bào)道稱,這一段視頻很可能是美軍最新技術(shù)“幻影誘餌”的演練影像。該技術(shù)被視為“游戲規(guī)則改變者”,它可以保護(hù)戰(zhàn)機(jī)免受紅外制導(dǎo)導(dǎo)彈的攻擊。
五角大樓公布的美軍拍攝到的UFO畫面
傳統(tǒng)的紅外干擾彈也能夠用來(lái)誘騙敵軍,使紅外制導(dǎo)武器脫離真實(shí)目標(biāo),但在發(fā)射后,干擾劑會(huì)迅速四散下落?!盎糜罢T餌”不同,它能夠根據(jù)戰(zhàn)機(jī)需要來(lái)調(diào)整投放位置和使用時(shí)間;還可以給飛機(jī)安裝多個(gè)激光源,各自生成不同“幻影”,足以迷惑當(dāng)前最先進(jìn)的紅外制導(dǎo)系統(tǒng);甚至可以投射虛假影像以掩護(hù)其他目標(biāo),例如戰(zhàn)艦、戰(zhàn)斗群、軍事基地乃至城市。
從單次即失效到位置與時(shí)間靈活可控,從單點(diǎn)防護(hù)到多點(diǎn)欺騙,從守護(hù)戰(zhàn)機(jī)自身到掩護(hù)整座城市。擴(kuò)大誘惑面,提高仿真度,守護(hù)更多真實(shí)資產(chǎn),這正是“幻影誘餌”的高明之處,它已經(jīng)完成了從“低交互誘騙”到“高交互誘騙”的進(jìn)化。
事實(shí)上,網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界正發(fā)生深度交融,網(wǎng)絡(luò)安全邊界逐漸模糊,各類已知和未知的安全威脅不斷涌現(xiàn)?;ヂ?lián)網(wǎng)安全其本質(zhì)是黑客和開發(fā)者之間的攻防戰(zhàn)爭(zhēng),既然是戰(zhàn)爭(zhēng),就可以借鑒現(xiàn)實(shí)戰(zhàn)爭(zhēng)思維來(lái)實(shí)施防御。如何將上述欺騙防御技術(shù)“搬運(yùn)”到網(wǎng)絡(luò)空間,打造網(wǎng)絡(luò)安全界的“幻影誘餌”實(shí)施防御?
網(wǎng)絡(luò)空間安全形勢(shì)日趨嚴(yán)峻,網(wǎng)絡(luò)安全攻防演練逐漸成為常態(tài)化需求?!澳孟?0個(gè)shell,不如打下一個(gè)內(nèi)網(wǎng)”,內(nèi)網(wǎng)安全的重要性不言而喻。但在攻防對(duì)抗中,攻擊者往往只要找到一個(gè)弱點(diǎn)便可直擊企業(yè)心臟,防守者卻需要全面考慮風(fēng)險(xiǎn)點(diǎn),稍有疏忽便功虧一簣。我們唯一確信的是:新的威脅在不斷出現(xiàn),企業(yè)一定存在未被掌控的風(fēng)險(xiǎn)點(diǎn),而攻擊者一定會(huì)在某次攻擊中將其洞穿。
“攻擊者什么時(shí)候進(jìn)攻?如何知道攻擊者打到哪了?攻擊者打進(jìn)來(lái)都干了什么?”
對(duì)守方來(lái)說(shuō),永遠(yuǎn)無(wú)法預(yù)知攻擊者下一步的進(jìn)攻方式。傳統(tǒng)安全產(chǎn)品無(wú)法應(yīng)對(duì)頻發(fā)的0day攻擊,亦無(wú)法精準(zhǔn)感知攻擊隊(duì)進(jìn)程,被內(nèi)網(wǎng)漫游了仍不知道是哪里失守。
此時(shí),攻擊欺騙防御技術(shù)便成了一支奇兵,通過(guò)構(gòu)造一系列虛假環(huán)境,有意誤導(dǎo)攻擊者走入“獵人”設(shè)置好的陷阱,通過(guò)先發(fā)制人幫助企業(yè)消除攻防信息的不對(duì)等、保護(hù)企業(yè)真實(shí)資產(chǎn),不再被動(dòng)響應(yīng)、盲目挨打。
具體來(lái)說(shuō),企業(yè)采取了更加主動(dòng)的防御措施以消耗攻擊成本,例如部署蜜罐,提供虛假設(shè)備或服務(wù)來(lái)誘捕攻擊者,誤導(dǎo)攻擊者采取錯(cuò)誤的攻擊方式與工具,這正是攻擊欺騙防御的主要落地形式。一旦攻擊者觸碰蜜罐系統(tǒng)或打開蜜標(biāo)文件,即刻會(huì)被防守方監(jiān)測(cè),但攻擊者對(duì)此尚無(wú)感知。在對(duì)蜜罐掃描、探測(cè)、訪問(wèn)的過(guò)程中,蜜罐系統(tǒng)在不斷消耗攻擊資源、拖延攻擊時(shí)間、記錄攻擊行為。防守方從而得以了解攻擊方的工具、方法和動(dòng)機(jī),不僅對(duì)當(dāng)前面對(duì)的未知安全威脅有了清晰認(rèn)知,也能夠通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。
陷阱能否成功迷惑敵軍,重點(diǎn)在于偽裝得像不像。
攻擊隊(duì)也不傻,你有張良計(jì),我有過(guò)墻梯。近年來(lái)反蜜罐技術(shù)逐漸興起,傳統(tǒng)開源蜜罐因?yàn)榕渲渺o態(tài)、信息有限,只能簡(jiǎn)單模擬一些操作系統(tǒng)、服務(wù)和應(yīng)用,因此越來(lái)越容易被識(shí)破。魔術(shù)手法一旦曝光,觀眾便會(huì)覺(jué)得索然無(wú)味,低交互蜜罐逐漸失去了價(jià)值。
傳統(tǒng)低交互蜜罐示意圖
經(jīng)過(guò)長(zhǎng)達(dá)三十年的技術(shù)演變,如今的高交互蜜罐早已不再囿于蜜罐,而是配合了蜜網(wǎng)、蜜標(biāo)等其他欺騙手段,我們應(yīng)該稱之為攻擊欺騙防御體系。該體系不僅可防護(hù)具有大規(guī)模影響范圍的非定向攻擊,也大大提升了對(duì)個(gè)體性定向攻擊的監(jiān)控效率。既可以單獨(dú)使用,也可以部署于業(yè)務(wù)系統(tǒng)之上,還可與已有的網(wǎng)絡(luò)防御機(jī)制聯(lián)動(dòng),提高系統(tǒng)識(shí)別威脅和應(yīng)急響應(yīng)的能力。相比傳統(tǒng)蜜罐,該體系更像是配備了激光的“幻影誘餌”,團(tuán)隊(duì)作戰(zhàn),且騙術(shù)高超。
1. 混合式蜜罐
集低交互和高交互蜜罐為一體的混合式蜜罐,既具備低交互蜜罐對(duì)資源要求低的好處,也擁有高交互蜜罐響應(yīng)能力高的優(yōu)勢(shì)。結(jié)合企業(yè)特點(diǎn)按需生成,大大降低了資源消耗。
2. 云蜜標(biāo)
蜜標(biāo)系統(tǒng)可生成極具誘惑性并含有“敏感數(shù)據(jù)”的Word、 PDF、 EXE 等蜜標(biāo)文件,并將蜜標(biāo)文件分發(fā)到蜜罐系統(tǒng)中。當(dāng)攻擊者竊取蜜標(biāo)文件并執(zhí)行打開操作時(shí),蜜罐系統(tǒng)會(huì)接收回傳的攻擊主機(jī)信息,并發(fā)送給攻擊事件分析平臺(tái),同時(shí)向運(yùn)營(yíng)者發(fā)出告警信息。而云蜜標(biāo)的出現(xiàn)讓攻擊者更無(wú)遁逃余地,在任何網(wǎng)絡(luò)環(huán)境下打開文件,信息都會(huì)上傳至云端,告警更準(zhǔn)確。
3. 自適應(yīng)部署
誘捕面的合理部署是影響到防御效果優(yōu)劣的重要因素??紤]到企業(yè)中安全運(yùn)營(yíng)人員的安全能力參差不齊,很難做到從攻擊視角完成Agent部署。現(xiàn)在依托機(jī)器學(xué)習(xí)、人工智能技術(shù),Agent會(huì)根據(jù)所部署的業(yè)務(wù)環(huán)境進(jìn)行智能識(shí)別分析,自動(dòng)推薦與業(yè)務(wù)系統(tǒng)高度一致的欺騙環(huán)境模板,并實(shí)現(xiàn)一鍵配置,大幅縮減安全運(yùn)營(yíng)所需人力和時(shí)間。
4. 精準(zhǔn)溯源
當(dāng)攻擊者觸碰欺騙模塊時(shí),系統(tǒng)會(huì)記錄攻擊行為,識(shí)別攻擊者IP地址、社交賬號(hào)、指紋等信息,同時(shí)聯(lián)動(dòng)全球威脅情報(bào)和安全大數(shù)據(jù),對(duì)攻擊者進(jìn)行畫像以及自然人社交身份定位。
5. 企業(yè)威脅情報(bào)源
攻擊欺騙防御技術(shù)一方面可利用已有威脅情報(bào)數(shù)據(jù)完善欺騙策略,另一方面也能將捕獲到的信息上報(bào),助力企業(yè)生成自己的威脅情報(bào)源。
360攻擊欺騙防御服務(wù)部署示意圖
欺騙的價(jià)值在于攻擊者能得到“真實(shí)”的回應(yīng),讓他誤以為當(dāng)前攻擊有效可行。無(wú)論攻擊者從哪一個(gè)入口進(jìn)入、進(jìn)行到任何攻擊階段,都有拖延之術(shù),這就為防守方爭(zhēng)取了黃金防護(hù)時(shí)間,甚至還提供了反制的機(jī)會(huì),圍魏救趙也不過(guò)如此。
依托360安全大腦的海量安全大數(shù)據(jù),由漏洞云、威脅情報(bào)云以及超3800人的安全專家云賦能,360“攻擊欺騙防御”服務(wù)是基于攻擊欺騙理念,而推出的內(nèi)網(wǎng)威脅感知產(chǎn)品與安全專家相結(jié)合的主動(dòng)防御服務(wù)。
360安全專家團(tuán)隊(duì)擁有多年網(wǎng)絡(luò)攻防對(duì)抗實(shí)戰(zhàn)經(jīng)驗(yàn),可依據(jù)客戶的網(wǎng)絡(luò)和業(yè)務(wù)情況,推薦具有針對(duì)性的探針部署方案,通過(guò)高仿真蜜標(biāo)、蜜罐和自定義蜜網(wǎng)的綜合應(yīng)用,增強(qiáng)對(duì)惡意入侵者的攻擊捕獲能力、延緩攻擊進(jìn)程,為企業(yè)贏取應(yīng)急響應(yīng)時(shí)間,保護(hù)企業(yè)真實(shí)資產(chǎn)。同時(shí)也可根據(jù)客戶需要,提供安全事件應(yīng)急響應(yīng)服務(wù),輸出安全攻擊事件報(bào)分析報(bào)告,助力企業(yè)提升主動(dòng)防御能力。
360攻擊欺騙防御服務(wù)支持本地安全大腦部署和云端安全大腦部署兩種模式。本地部署采用探針+server模式,對(duì)客戶原有網(wǎng)絡(luò)架構(gòu)不會(huì)產(chǎn)生任何影響。云端部署采用SaaS模式,可為您提供物理機(jī)級(jí)別的云上安全服務(wù)。您無(wú)需額外購(gòu)買設(shè)備,只需通過(guò)部署極其輕量的軟件探針,即可極速構(gòu)建內(nèi)網(wǎng)安全體系。
云端服務(wù)優(yōu)勢(shì)
申請(qǐng)后24h 內(nèi)即可開通并部署,便捷高效
按月付費(fèi),自定義使用時(shí)間,精準(zhǔn)量化服務(wù)成本
7*24小時(shí)安全專家技術(shù)支持,配合客戶進(jìn)行應(yīng)急響應(yīng)
360安全大腦云端賦能,實(shí)現(xiàn)安全服務(wù)能力自動(dòng)迭代升級(jí)
雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。