2020年4月，一段不明飛行物（UFO）視頻引發(fā)了各界的廣泛猜測。美國福布斯網(wǎng)站報(bào)道稱，這一段視頻很可能是美軍最新技術(shù)“幻影誘餌”的演練影像。該技術(shù)被視為“游戲規(guī)則改變者”，它可以保護(hù)戰(zhàn)機(jī)免受紅外制導(dǎo)導(dǎo)彈的攻擊。

五角大樓公布的美軍拍攝到的UFO畫面

傳統(tǒng)的紅外干擾彈也能夠用來誘騙敵軍，使紅外制導(dǎo)武器脫離真實(shí)目標(biāo)，但在發(fā)射后，干擾劑會迅速四散下落?！盎糜罢T餌”不同，它能夠根據(jù)戰(zhàn)機(jī)需要來調(diào)整投放位置和使用時間；還可以給飛機(jī)安裝多個激光源，各自生成不同“幻影”，足以迷惑當(dāng)前最先進(jìn)的紅外制導(dǎo)系統(tǒng)；甚至可以投射虛假影像以掩護(hù)其他目標(biāo)，例如戰(zhàn)艦、戰(zhàn)斗群、軍事基地乃至城市。

從單次即失效到位置與時間靈活可控，從單點(diǎn)防護(hù)到多點(diǎn)欺騙，從守護(hù)戰(zhàn)機(jī)自身到掩護(hù)整座城市。擴(kuò)大誘惑面，提高仿真度，守護(hù)更多真實(shí)資產(chǎn)，這正是“幻影誘餌”的高明之處，它已經(jīng)完成了從“低交互誘騙”到“高交互誘騙”的進(jìn)化。

事實(shí)上，網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界正發(fā)生深度交融，網(wǎng)絡(luò)安全邊界逐漸模糊，各類已知和未知的安全威脅不斷涌現(xiàn)。互聯(lián)網(wǎng)安全其本質(zhì)是黑客和開發(fā)者之間的攻防戰(zhàn)爭，既然是戰(zhàn)爭，就可以借鑒現(xiàn)實(shí)戰(zhàn)爭思維來實(shí)施防御。如何將上述欺騙防御技術(shù)“搬運(yùn)”到網(wǎng)絡(luò)空間，打造網(wǎng)絡(luò)安全界的“幻影誘餌”實(shí)施防御？

防守之難：如何消除攻防信息的不對等？

網(wǎng)絡(luò)空間安全形勢日趨嚴(yán)峻，網(wǎng)絡(luò)安全攻防演練逐漸成為常態(tài)化需求?！澳孟?0個shell，不如打下一個內(nèi)網(wǎng)”，內(nèi)網(wǎng)安全的重要性不言而喻。但在攻防對抗中，攻擊者往往只要找到一個弱點(diǎn)便可直擊企業(yè)心臟，防守者卻需要全面考慮風(fēng)險(xiǎn)點(diǎn)，稍有疏忽便功虧一簣。我們唯一確信的是：新的威脅在不斷出現(xiàn)，企業(yè)一定存在未被掌控的風(fēng)險(xiǎn)點(diǎn)，而攻擊者一定會在某次攻擊中將其洞穿。

“攻擊者什么時候進(jìn)攻？如何知道攻擊者打到哪了？攻擊者打進(jìn)來都干了什么？”

對守方來說，永遠(yuǎn)無法預(yù)知攻擊者下一步的進(jìn)攻方式。傳統(tǒng)安全產(chǎn)品無法應(yīng)對頻發(fā)的0day攻擊，亦無法精準(zhǔn)感知攻擊隊(duì)進(jìn)程，被內(nèi)網(wǎng)漫游了仍不知道是哪里失守。

此時，攻擊欺騙防御技術(shù)便成了一支奇兵，通過構(gòu)造一系列虛假環(huán)境，有意誤導(dǎo)攻擊者走入“獵人”設(shè)置好的陷阱，通過先發(fā)制人幫助企業(yè)消除攻防信息的不對等、保護(hù)企業(yè)真實(shí)資產(chǎn)，不再被動響應(yīng)、盲目挨打。

具體來說，企業(yè)采取了更加主動的防御措施以消耗攻擊成本，例如部署蜜罐，提供虛假設(shè)備或服務(wù)來誘捕攻擊者，誤導(dǎo)攻擊者采取錯誤的攻擊方式與工具，這正是攻擊欺騙防御的主要落地形式。一旦攻擊者觸碰蜜罐系統(tǒng)或打開蜜標(biāo)文件，即刻會被防守方監(jiān)測，但攻擊者對此尚無感知。在對蜜罐掃描、探測、訪問的過程中，蜜罐系統(tǒng)在不斷消耗攻擊資源、拖延攻擊時間、記錄攻擊行為。防守方從而得以了解攻擊方的工具、方法和動機(jī)，不僅對當(dāng)前面對的未知安全威脅有了清晰認(rèn)知，也能夠通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

攻擊欺騙：源于蜜罐，勝于蜜罐

陷阱能否成功迷惑敵軍，重點(diǎn)在于偽裝得像不像。

攻擊隊(duì)也不傻，你有張良計(jì)，我有過墻梯。近年來反蜜罐技術(shù)逐漸興起，傳統(tǒng)開源蜜罐因?yàn)榕渲渺o態(tài)、信息有限，只能簡單模擬一些操作系統(tǒng)、服務(wù)和應(yīng)用，因此越來越容易被識破。魔術(shù)手法一旦曝光，觀眾便會覺得索然無味，低交互蜜罐逐漸失去了價值。

傳統(tǒng)低交互蜜罐示意圖

經(jīng)過長達(dá)三十年的技術(shù)演變，如今的高交互蜜罐早已不再囿于蜜罐，而是配合了蜜網(wǎng)、蜜標(biāo)等其他欺騙手段，我們應(yīng)該稱之為攻擊欺騙防御體系。該體系不僅可防護(hù)具有大規(guī)模影響范圍的非定向攻擊，也大大提升了對個體性定向攻擊的監(jiān)控效率。既可以單獨(dú)使用，也可以部署于業(yè)務(wù)系統(tǒng)之上，還可與已有的網(wǎng)絡(luò)防御機(jī)制聯(lián)動，提高系統(tǒng)識別威脅和應(yīng)急響應(yīng)的能力。相比傳統(tǒng)蜜罐，該體系更像是配備了激光的“幻影誘餌”，團(tuán)隊(duì)作戰(zhàn)，且騙術(shù)高超。

1.    混合式蜜罐

集低交互和高交互蜜罐為一體的混合式蜜罐，既具備低交互蜜罐對資源要求低的好處，也擁有高交互蜜罐響應(yīng)能力高的優(yōu)勢。結(jié)合企業(yè)特點(diǎn)按需生成，大大降低了資源消耗。

2.    云蜜標(biāo)

蜜標(biāo)系統(tǒng)可生成極具誘惑性并含有“敏感數(shù)據(jù)”的Word、 PDF、 EXE 等蜜標(biāo)文件，并將蜜標(biāo)文件分發(fā)到蜜罐系統(tǒng)中。當(dāng)攻擊者竊取蜜標(biāo)文件并執(zhí)行打開操作時，蜜罐系統(tǒng)會接收回傳的攻擊主機(jī)信息，并發(fā)送給攻擊事件分析平臺，同時向運(yùn)營者發(fā)出告警信息。而云蜜標(biāo)的出現(xiàn)讓攻擊者更無遁逃余地，在任何網(wǎng)絡(luò)環(huán)境下打開文件，信息都會上傳至云端，告警更準(zhǔn)確。

3.    自適應(yīng)部署

誘捕面的合理部署是影響到防御效果優(yōu)劣的重要因素?？紤]到企業(yè)中安全運(yùn)營人員的安全能力參差不齊，很難做到從攻擊視角完成Agent部署?，F(xiàn)在依托機(jī)器學(xué)習(xí)、人工智能技術(shù)，Agent會根據(jù)所部署的業(yè)務(wù)環(huán)境進(jìn)行智能識別分析，自動推薦與業(yè)務(wù)系統(tǒng)高度一致的欺騙環(huán)境模板，并實(shí)現(xiàn)一鍵配置，大幅縮減安全運(yùn)營所需人力和時間。

4.    精準(zhǔn)溯源

當(dāng)攻擊者觸碰欺騙模塊時，系統(tǒng)會記錄攻擊行為，識別攻擊者IP地址、社交賬號、指紋等信息，同時聯(lián)動全球威脅情報(bào)和安全大數(shù)據(jù)，對攻擊者進(jìn)行畫像以及自然人社交身份定位。

5.    企業(yè)威脅情報(bào)源

攻擊欺騙防御技術(shù)一方面可利用已有威脅情報(bào)數(shù)據(jù)完善欺騙策略，另一方面也能將捕獲到的信息上報(bào)，助力企業(yè)生成自己的威脅情報(bào)源。

360攻擊欺騙防御服務(wù)部署示意圖

欺騙的價值在于攻擊者能得到“真實(shí)”的回應(yīng)，讓他誤以為當(dāng)前攻擊有效可行。無論攻擊者從哪一個入口進(jìn)入、進(jìn)行到任何攻擊階段，都有拖延之術(shù)，這就為防守方爭取了黃金防護(hù)時間，甚至還提供了反制的機(jī)會，圍魏救趙也不過如此。

360攻擊欺騙防御服務(wù)

依托360安全大腦的海量安全大數(shù)據(jù)，由漏洞云、威脅情報(bào)云以及超3800人的安全專家云賦能，360“攻擊欺騙防御”服務(wù)是基于攻擊欺騙理念，而推出的內(nèi)網(wǎng)威脅感知產(chǎn)品與安全專家相結(jié)合的主動防御服務(wù)。

360安全專家團(tuán)隊(duì)擁有多年網(wǎng)絡(luò)攻防對抗實(shí)戰(zhàn)經(jīng)驗(yàn)，可依據(jù)客戶的網(wǎng)絡(luò)和業(yè)務(wù)情況，推薦具有針對性的探針部署方案，通過高仿真蜜標(biāo)、蜜罐和自定義蜜網(wǎng)的綜合應(yīng)用，增強(qiáng)對惡意入侵者的攻擊捕獲能力、延緩攻擊進(jìn)程，為企業(yè)贏取應(yīng)急響應(yīng)時間，保護(hù)企業(yè)真實(shí)資產(chǎn)。同時也可根據(jù)客戶需要，提供安全事件應(yīng)急響應(yīng)服務(wù)，輸出安全攻擊事件報(bào)分析報(bào)告，助力企業(yè)提升主動防御能力。

360攻擊欺騙防御服務(wù)支持本地安全大腦部署和云端安全大腦部署兩種模式。本地部署采用探針+server模式，對客戶原有網(wǎng)絡(luò)架構(gòu)不會產(chǎn)生任何影響。云端部署采用SaaS模式，可為您提供物理機(jī)級別的云上安全服務(wù)。您無需額外購買設(shè)備，只需通過部署極其輕量的軟件探針，即可極速構(gòu)建內(nèi)網(wǎng)安全體系。

云端服務(wù)優(yōu)勢

• 申請后24h 內(nèi)即可開通并部署，便捷高效

• 按月付費(fèi)，自定義使用時間，精準(zhǔn)量化服務(wù)成本

• 7*24小時安全專家技術(shù)支持，配合客戶進(jìn)行應(yīng)急響應(yīng)

• 360安全大腦云端賦能，實(shí)現(xiàn)安全服務(wù)能力自動迭代升級
  

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。