企業(yè)攻防實(shí)戰(zhàn)的“逆襲奇兵"？一文看懂360攻擊欺騙防御服務(wù)

本文作者：木子

2020-06-17 16:41

導(dǎo)語(yǔ)：攻擊欺騙防御技術(shù)在網(wǎng)絡(luò)攻防實(shí)戰(zhàn)中的演化

2020年4月，一段不明飛行物（UFO）視頻引發(fā)了各界的廣泛猜測(cè)。美國(guó)福布斯網(wǎng)站報(bào)道稱，這一段視頻很可能是美軍最新技術(shù)“幻影誘餌”的演練影像。該技術(shù)被視為“游戲規(guī)則改變者”，它可以保護(hù)戰(zhàn)機(jī)免受紅外制導(dǎo)導(dǎo)彈的攻擊。

企業(yè)攻防實(shí)戰(zhàn)的“逆襲奇兵

五角大樓公布的美軍拍攝到的UFO畫面

傳統(tǒng)的紅外干擾彈也能夠用來(lái)誘騙敵軍，使紅外制導(dǎo)武器脫離真實(shí)目標(biāo)，但在發(fā)射后，干擾劑會(huì)迅速四散下落?！盎糜罢T餌”不同，它能夠根據(jù)戰(zhàn)機(jī)需要來(lái)調(diào)整投放位置和使用時(shí)間；還可以給飛機(jī)安裝多個(gè)激光源，各自生成不同“幻影”，足以迷惑當(dāng)前最先進(jìn)的紅外制導(dǎo)系統(tǒng)；甚至可以投射虛假影像以掩護(hù)其他目標(biāo)，例如戰(zhàn)艦、戰(zhàn)斗群、軍事基地乃至城市。

從單次即失效到位置與時(shí)間靈活可控，從單點(diǎn)防護(hù)到多點(diǎn)欺騙，從守護(hù)戰(zhàn)機(jī)自身到掩護(hù)整座城市。擴(kuò)大誘惑面，提高仿真度，守護(hù)更多真實(shí)資產(chǎn)，這正是“幻影誘餌”的高明之處，它已經(jīng)完成了從“低交互誘騙”到“高交互誘騙”的進(jìn)化。

事實(shí)上，網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界正發(fā)生深度交融，網(wǎng)絡(luò)安全邊界逐漸模糊，各類已知和未知的安全威脅不斷涌現(xiàn)?；ヂ?lián)網(wǎng)安全其本質(zhì)是黑客和開發(fā)者之間的攻防戰(zhàn)爭(zhēng)，既然是戰(zhàn)爭(zhēng)，就可以借鑒現(xiàn)實(shí)戰(zhàn)爭(zhēng)思維來(lái)實(shí)施防御。如何將上述欺騙防御技術(shù)“搬運(yùn)”到網(wǎng)絡(luò)空間，打造網(wǎng)絡(luò)安全界的“幻影誘餌”實(shí)施防御？

防守之難：如何消除攻防信息的不對(duì)等？

網(wǎng)絡(luò)空間安全形勢(shì)日趨嚴(yán)峻，網(wǎng)絡(luò)安全攻防演練逐漸成為常態(tài)化需求?！澳孟?0個(gè)shell，不如打下一個(gè)內(nèi)網(wǎng)”，內(nèi)網(wǎng)安全的重要性不言而喻。但在攻防對(duì)抗中，攻擊者往往只要找到一個(gè)弱點(diǎn)便可直擊企業(yè)心臟，防守者卻需要全面考慮風(fēng)險(xiǎn)點(diǎn)，稍有疏忽便功虧一簣。我們唯一確信的是：新的威脅在不斷出現(xiàn)，企業(yè)一定存在未被掌控的風(fēng)險(xiǎn)點(diǎn)，而攻擊者一定會(huì)在某次攻擊中將其洞穿。

“攻擊者什么時(shí)候進(jìn)攻？如何知道攻擊者打到哪了？攻擊者打進(jìn)來(lái)都干了什么？”

對(duì)守方來(lái)說(shuō)，永遠(yuǎn)無(wú)法預(yù)知攻擊者下一步的進(jìn)攻方式。傳統(tǒng)安全產(chǎn)品無(wú)法應(yīng)對(duì)頻發(fā)的0day攻擊，亦無(wú)法精準(zhǔn)感知攻擊隊(duì)進(jìn)程，被內(nèi)網(wǎng)漫游了仍不知道是哪里失守。

此時(shí)，攻擊欺騙防御技術(shù)便成了一支奇兵，通過(guò)構(gòu)造一系列虛假環(huán)境，有意誤導(dǎo)攻擊者走入“獵人”設(shè)置好的陷阱，通過(guò)先發(fā)制人幫助企業(yè)消除攻防信息的不對(duì)等、保護(hù)企業(yè)真實(shí)資產(chǎn)，不再被動(dòng)響應(yīng)、盲目挨打。

具體來(lái)說(shuō)，企業(yè)采取了更加主動(dòng)的防御措施以消耗攻擊成本，例如部署蜜罐，提供虛假設(shè)備或服務(wù)來(lái)誘捕攻擊者，誤導(dǎo)攻擊者采取錯(cuò)誤的攻擊方式與工具，這正是攻擊欺騙防御的主要落地形式。一旦攻擊者觸碰蜜罐系統(tǒng)或打開蜜標(biāo)文件，即刻會(huì)被防守方監(jiān)測(cè)，但攻擊者對(duì)此尚無(wú)感知。在對(duì)蜜罐掃描、探測(cè)、訪問(wèn)的過(guò)程中，蜜罐系統(tǒng)在不斷消耗攻擊資源、拖延攻擊時(shí)間、記錄攻擊行為。防守方從而得以了解攻擊方的工具、方法和動(dòng)機(jī)，不僅對(duì)當(dāng)前面對(duì)的未知安全威脅有了清晰認(rèn)知，也能夠通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

攻擊欺騙：源于蜜罐，勝于蜜罐

陷阱能否成功迷惑敵軍，重點(diǎn)在于偽裝得像不像。

攻擊隊(duì)也不傻，你有張良計(jì)，我有過(guò)墻梯。近年來(lái)反蜜罐技術(shù)逐漸興起，傳統(tǒng)開源蜜罐因?yàn)榕渲渺o態(tài)、信息有限，只能簡(jiǎn)單模擬一些操作系統(tǒng)、服務(wù)和應(yīng)用，因此越來(lái)越容易被識(shí)破。魔術(shù)手法一旦曝光，觀眾便會(huì)覺(jué)得索然無(wú)味，低交互蜜罐逐漸失去了價(jià)值。

企業(yè)攻防實(shí)戰(zhàn)的“逆襲奇兵

傳統(tǒng)低交互蜜罐示意圖

經(jīng)過(guò)長(zhǎng)達(dá)三十年的技術(shù)演變，如今的高交互蜜罐早已不再囿于蜜罐，而是配合了蜜網(wǎng)、蜜標(biāo)等其他欺騙手段，我們應(yīng)該稱之為攻擊欺騙防御體系。該體系不僅可防護(hù)具有大規(guī)模影響范圍的非定向攻擊，也大大提升了對(duì)個(gè)體性定向攻擊的監(jiān)控效率。既可以單獨(dú)使用，也可以部署于業(yè)務(wù)系統(tǒng)之上，還可與已有的網(wǎng)絡(luò)防御機(jī)制聯(lián)動(dòng)，提高系統(tǒng)識(shí)別威脅和應(yīng)急響應(yīng)的能力。相比傳統(tǒng)蜜罐，該體系更像是配備了激光的“幻影誘餌”，團(tuán)隊(duì)作戰(zhàn)，且騙術(shù)高超。

1. 混合式蜜罐

集低交互和高交互蜜罐為一體的混合式蜜罐，既具備低交互蜜罐對(duì)資源要求低的好處，也擁有高交互蜜罐響應(yīng)能力高的優(yōu)勢(shì)。結(jié)合企業(yè)特點(diǎn)按需生成，大大降低了資源消耗。

2. 云蜜標(biāo)

蜜標(biāo)系統(tǒng)可生成極具誘惑性并含有“敏感數(shù)據(jù)”的Word、 PDF、 EXE 等蜜標(biāo)文件，并將蜜標(biāo)文件分發(fā)到蜜罐系統(tǒng)中。當(dāng)攻擊者竊取蜜標(biāo)文件并執(zhí)行打開操作時(shí)，蜜罐系統(tǒng)會(huì)接收回傳的攻擊主機(jī)信息，并發(fā)送給攻擊事件分析平臺(tái)，同時(shí)向運(yùn)營(yíng)者發(fā)出告警信息。而云蜜標(biāo)的出現(xiàn)讓攻擊者更無(wú)遁逃余地，在任何網(wǎng)絡(luò)環(huán)境下打開文件，信息都會(huì)上傳至云端，告警更準(zhǔn)確。

3. 自適應(yīng)部署

誘捕面的合理部署是影響到防御效果優(yōu)劣的重要因素?？紤]到企業(yè)中安全運(yùn)營(yíng)人員的安全能力參差不齊，很難做到從攻擊視角完成Agent部署。現(xiàn)在依托機(jī)器學(xué)習(xí)、人工智能技術(shù)，Agent會(huì)根據(jù)所部署的業(yè)務(wù)環(huán)境進(jìn)行智能識(shí)別分析，自動(dòng)推薦與業(yè)務(wù)系統(tǒng)高度一致的欺騙環(huán)境模板，并實(shí)現(xiàn)一鍵配置，大幅縮減安全運(yùn)營(yíng)所需人力和時(shí)間。

4. 精準(zhǔn)溯源

當(dāng)攻擊者觸碰欺騙模塊時(shí)，系統(tǒng)會(huì)記錄攻擊行為，識(shí)別攻擊者IP地址、社交賬號(hào)、指紋等信息，同時(shí)聯(lián)動(dòng)全球威脅情報(bào)和安全大數(shù)據(jù)，對(duì)攻擊者進(jìn)行畫像以及自然人社交身份定位。

5. 企業(yè)威脅情報(bào)源

攻擊欺騙防御技術(shù)一方面可利用已有威脅情報(bào)數(shù)據(jù)完善欺騙策略，另一方面也能將捕獲到的信息上報(bào)，助力企業(yè)生成自己的威脅情報(bào)源。

企業(yè)攻防實(shí)戰(zhàn)的“逆襲奇兵

360攻擊欺騙防御服務(wù)部署示意圖

欺騙的價(jià)值在于攻擊者能得到“真實(shí)”的回應(yīng)，讓他誤以為當(dāng)前攻擊有效可行。無(wú)論攻擊者從哪一個(gè)入口進(jìn)入、進(jìn)行到任何攻擊階段，都有拖延之術(shù)，這就為防守方爭(zhēng)取了黃金防護(hù)時(shí)間，甚至還提供了反制的機(jī)會(huì)，圍魏救趙也不過(guò)如此。

360攻擊欺騙防御服務(wù)

依托360安全大腦的海量安全大數(shù)據(jù)，由漏洞云、威脅情報(bào)云以及超3800人的安全專家云賦能，360“攻擊欺騙防御”服務(wù)是基于攻擊欺騙理念，而推出的內(nèi)網(wǎng)威脅感知產(chǎn)品與安全專家相結(jié)合的主動(dòng)防御服務(wù)。

360安全專家團(tuán)隊(duì)擁有多年網(wǎng)絡(luò)攻防對(duì)抗實(shí)戰(zhàn)經(jīng)驗(yàn)，可依據(jù)客戶的網(wǎng)絡(luò)和業(yè)務(wù)情況，推薦具有針對(duì)性的探針部署方案，通過(guò)高仿真蜜標(biāo)、蜜罐和自定義蜜網(wǎng)的綜合應(yīng)用，增強(qiáng)對(duì)惡意入侵者的攻擊捕獲能力、延緩攻擊進(jìn)程，為企業(yè)贏取應(yīng)急響應(yīng)時(shí)間，保護(hù)企業(yè)真實(shí)資產(chǎn)。同時(shí)也可根據(jù)客戶需要，提供安全事件應(yīng)急響應(yīng)服務(wù)，輸出安全攻擊事件報(bào)分析報(bào)告，助力企業(yè)提升主動(dòng)防御能力。

360攻擊欺騙防御服務(wù)支持本地安全大腦部署和云端安全大腦部署兩種模式。本地部署采用探針+server模式，對(duì)客戶原有網(wǎng)絡(luò)架構(gòu)不會(huì)產(chǎn)生任何影響。云端部署采用SaaS模式，可為您提供物理機(jī)級(jí)別的云上安全服務(wù)。您無(wú)需額外購(gòu)買設(shè)備，只需通過(guò)部署極其輕量的軟件探針，即可極速構(gòu)建內(nèi)網(wǎng)安全體系。

云端服務(wù)優(yōu)勢(shì)