经过2000多年的发展,欺骗性活动已经广泛存在于人类生活的方方面面,而网络空间是欺骗性技术被广泛应用的新兴领域之一。以社会工程学为代表的欺骗性攻击屡屡得手,混淆、隐匿、伪造、钓鱼等攻击手段层出不穷。欺骗本身是中性的,可以是善的也可以是恶的,这取决于使用该技能的目的。网络安全的本质是攻击与防御的对抗。欺骗技术还可以应用于网络安全防御,实现对未知威胁的主动防御。欺骗防御技术概念2015年,国际知名研究机构Gartner提出攻击欺骗(Deception)技术概念,并将其列为最具潜力的新型安全技术。在Gartner的定义中,欺骗防御技术是指利用欺骗或欺骗手段来阻止网络攻击活动,破坏攻击者可能使用的自动化工具,延缓攻击者的入侵活动,有效检测和识别攻击行为的过程。基于以上定义,我们可以将欺骗性防御技术理解为通过有意准备的欺骗性环境或行为,误导攻击者的分析、判断和攻击活动,从而帮助网络安全保护目标实现的应用效果。总结分析欺骗防御技术的应用内涵,包括以下几点:欺骗防御以安全防护为目标,保护组织的网络、系统、应用等资产。欺骗防御通过揭露事实、隐瞒事实、揭穿谎言、隐藏谎言等策略战术,达到获取攻击者信息、增加攻击难度、粘性防御的目的。欺骗防御是主动防御的一部分。欺骗防御技术可用于构建诱捕、监控和溯源系统。欺骗性防御应用的价值一直存在,但这种对抗呈现出一种不对等的局面:攻击者只需找到弱点即可成功实施攻击,而防御者则要与无数的安全威胁作斗争。尚未确定的漏洞和潜在威胁。挑战一:大量自动化攻击涌现。随着人工智能技术应用的快速发展,新的先进网络攻击手段也越来越智能化、自动化和常态化。AdvancedBots机器人攻击给网络安全行业带来了更加严峻的挑战。挑战。欺骗防御可以覆盖网络边界、网络流量、主机层、应用层、数据层等多个维度。在网络环境中,办公网、生产网、测试网等根据环境和业务特点进行不同方式的覆盖,构建欺骗防御系统的感知能力,可以检测各类自动化扫描和机器人攻击,可以满足低成本、大规模部署的要求。挑战二:将传统攻击??转化为高级威胁目前,APT攻击无论是在攻击组织数量上,还是在攻击频率上都呈现出高发趋势。APT攻击也称为针对性威胁攻击,是指组织针对特定对象持续进行的针对性攻击。与传统攻击相比,APT攻击具有隐蔽性、针对性、持久性等攻击特点。无论APT攻击多么隐蔽,最终目的还是目标系统。欺骗防御产品在安全检测方面区别于传统安全产品,从攻击者的目标、攻击思路、攻击步骤等角度构建覆盖整个攻击链的防护链。路。挑战三:威胁发现能力不足在传统的安全防护建设中,众多产品形成的能力是单点的,孤岛式的安全能力建设模式缺乏全局安全数据的可见性,高级威胁发现难度越来越大。通过单一的安全能力实现;海量信息的实时关联分析需要极高的安全计算能力。由于不同安全产品之间缺乏数据关联,产生了大量无效告警信息,难以发现对组织的真正影响。威胁,也降低了安全运维的效率。欺骗防御作为主动防御体系的重要实现,具有高度开放性,可与现有安全防护体系、安全运营平台、威胁情报平台对接,输出网络攻击、攻击者信息、安全事件等关键数据流程,为整体安全防护和安全运营工作提供准确可靠的信息,为安全建设规划和安全策略优化决策提供支持。价值一、获取更多的攻击信息在传统的安全防护流程中,很多安全控制都是“边界化”的,在网络边界部署安全产品来防止恶意攻击。然而,随着混合云的使用和新冠疫情对远程办公的推动,组织的网络结构发生了变化,边界越来越模糊,这使得之前基于边界的防护越来越具有挑战性.与此同时,许多低成本、自动化的攻击工具不断涌现,攻击者可以不断地检测计算机系统,直到发现漏洞并进行下一次渗透,而防御者则无法获得攻击目标的任何信息。使用欺骗性技术可以提高对攻击企图的理解并提高对攻击威胁的认识。价值2.提高系统的攻击难度在攻击策略上,欺骗防御可以诱导攻击者做出错误的行为,从而得出错误的结论,进而通过一些额外的防御措施来保护目标系统。这无疑增加了攻击者获取目标系统信息的难度。价值3.实现粘性防御欺骗性防御可以为攻击者提供虚假的、具有欺骗性的情报信息,影响攻击者下一步攻击策略的制定和执行。同时,这也让防守方有更多的时间来准备和计划接下来的防守决策和行动。基于欺骗的防御的主要优势在于它们为游戏中的防御者提供了优势,在游戏中他们主动向恶意对手提供欺骗性信息,更具体地说是循环的“观察”和“调整”阶段。价值4.增强对攻击者的威慑力许多当前的安全控制都侧重于防止与非法尝试访问计算机系统相关的活动。结果,入侵者使用这种准确的负反馈作为他们的尝试是否已被检测到的标志。然后,他们退出攻击并使用其他更隐蔽的渗透方法。将欺骗引入计算机系统的设计会增加恶意对手考虑使用新方法来确定他们是否已被检测到或是否已被欺骗的可能性。这阻止了一些不想冒更多风险的攻击者。这种新的可能性可以防止不愿冒被欺骗风险的攻击者进行进一步分析。此外,这种技术使防御者能够通过主动提供虚假信息将攻击者的渗透尝试转化为自己的优势。欺骗防御技术类型蜜罐技术是欺骗防御在网络安全领域最早的代表性应用。但随着技术的发展,欺骗防御的内涵也在不断丰富,已经从最初的单点欺骗技术应用,发展到防御理念和防御体系的建立。从更宏观的角度观察欺骗防御技术的发展,可以分为两类:一类是战术的演变,以蜜罐技术为核心,形成密网、蜜场、蜜标签、蜜饵等安全产品组合欺骗防御平台;另一类是战略变革,以移动目标防御和拟态防御为代表,从系统架构等更深层次改变系统的特性,对现有防御思路进行颠覆性改变,实现原有的安全。蜜罐:蜜罐是一种软件应用系统,作为入侵诱饵,引诱黑客进行攻击。攻击者入侵后,通过监控分析,可以知道自己是如何入侵的,及时了解针对机构服务器发起的最新攻击和漏洞。蜜罐主要有两种应用类型:高交互蜜罐主要通过搭建全功能的应用环境来引诱黑客攻击;低交互蜜罐模拟特定的生产环境,因此只需要导入有限的信息。蜜网:蜜网是指由多个蜜罐组成的模拟网络。当多个蜜罐通过网络连接在一起时,可以模拟一个大规模的应用网络,利用其中的一些主机来吸引黑客入侵。通过对入侵过程的监控和观察,一方面可以追查入侵者的来源;检查安全措施是否有效。蜜场:蜜场是蜜罐技术的延伸。具有“逻辑分散、物理集中”的部署特点。通过重定向技术,将各种恶意访问聚集在一起,统一管理,统一分析。蜂蜜令牌:蜂蜜令牌是一种特殊的蜜罐诱饵。它不是任何宿主节点,而是一个带有标记的数字实体。它被定义为不用于常规生产目的的任何存储资源,例如电子邮件消息或数据库记录。蜜饵:蜜饵通常是一个类似于蜜罐的文件,引诱攻击者打开或下载它。欺骗防御平台:欺骗防御是一个集中管理系统,用于创建、分发和管理整个欺骗环境和单个欺骗元素,包括工作站、服务器、设备、应用程序、服务、协议、数据和用户。移动目标防御(MovingTargetDefense,简称MTD):移动目标防御是美国国家科学技术委员会基于动态、随机、多样的思想提出的一种改造现有信息系统防御缺陷的理论和方法。其核心思想是构建一个动态的、异构的、不确定的网络空间目标环境,增加攻击者的攻击难度,利用系统的随机性和不可预测性来抵御网络攻击。拟态防御:拟态防御是一种主动防御行为,也是我们课题组首先提出的主动防御理论。核心是实现基于网络空间内生安全机制的动态异构冗余结构。漏洞、后门、木马等未知威胁提供了创新的防御理论和方法。目前,欺骗技术已逐渐发展成为安全操作系统中新一代检测与响应技术的重要组成部分。各大安全厂商正在将欺骗技术与其他安全产品更紧密地联系起来,并朝着深度融合的趋势发展。在系统的欺骗防御应用方案中,应具备业务模拟、威胁感知、协同防御、攻击行为分析、溯源等多项重要能力,核心技术包括网络地址转换、端口重定向、多重模拟能力。欺骗防御的重要能力和核心技术欺骗防御的应用场景是按照欺骗防御的目标划分的。主要应用场景有:攻防对抗场景现阶段欺骗防御主要应用于攻防对抗。在攻防演练场景中,防御方需要面对攻击方持续的多维度攻击。通过构建欺骗性防御,他可以充分了解攻击者的整体情况,并根据攻击的特点,建立完善的安全防护体系,有效抵御攻击威胁,是支持实现防御效果和取得更好成绩的重要手段。安全运营场景从网络安全防护的角度来看,网络欺骗防御技术作为一种主动的安全防御手段,可以有效对抗网络攻击。网络欺骗防御技术可以起到检测、防护和响应的作用,可以实现发现攻击、延缓攻击和抵御攻击的功能。欺骗防御技术应用程序用于企业安全操作,以检测、延迟和反击网络攻击。主要场景有:溯源与反制溯源与反制是欺骗防御的一个重要应用场景,因为相比于其他安全产品,部署在组织内部的欺骗防御产品收集到的攻击信息可以判断为真实的攻击操作。同时,产品内置的反制措施可以追踪到攻击者的信息,例如电话号码和账户信息,这比其他产品更有价值。智能生成这里的智能包括两个层次。蜜罐部署方式不同于情报生成方式:一方面,组织根据自身情况部署蜜罐等产品,针对组织内部的威胁信息生成内部情报;另一方面,它是情报厂商推出的免费蜜罐,比如微步在线,用户可以免费部署自己的蜜罐,生成的情报信息汇总给安全厂商。辅助威胁感知部署在组织内部的欺骗防御产品可以收集针对组织的威胁信息,例如病毒,或针对特定端口的攻击操作。这里的威胁信息可以归纳为态势感知、SOC等产品,丰富威胁感知。科研场景一些安全厂商的实验室或网络安全部门收集黑客群体针对不同网络的动机和策略信息,用于研究分析攻击者的行为。通过一段时间的观察和分析,您可以大致了解近期网络安全格局的变化,研究您的组织面临的威胁,并更好地防范这些威胁。更多关于欺骗防御技术应用的需求分析和成功应用案例,请关注安全牛即将发布的《欺骗式防御技术市场&应用指南》报告。
