Honeypot是一个软件应用系统,作为入侵诱饵,引诱黑客攻击。攻击者入侵后,通过监控分析,可以知道自己是如何入侵的,及时了解针对机构服务器发起的最新攻击和漏洞。在开始阅读本文之前,请仔细查看以下问题。如果它们恰好是你所关心的,请继续下面文章的内容。除了知道有没有入侵,是否还需要知道对方的目标是什么?轨迹是什么?行为是什么?工具是什么?数据”还是“正确的数据”?在传统攻防中,防守者需要100%的专注,而攻击者只需要幸运一次……你是想延续这种局面,还是扭转这种局面?直觉上你是认同蜜罐的吗?但是,你还是觉得它的历史和复杂性微乎其微,犹豫不决,所以保持观望的态度?文网攻防演练以模拟真实攻击为重点标准,并渗透到各个参赛单位的系统中,通过设置演练规则,根据进攻和防守得分的统计,判断防守者的防守能力等级。攻击者是谁,从哪里发起攻击,用什么方式,在“攻防不对称”下处于天然劣势,本次我们就以某行业开展的攻防演练作为ex充足。站在防御者的角度,我们将看到他们如何利用欺骗和伪装技术实现主动对抗,及时诱捕、发现、应对、追踪甚至反击攻击者。在本次攻防演练中,十余支攻防分队组成蓝军,对全国分支、直属单位互联网信息系统进行模拟攻击。这一次,蓝军向参战单位的各种系统发起挑战,没有限制攻击路径。战术一——知己知彼,分析攻击者的攻击路径,制定战术防御策略。通常,攻击者在攻击初期会对目标信息系统进行全面的信息收集,希望找到处于严格控制和保护措施之外的站点或路径,利用漏洞获取Web服务器权限,或者利用0day攻击、社会工程、物理入侵等手段突破或绕过边界防护进入内网。攻击者经常利用的漏洞是对外开放的站点、服务的漏洞以及未严格控制的测试站点。防御方应提前分析自身网络特征,找到攻击者最有可能“光顾”的区域,加强防护,在相应区域的关键信息节点上部署蜜罐,使攻击者在攻击过程中受到干扰信息收集阶段,然后诱导攻击攻击者对蜜罐发起攻击。据分析,该行业的互联网应用均部署在互联网大区域,攻击者从互联网应用突围的路径就在该区域。因此,伪装和欺骗系统最终决定部署在这片区域。战术二——监视敌方网络的异常行为,分析攻击者的攻击意图。攻击者在收集信息时,会使用各种扫描工具向目标资产发送检测请求,进行信息收集。检测工具发出的这些各种检测包,都是异常的网络行为。在这些检测行为的背后,各种可能的攻击正在酝酿之中。因此,防御者应对网络中的异常网络行为进行监控,包括任意端口检测、Ping检测、ARP检测等。蜜罐进程级监控能力可以监控并记录攻击者进入蜜罐后的所有行为。Web类蜜罐还可以识别和记录攻击者使用的攻击方法和攻击载荷,可以作为判断攻击者意图的重要依据。防御方将蜜罐收集到的信息汇总到欺骗伪装平台,由平台进行统一分析,根据攻击方的攻击意图,策略性地调整监控防御节点,以适应“敌我”的情况.战术三——诱敌深入蜜罐高度模拟真实资产,诱使攻击者进入欺骗伪装系统。对于防守方,如何在敌暗我明的情况下争取主动,抢占先机?答案是采用主动诱捕策略。主动圈闭主要在钻孔活动开始前2-3天内使用。此时,攻击者正在广泛收集目标资产信息。防御者的目标是污染攻击者掌握的资产信息,诱导攻击者优先访问伪装探测节点。探测节点的作用包括两部分。首先,它监视部署探针的网络中的扫描和检测行为;其次,它通过绑定蜜罐将蜜罐服务映射到部署的网络。因此,探测节点应尽可能覆盖核心区域的C类网段或VLAN,可部署在虚拟机或专用硬件设备中。主要战术动作有:(1)制作具有真实性和欺骗性的Web蜜罐。(2)将模拟Web蜜罐和普通Web蜜罐绑定到若干个探测节点上,通过地址转换、域名绑定等措施将探测节点发布到Internet上。通过地址转换(NAT)设备将探测节点服务映射到公网。通过四层和七层协议的负载均衡设备,将探测节点服务通过端口映射或反向代理发布到公网。(3)在代码平台、库、安全论坛、社交网络上散播探测节点的互联网地址作为诱饵。实施主动诱捕战术应注意以下几点:防御方应在演练开始前释放互联网探测节点并进行充分测试。模拟蜜罐应保证真实性和诱人性。要提高真实性,请避免使用系统服务和伪装缺陷的服务蜜罐。蜜罐触发后,及时处理告警信息,并根据攻击者动态调整蜜罐配置,必要时使蜜罐下线,防止攻击者分发蜜罐地址发现蜜罐后,为了掩盖自己的身份,随意诱导无关人员访问,污染蜜罐告警数据。战术4——强强联手,将WAF识别出的可疑信息与蜜罐挂钩,欺骗伪装平台实现分析判断。在攻防演练中,WAF是Web应用的重要防线,可以识别大部分的攻击行为。为了获取更多的攻击者信息,在本次演练中,防御方通过设置WAF与欺骗伪装平台进行链接,将可疑访问转发至蜂巢罐,收集攻击者信息。战术动作如下:WAF应该具备自定义拦截页面和重定向的能力。应优化WAF检测策略,尽可能消除误报,避免将正常请求重定向到蜜罐。攻击者触发WAF拦截策略后,会被重定向到拦截页面。拦截页面具有溯源能力,将攻击者的信息传递给欺骗伪装平台后台。实施WAF联动策略需要注意以下几点:WAF检测策略要保证低误报率。避免在访问频繁的系统上使用此策略。战术5——定位、溯源、欺骗、伪装平台收集聚合信息,分析绘制攻击者画像。在攻防演练中,防守方通过对进攻方的行为、遗留证件、身份信息等进行分析判断,并向指挥部汇报,从而获得加分。因此,防御方在发现和判断攻击事件时,应该能够收集和记录攻击行为和身份信息。经过主动诱捕和WAF联动战术,攻击者的信息收集工作已经基本完成,收集到的信息可以支持对攻击者的跟踪追查,从而研判攻击态势。这种战术取决于情报的完整性。根据获取的攻击者信息,溯源动作包括IP信息溯源和社交信息溯源。(1)IP信息溯源欺骗平台获取到攻击者IP后,可以从以下几个方面对攻击者进行画像:根据上述查询方式,可以对一个IP进行多维信息查询,通过相关人员、地址、注册单位、邮箱、域名关键词等信息,可以对攻击IP进行画像,再参考社会信息溯源进行进一步管理分析,可以将攻击者定位为自然人或组织。(2)社交信息溯源和欺骗平台可以抓取攻击者的社交账号信息。下面介绍一种基于已知社会身份信息进行信息关联查询和综合分析的方法。仅限于在攻防演练中使用防御战术,不得违反相关法律,危害公民的隐私信息。常见的社交账号信息包括以下几种:关联查询方式包括:访问其社交网站,检测个人信息是否泄露。使用支付平台查询真实姓名。使用通讯平台加好友,获取信息。使用他们注册的昵称在其他网站上搜索具有相同姓名的注册人。整合各个平台获取的信息,拼凑出一个完整的自然人画像。战术六——通过记录攻击者的行为日志,定位敌人,实现技术反制,以求取胜。该战术只能用于攻防演练,不得违反相关法律法规对非授权目标进行探测扫描。技术反制包括对攻击IP进行反向扫描,利用蜜罐服务对入侵者进行鱼叉攻击,最终达到技术反制的目的。参考战术动作如下:(1)反向扫描:防御方发现攻击IP后,通过IP查询判断是否为恶意IP,使用扫描仪检测目标,判断攻击下的资产类型知识产权。如果发现目标有漏洞,并且有肉鸡的特征,可以报告给裁判组,由警方进行处理。(2)反向鱼叉攻击:在主动诱捕阶段,防御者将包含木马程序的文件或可执行程序放置在虚拟专用网蜜罐和邮箱蜜罐中,通过提示下载和包含敏感信息等方式诱导攻击者。下载后,如果攻击者在本地环境运行该文件,则防守方可以收集攻击者的本地信息,上报给裁判组并模拟报警。小结虽然欺骗和伪装产品仍然存在无法覆盖整个网络架构、部分内部员工熟悉内部环境等局限性,但在日常安全运维中,如果面临安全人员短缺的情况,它是一种安全产品和其他安全产品。是互补的好选择;特别是对于中小企业来说,蜜罐产品应该成为主要的安全防护工具,可以帮助你记录大量有价值的数据和高质量的预警。
