随着攻防演练的日益实用化和常态化,蜜罐从十几年的安全技术中焕发新生,欺骗防御基于蜜罐的技术也得到了发展。因此名声大噪,越来越多的安全厂商在这一技术领域投入资源。在近期信通院组织的蜜罐产品能力测评中,有36家主流厂商参与。蜜罐技术流行的背后是蜜罐技术能够有效弥补当前网络安全防御方案不足的巨大推力。同时,攻防演习的常态化也是最大的催化剂之一。在以往的攻防演练中,蜜罐不仅展现了出色的面向攻击的诱捕和溯源能力,还在日常安全运维中展现出不可或缺的独特价值。这或许才是蜜罐真正的生命力所在。本文在对蜜罐技术研究的基础上,结合对开源蜜罐项目和商业欺骗防御产品的研究分析,将从介绍当前蜜罐产品所采用的新技术入手,展望未来欺骗防御的发展趋势。1、环境模拟传统蜜罐通常提供“一维”模拟,模拟特定的主机、服务、应用环境等;而最新的蜜罐需要“多维”模拟能力,在之前的基础上,可以结合用户真实网络或业务环境,自定义环境模拟配置和数据。从而提供一个接近用户真实环境的模拟诱捕环境,可以有效迷惑攻击者。试想,如果在用户真实网络之前部署一个完整的虚拟环境,不仅可以有效延缓攻击者的攻击步伐,还可以获取攻击者的攻击方式、行为逻辑等信息。环境仿真技术主要包括软件仿真技术、容器仿真技术、虚拟机仿真技术等,几种仿真技术提供的仿真能力和支持的仿真类型如下图:几种仿真技术的简要比较如下:2.攻击诱导攻击诱导的目标是在攻击者进入网络后,通过技术手段主动将攻击者引诱到泥潭,在有限的模拟环境中提高命中率。常见的攻击诱导技术包括:诱饵投放、流量转发、虚拟IP等。在典型的攻防演练场景中,攻击诱导技术可以交换主动权,成为防御方夺取主动权的利器。2.1.诱饵放置诱饵是为攻击者放置在互联网或企业内部网上的各种虚假信息。很多信息都极具诱惑力,诱使攻击者迅速进入充电状态。根据类型和目的的不同,可分为日志诱饵、证书诱饵、账号诱饵、邮件诱饵、项目代码诱饵等,诱饵包括IP地址、用户账号、服务申请路径、密码本等信息攻击者在获取到诱饵中的信息后,一般会顺着线索渗透到诱饵中线索提供的主机、服务和应用中,进而被诱入陷阱进行攻击。诱饵投放工作示意图如下:2.2.流量转发通过流量转发,可以将攻击者试图访问正常资产的攻击流量主动转发到模拟环境中。常见的流量转发实现技术包括网络转发和主机转发。主机转发:一般需要在主机上部署探测软件。探针用于监控客户未使用的网络端口,以虚拟化真实业务。探针将试图访问这些端口的异常连接请求转发到仿真环境;网络转发:根据威胁线索,通过网关设备动态调整策略,将异常流量直接导入模拟环境。流量转发工作示意图如下:2.3.虚拟IP虚拟IP,顾名思义就是将多个IP地址绑定到一台主机上,通过在模拟环境中将IP资源绑定到蜜罐陷阱环境中,批量生成虚拟资产,提高蜜罐覆盖率,增加攻击者攻击的概率一个蜜罐。虚拟IP工作示意图如下:3.溯源与反制传统的基于IP的溯源方法对攻击者身份信息的获取非常有限,难以及时有效的追踪和反制攻击者方式。蜜罐系统为防御者提供了对抗攻击者的机会。通过蜜罐中预设的反制措施,主动获取攻击者主机或网络的信息,从而更准确地定位攻击者的身份,实现更准确的溯源。在典型的攻防演练场景中,防御方只需要获得一个虚拟身份,优秀的蜜罐系统可以轻松完成这项任务。常用的溯源对策包括:WEB对策、扫描对策、加密文档对策等。3.1.WEB反制攻击者在浏览网站或WEB应用页面时,会下载页面数据和脚本文件,由用户本地解析、执行、渲染和展示。利用该特性在正常网站或WEB应用页面中嵌入反制脚本,当攻击者访问时,反制脚本也会自动下载到攻击者本地运行,获取溯源信息。WEB反制是比较常用的反制。典型的可获取的溯源信息包括:获取攻击者主机操作系统和浏览器的特征信息,包括攻击者主机的操作系统类型、操作系统时区、屏幕分辨率、浏览器指纹、浏览器类型等浏览器信息,以及浏览器版本;通过应用的JSONP漏洞,获取攻击者主机上使用的社交账号、攻击者手机号等个人信息;扫描攻击者本地端口,获取攻击者计算机的开放端口等数据;WEB反制工作示意图如下:3.2.扫描与反制攻击者在进行攻击时,多数情况下会使用扫描器或攻击工具,扫描对象、扫描器或攻击工具的漏洞可以利用在攻击者扫描或试图攻击的同时,获取攻击者的身份信息。反方向。通过在模拟环境中预先设置一些针对特定服务的反反模块和扫描工具,当攻击者使用此类工具进行扫描或攻击时,会触发相应的反反模块读取攻击者设备的指纹和身份信息。柜台。目前,一些欺骗防御产品已经使用了反扫描技术。比较常用的反扫描手段有MySQL反病毒、SQLMap反病毒、AWVS反病毒等,扫描反病毒的示意图如下:3.3.Honeymark反制措施Honeymark文件大多使用攻击者感兴趣的文件类型或文件名,通过代码捆绑等技术在文件中嵌入特定的数据和代码,通过构建场景来引诱攻击者。攻击者访问并下载honeymark文件。当攻击者在本地下载并打开honeymark文件时,会触发内嵌代码记录并回传攻击主机和攻击者的特征信息,实现溯源和反制。honeymark反制工作示意图如下:利用honeymark文件进行反制,对防御者的安全能力要求较高。需要结合用户业务环境的特点制作honeymark文件,并将honeymark文件部署在攻击者容易访问的位置,以获得更好的效果。4.未来欺骗防御发展预测。攻防演练走向常态化、实战化。虽然攻防演习中没有提到蜜罐,但蜜罐无处不在,但这个蜜罐不是另一个蜜罐。我更愿意称其为“欺骗防御”或“模拟诱捕”技术,传统的使用高交互蜜罐一招追踪攻击者的历史已经一去不复返了,对新一代复杂欺骗防御技术和产品的需求已经一去不复返了。可以与真实计算环境集成的能力将会增加。更加旺盛。全球知名IT研究咨询公司Gartner将“欺骗防御”技术评价为对现有安全防护体系产生深远影响的安全技术。在Gartner的2020年安全运营技术成熟度曲线报告中,分析师将“欺骗平台”技术置于“预期通胀期”,并将当前的成熟度定义为“青春期”。10年后达到成熟并得到广泛应用。基于对最新蜜罐技术演进的分析,结合当前欺骗防御行业的发展趋势,笔者认为未来几年欺骗防御市场和产品发展将有以下几个趋势。4.1.欺骗防御技术的应用将扩大欺骗防御作为主动防御的范围,在很多领域发挥其独特的价值。应用于威胁监控时可作为普通运维监控工具使用,也可作为普通运维监控工具使用,也可作为引擎或模块集成到其他安全产品中,实现提供威胁捕获功能的其他产品;应用在溯源领域,可以通过多种反制手段,提供攻击的精准溯源;同时,欺骗防御可以产生高质量的本地威胁情报,这些情报数据可以与WAF、FW等本地系统进行链接或集成,提高全局安全性。网络主动防御能力。正是因为欺骗防御在很多领域都发挥着重要的作用,所以未来的欺骗防御技术必将得到更广泛的应用。4.2.融合网络测绘技术的计算环境模拟。诱捕环境能否有效迷惑攻击者,取决于诱捕环境能否真实模拟。更简单的模拟环境更容易被攻击者识破,难以有效延缓攻击。攻击者的攻击行为。为了有效提高对诱捕环境的模拟,利用网络测绘技术对用户网络进行测绘。根据测绘结果,模拟出与用户真实网络相似的陷印网络。同时,根据测绘结果自动优化攻击诱导策略。提高诱捕攻击成功概率,营造贴近用户真实网络的诱捕网络环境,可有效迷惑攻击者,主动诱导攻击行为,将有效帮助提升威胁诱捕能力。4.3.仿真模板产业化和商业化松耦合仿真基础能力和仿真业务能力。直观简洁的界面支持用户自定义方法生成仿真模板,支持通过模板共享仿真业务能力。这可以大大提高欺骗防御产品部署过程中业务适配的灵活性和效率,有助于提高产品与行业服务的契合度,有助于加速欺骗防御产品的应用和推广。4.4.可追溯性仍然是未来的重点之一。传统溯源方法对攻击者身份信息的获取非常有限,面临定位不准确、取证调查困难等诸多困难。使用欺骗防御可以提供更准确的溯源手段,可以更准确地定位攻击者的身份,为防御者提供更准确的溯源能力。因此,溯源仍然是未来欺骗防御产品的重点方向之一。随着攻防对抗的演变,所采用的溯源对策也需要同步迭代。同时,需要根据用户业务环境的特点定制对策,以达到更好的效果。因此投资成本相对较高,主要用于对溯源有强烈需求的大中型企事业单位和场景。
