2020年4月,一段不明飞行物(UFO)的视频引发了社会各界的广泛猜测。美国福布斯网站报道称,这段视频很可能是美军新技术“幻影诱饵”的预演画面。该技术被视为保护战斗机免受红外制导导弹攻击的“游戏规则改变者”。传统的红外干扰弹也可以用来欺骗敌军,将红外制导武器从真实目标上转移开,但发射后,干扰剂会迅速分散落下。“幻影诱饵”则不同。可根据战士需要调整摆放位置和使用时间;它还可以在飞机上安装多个激光源,每个激光源产生不同的“幻影”,足以混淆目前的红外制导系统;甚至可以投射虚假影像,覆盖战列舰、战斗群、军事基地甚至城市等其他目标。从一次性失败到灵活可控的地点和时间,从单点防护到多点欺骗,从守卫战斗机本身到覆盖整个城市。扩大诱惑区域、提高模拟度、保护更多真实资产是《幻饵》的高明之处,它完成了从“低交互欺骗”到“高交互欺骗”的进化。事实上,网络空间与现实世界正在深度融合,网络安全边界逐渐模糊,各种已知和未知的安全威胁不断涌现。互联网安全的本质是黑客与开发者之间的一场攻防战。既然是战争,我们就可以用真正的战争思维来实施防御。如何将上述欺骗防御技术“转移”到网络空间,制造网络安全世界的“幻饵”实施防御?防御难点:攻防信息失衡如何消除?网络空间安全形势日趋严峻,网络安全攻防演练需求逐渐常态化。“拿下10个炮弹比拿下一个内网还糟糕。”内网安全的重要性不言而喻。然而,在攻防对抗中,攻击者往往只需要找到薄弱环节,直击企业心脏,而防御者则需要充分考虑风险点,稍有疏忽就会功亏一篑。我们唯一确定的是:新的威胁在不断涌现,企业内部肯定存在无法控制的风险点,攻击者一定会在一次攻击中渗透进去。“袭击者什么时候袭击?你怎么知道袭击者在哪里?袭击者做了什么?”对于防御者来说,永远不可能预知攻击者接下来的攻击方式。传统安全产品无法应对频繁的0day攻击,也无法准确感知攻击团队的进度。即便在内网上漫游,他们也不知道自己跌倒在了哪里。这时候,攻击欺骗防御技术就成了奇兵。通过构建一系列虚假环境,有意将攻击者误导到“猎手”设下的陷阱中,帮助企业消除不对等的攻防信息,先发制人地保护企业的真实资产,不再被动应对,盲目挨打。具体来说,企业采取了更加主动的防御措施来消耗攻击成本,如部署蜜罐、提供虚假设备或服务诱骗攻击者、误导攻击者采用错误的攻击方法和工具等。这正是攻击欺骗防御的目的。主要登陆形式。一旦攻击者接触到蜜罐系统或打开蜜标文件,就会立即被防御者监听,而攻击者毫无察觉。蜜罐系统在扫描、检测和访问蜜罐的过程中,不断消耗攻击资源,拖延攻击时间,记录攻击行为。防御者由此可以了解攻击者使用的工具、方法和动机,不仅可以清楚地了解当前面临的未知安全威胁,还可以通过技术和管理手段增强实际系统的安全防护能力。攻击与欺骗:源于蜜罐,优于蜜罐。陷阱能否成功迷惑敌人,就看它有没有伪装。进攻组不傻,你有张良机,我有墙梯。近年来,反蜜罐技术逐渐兴起。由于静态配置和信息有限,传统的开源蜜罐只能简单地模拟一些操作系统、服务和应用程序,因此越来越容易被检测到。魔术一旦暴露,观众就会觉得乏味,低交互的蜜罐也逐渐失去价值。传统低交互蜜罐示意图经过三十年的技术演进,如今的高交互蜜罐不再局限于蜜罐,而是与蜜网、蜜标签等其他欺骗手段相结合。我们应该称它们为攻击欺骗防御系统。该系统不仅可以防御具有大规模影响的非定向攻击,还可以大大提高对个别定向攻击的监控效率。可以单独使用,也可以部署在业务系统上。它还可以与现有的网络防御机制相结合,提高系统识别威胁和应对突发事件的能力。与传统蜜罐相比,该系统更像是一个配备激光、团战、欺骗手段高超的“幻影诱饵”。1.混合蜜罐集低交互蜜罐和高交互蜜罐于一体的混合蜜罐,具有低交互蜜罐资源需求低和高交互蜜罐响应速度快的优点。结合企业特点,按需生成,大大降低了资源消耗。2、云蜜标系统可以生成非常诱人的含有“敏感数据”的蜜标文件,如Word、PDF、EXE等,并将蜜标文件分发给蜜罐系统。当攻击者窃取蜜码文件并进行开启操作时,蜜罐系统会收到返回的攻击主机信息,发送给攻击事件分析平台,并向操作者发出告警信息。云蜜印的出现,让攻击者无处遁形。在任何网络环境下打开文件时,信息都会上传到云端,报警更准确。3、自适应部署诱饵面的合理部署是影响防御效果的重要因素。考虑到企业安全运营商的安全能力参差不齐,从攻击角度很难完成Agent部署。现在依托机器学习和人工智能技术,Agent会根据部署的业务环境进行智能识别和分析,自动推荐与业务系统高度一致的欺骗环境模板,实现一键配置,大大减少人力和安全操作所需的时间。4、精准溯源当攻击者触及欺骗模块时,系统会记录攻击行为,识别攻击者的IP地址、社交账号、指纹等信息,同时联动全球威胁情报和安全大数据,对攻击行为进行剖析攻击者与自然人身份定位社交。5.企业威胁情报源攻防欺骗技术一方面可以利用已有的威胁情报数据完善欺骗策略,另一方面也可以上报捕获的信息,帮助企业生成自己的威胁情报源。360攻击欺骗防御服务部署图欺骗的价值在于攻击者可以获得“真实”的回应,使其误认为当前的攻击是有效可行的。无论攻击者从哪个入口进入,或者在攻击的任何阶段,都有一个拖延的技巧,为防守者争取黄金防御时间,甚至提供反击的机会。围魏救赵,仅此而已。360攻击欺骗防御服务依托360安全大脑的海量安全大数据,以漏洞云、威胁情报云和3800+安全专家云赋能,360“攻击欺骗防御”服务基于概念,并推出了将内网威胁感知产品与安全专家相结合的主动防御服务。360安全专家团队拥有多年网络攻防实战经验,可以根据客户的网络和业务情况推荐针对性的探针部署方案。增强对恶意入侵者的攻击捕获能力,延缓攻击进程,为企业赢得应急响应时间,保护企业实物资产。同时,还可根据客户需求提供安全事件应急响应服务,输出安全攻击事件报告分析报告,帮助企业提升主动防御能力。360攻击欺骗防御服务支持本地安全大脑部署和云端安全大脑部署两种模式。本地部署采用探针+服务器模式,不会对客户原有网络架构造成任何影响。云部署采用SaaS模式,可为您提供物理机级别的云安全服务。您无需购买额外的设备,只需部署极轻量级的软件探针即可快速构建内网安全体系。云服务优势l申请后24小时内即可开通部署,方便高效l包月付费,自定义使用时间,精准量化服务费用l7*24小时安全专家技术支持,配合客户应急处理l360安全大脑云赋能,实现安全服务能力自动迭代升级
