![]()
近年来,随着云计算、大数据及人工智能技术领域的迅速革新与广泛应用,新型应用场景的指数级增长同时也带来了日益增多的安全隐患。针对数字化业务系统的袭击手段更加隐蔽且频繁,破坏性也显著增强,传统基于“高墙深垒”边界防护理念的安全策略愈发陷入被动,犹如无法单纯依靠关紧门窗来防止老鼠进入大型粮仓偷吃粮食,转而使用捕鼠笼等手段来诱使老鼠主动现身,欺骗防御技术遵循上述思路应运而生,在不断加强边界防御的同时,通过诱骗和误导突破防御的攻击者,改写敌暗我明的博弈格局,在攻防对抗中化被动为主动,保障各类关键业务系统的安全。1、信息收集:攻击者为避免打草惊蛇,事先会充分地进行情报收集和外围侦查工作。收集的内容包括目标单位的组织体系、网络架构、已泄露敏感的信息、供应商信息等各个方面。
2、制定方案:根据收集的信息,制定侵入计划。通过IT资产信息,可以规划内网横纵向渗透路径,推测可能存在的系统漏洞;根据企业与供应商交互信息,可以开展供应链攻击。3、突破边界:利用漏洞或社会工程学等手段,绕过诸如防火墙、入侵防御系统等安全防护设备,以最低的流量消耗和最微小的动作痕迹,设法建立与内网相通的连接通道。4、建立据点:使用frp等工具建立隧道,形成从外网到内网的跳板,将它作为实施内网渗透的傀儡机。5、提升权限:若当前傀儡机权限不足以部署跳板,则尝试利用各类系统漏洞进行权限提升操作,以获取更高的访问权限。6、收集内部信息:攻击者进入内网后,收集当前计算机的密码库、补丁更新记录、网络连接、进程列表等信息;同时对内网的其他计算机或网络设备的相关信息进行嗅探。7、维持权限:若傀儡机一台不是经常在线的PC机,则会进行持久化操作,保证PC机重启后,保证据点依然可以被正常访问。8、横向移动:利用内网计算机、服务器不及时修复漏洞、安全防护配置未全部开启、弱口令等弱点来进行横向渗透,建立更多的傀儡机。9、完成目标:通过不断横向移动,尝试夺获域控服务器、应用服务器、数据库服务器和运维管理平台的管理员权限,进而控制核心业务,获取核心数据,达成最终目标。从上述过程中可以看出防守方在明处,攻击者在暗处隐蔽,不易被发现。从而始终占据着主动地位,只要抓住防守者一次漏洞即可获得成果。这就是防守方采用逆向思维,即准备有一套有明显安全漏洞的主机,并安装监控软件,主动为攻击者提供落脚的据点。一旦攻击者入侵该台主机后,监控软件即可记录这些行为并向安全运维人员告警。以上就是基于传统的蜜罐技术发展而来的欺骗防御(Deception)的核心思路,是一种近年来发展得较好的网络防御技术:通过诱骗攻击者和恶意应用暴露自身,以便防守方能及时发现并采取有效防护措施,从而逆转攻守双方的主动权。除非攻击者100%操作正确,否则就会被“陷阱”捕获,而防守者却有利得多,只需要发现一次攻击者踪迹即可清楚了解攻击者的全部信息。1、外部非法用户通过路径Ⓐ穿过防火墙访问内网网络;3、非法用户进入内网络后会寻找便于落脚的“据点”,可选择的有主机A和主机B。因为主机A为关键业务系统的宿主机,防护较为严密,没有明显的漏洞,而主机B是一个伪装成主机的蜜罐,故意留下了可供入侵的漏洞,可以通过路径Ⓒ较为轻松地进入。非法用户可以以此为“据点”搜集内网信息,择机横向通过路径移动到主机A。4、因为主机B是一个蜜罐,正常用户不会访问。因装有专用的监控软件,一旦非法用户进入,即可记录该用户的所有操作,同时向安全运维人员发起告警。(1)误报率低:蜜罐本质上是一个精心设计的陷阱,是专门吸引并诱导攻击者进行攻击的目标。任何对蜜罐的访问、嗅探(除了极少数的误操作以外)都可以视为攻击行为,正常的业务操作是不会和蜜罐产生交互的,因此,蜜罐产生的告警基本不会是误报。(2)对生产环境影响小:蜜罐与业务系统并行部署的,在配置合理的情况下,无论在蜜罐系统受到何种攻防,都不会对业务系统产生影响。(3)分散风险:蜜罐可以模拟成数字化业务系统,混淆入侵者的攻击目标,从而减少真实系统被攻击的风险。(4)威慑作用:如果攻击者发现蜜罐的存在,就不得不更加谨慎地选择攻击目标和使用入侵工作,以避开陷阱。攻击进度被迫延缓,从而为防御方争取了宝贵的时间。(1)高交互蜜罐制作困难:要吸引高水平的攻击者,需要高度真实模拟实际系统,而且不能在系统里存入真实数据。制作人员需要了解业务系统特点且对数据做适当处理。目前安全人员对特定业务系统了解不深,而业务开发人员没有涉足这一领域,从而造成了这一困境。(2)自身防护能力不足:攻击者有可能从蜜罐逃逸,把蜜罐作为攻击业务系统的据点。(3)溯源能力不足:蜜罐可以记录入侵者的攻击行为,但没有专门的取证功能,对入侵者的威慑作用不大。欺骗性防御是根据蜜罐的思路演进而来的一套完整的防御体系:1、采用蜜饵、高交互蜜罐等技术手段,引导攻击者依照防守方预设的路径入侵;蜜饵通常是一个文件,包含极具诱惑力的内容,诸如IP列表、用户账户列表、密码清单以及系统配置参数等信息。攻击者会按图索骥,进一步探查并尝试访问相关的服务器或应用程序,在浑然不觉中逐步踏入预设的陷阱之中。如图3所示,内外部攻击者通过Ⓐ和Ⓑ获取了系统相关配置信息,大概率会选择主机B作为据点。2、用多个高交互蜜罐模拟一套的业务系统的各个节点,组成蜜网,引诱攻击者横向移动;如3所示,攻击者入侵主机B后,可以继续入侵蜜网中主机C和主机D,便于安全运维人员监控完整的入侵过程。建立蜜场,通过重定向技术将各种非法访问汇集在一起,实现统一监管,统一分析。如图4所示,可以在防火墙及业务系统主机上部署诱捕探针,该探针模拟常见漏洞,将未进入蜜罐的攻击流量通过路径Ⓛ、Ⓜ引入蜜网。蜜网建立在防逃逸沙箱中,把非法访问控制在严密隔离的环境中运行。利用蜜标或蜜罐里的反制措施,收集攻击者主机、电子邮件、社交账户等的个人信息,并进行精确跟踪。蜜标是蜜饵的加强版,最典型的形式是一个插入了钓鱼链接的Word或者PDF文件。当攻击者打开这些文件后,链接将被自动触发,从而能够获得攻击者的浏览器指纹等重要信息,也可以直接锁定攻击者的身份。改造仿真业务系统的交互页面,向攻击者的浏览器植入专用追踪cookie,以便后续司法取证,从而增加威慑能力。上述各项功能被整合在一个统一的管理平台上,该平台负责统筹配置整个欺骗场景及其包含的各项构成要素,这些要素既涵盖了服务器、网络设备等硬件层面,也包括了应用程序、业务数据以及用户信息等各种软件及数据层面的元素。本技术作为传统防御技术的提升手段,为防御方增加了一个防守层次,如在战场上除了通过架设铁丝网、挖壕沟等直接加强防御外,还可以设置假目标引诱攻击方开火,从及时发现威胁,从而提高攻击方的突破难度,适合且不限于以下场景:1、 混淆资产:利用高交互蜜罐模拟边缘资产,为攻击者提供落脚点,也可以模拟关键业务系统,为核心目标提供替身,减少真实资产被攻击的风险;2、 精确识别入侵行为:利用蜜饵引诱攻击者按防守方设计的路径入侵,可以将常见的管理漏洞反过来利用。可利用高交互蜜罐模拟防护能力较弱的边缘资产(如一台上线试行后未及时下线的服务器),方便攻击者建立据点,这些设备一旦产生访问流量,基本可以确定存在真实的攻击者,从而减少误报;3、 隔离攻击:为了减少被攻击者利用的风险,同时便于统一管理,可以采用云化技术制作蜜罐建立蜜网,并放置在沙箱中,形成蜜场。防止攻击者利用蜜罐为跳板,对真实系统进行攻击。还可以在真实系统的空余端口放置漏洞模拟探针,把绕过防火墙和蜜罐的攻击流量引入蜜场,起到“移穴换位”的效果,间接保护因业务兼容性原因不能及时打补丁的服务器;4、 溯源反制:通过高交互蜜罐或蜜标等多种技术手段,获取攻击者的真实身份信息,固化证据,从法律层面形成威慑。 在近年的高等级护网演练中,欺骗防御作为一种重要手段被引入,从原来坚壁清野后剩下屈指可数的重点保护目标,变成了虚虚实实的多个目标,增加红队的突破难度,红队人员稍有不慎,入侵行为即会被发现,能够协助蓝队在被攻破系统后快速分析和复盘,增加了演练对抗性,提高了攻防水平。如图6所示,网络安全主管部门或安全厂商的实验室建立养殖环境,引入攻击者的攻击流量,观察分析攻击者的战术、技术和程序其活动行为,即TTP(Tactics, Techniques, and Procedures),预测网络安全态势的变化,形成威胁情报,提前防范相关威胁。可机读威胁情报由安全设备自动执行,如:IoC类威胁情报可以与防火墙联动,自动封禁相关攻击源,阻止内部失陷主机外联。木马文件MD5、异常文件名称等情报可以支持EDR发现威胁。可通过对TTP的分析,有针对性加强防御措施,如根据新发现的密码爆破词典,调整密码策略,提高密码强度。基于生成式AI等技术“生成”逼真的高交互蜜罐和蜜饵,增加攻击者的识别难度,延缓攻击进程。攻击者为了对抗蜜罐、蜜饵等陷阱,会记录已识别的蜜罐、蜜饵等虚假资产的IP地址和端口等技术参数,并分享到暗网上,防守方应及时调整配置。但实践中要调整,需要与业务系统协调,难度和工作量非常大。自动移动目标防御(Automatic Moving Target Defense)技术可以动态修改网络特性(如IP地址)、系统配置(如应用端口等),使企业资产可以在指定的时间间隔内重新配置、变形或加密以欺骗攻击者。Gartner预测,AMTD可能在十年内缓解大多数零日漏洞,到2025年,25%的云应用将利用AMTD功能和概念作为内置预防方法的一部分。如果将各类用于欺骗防御的假资产也纳入AMTD的统一管理,达到“虚而实之,实而虚之”的效果,可以进一步增加攻击者入侵的难度。近年来的攻防实战演习已经证明,欺骗性防御技术是一项极具革命性的防御技术,与边界防御、行为分析等经典传统技术有机结合,已经在公用事业、电信、金融等多个领域中取得了明显的应用效果。这项技术的难点在于需要对业务系统的特性有深入地理解,才能设计出高度仿真的欺骗组件(蜜饵、蜜标、蜜罐)。
【参考文献】
[1] 基于蜜罐的欺骗式主动防御的发展与演进https://www.gjbmj.gov.cn/n1/2021/1224/c411145-32316186.html
[2] 加强主动防御 从关基保护条例看迷网欺骗诱捕防御系统https://news.yesky.com/hotnews/438/2147438938.shtml
[3] 从蜜罐新技术看欺骗防御发展走向https://zhuanlan.zhihu.com/p/496862868
[4] 从防火墙、蜜罐到无所不在的迷网欺骗防https://zhuanlan.zhihu.com/p/389947105
[5] 蜜罐诱捕市场指南2022 https://baijiahao.baidu.com/s?id=1731674722283670336&wfr=spider&for=pc
审核:高家松
姓名:夏磊
部门:朗新集团安全质量管理部
注:文章仅代表作者观点,欢迎转发和评论。转发、转载、转帖等须注明“稿件来源:朗新研究院”,违者朗新研究院将依法追究责任,谢谢!
