随着攻防演习的实战化、常态化,蜜罐从十几年前的安全技术中焕发出新春,基于蜜罐进行的欺诈防御也很有名,越来越多的安全厂商将资源投入到这个技术领域。在最近信通院组织的蜜罐产品能力评测中,参与的主流厂商有36家之多。蜜罐技术火热的背后,是蜜罐技术可有效弥补当前网络安全防御方案短板的巨大推力,同时,趋于常态化的攻防演习也是最大的催化剂之一。在过去的攻防演习中,蜜罐不仅展示了面向攻击的优秀诱捕和追踪能力,还体现了日常安全运输中不可或缺的独特价值,这可能是蜜罐的真正生命力。
基于对蜜罐技术的研究,结合对开源蜜罐项目和商用欺诈防御类产品的调查和分析,本文从目前蜜罐产品使用的新技术介绍来看未来欺诈防御的发展趋势。
1.环境模拟
传统的蜜罐通常提供单维模拟,模拟特定的主机、服务、应用环境等最新的蜜罐需要多维模拟能力,在以前的基础上提供接近用户真实环境、有效迷惑攻击者的模拟诱导环境。想象一下,如果一个完整的虚拟环境,部署在用户真实的网络之前,不仅可以有效延迟攻击者的攻击步伐,还可以获得攻击者的攻击方法和行为逻辑等信息。
环境模拟技术主要包括软件模拟技术、容器模拟技术、虚拟机模拟技术等,一些模拟技术能够提供的模拟能力和支持模拟的类型如下:
2.攻击引导
攻击引导的目标是通过技术手段在攻击者进入网络后自主引导攻击者进入泥沼,在有限的模拟环境下提高命中率。常见的攻击诱导技术包括饵料投入、流量传输、虚拟IP等。在典型的攻防演习场景中,攻防诱导技术可以交换主导权,成为防守者获得主导权的工具。2.1.饵料投入
饵料是投入互联网和企业内部网络的各种留给攻击者的虚假信息,很多信息都很有魅力,诱导攻击者迅速进入控制状态。
按类型和用途可分为日志饵料、证书饵料、账户饵料、邮件饵料、项目代码饵料等。诱饵包括IP地址、用户账户、服务应用路径、密码本等信息,当攻击者获取诱饵里的信息后,一般会顺藤摸瓜,沿着诱饵里线索提供的主机、服务、应用进行深入渗透,进而将攻击者引诱到陷阱之中。诱饵投放工作示意图如下:
2.2.流量转发
通过流量转发可以实现将攻击者试图访问正常资产的攻击流量主动转发到仿真环境里。常见的流量转发实现技术包括网络转发和主机转发。
1、主机转发:一般需要在主机上部署探针软件,探针用于监视客户未使用的网络端口进行虚拟现实服务,通过探针将试图访问这些端口的异常连接请求转发到模拟环境中
2、网络转发:通过威胁线索动态调整网关设备战略等
流量转发工作示意图如下:
2.3.虚拟IP
虚拟IP,如名称所示,将多个IP地址绑定在单个主机上,通过在模拟环境中将IP资源绑定在蜜罐捕获环境中批量生成虚拟资产,提高蜜罐的垄断率,提高攻击者攻击蜜罐的概率。虚拟IP工作示意图如下:
3.跟踪反制
传统的基于IP跟踪方法对攻击者的身份信息获得非常有限,很难及时跟踪攻击者。蜂蜜罐系统给予防守者反击攻击者的机会,通过蜂蜜罐预设的反击手段,积极获取攻击者的主机和网络信息,更准确地定位攻击者的身份,实现更准确的跟踪。在典型的攻防演习场景中,防守者只要获得虚拟身份,优秀的蜜罐系统就能完成这个任务。
常用的可追溯性反制技术包括WEB反制、扫描反制、密码文件反制等方式。优艾设计网_电脑技术
3.1.WEB反制
攻击者在浏览网站或WEB应用页面时,会下载页面数据、脚本文件在用户本地解析执行、渲染展示。利用这个特性,将反制脚本嵌入到正常的网站或WEB应用页面里,攻击者访问时也会将反制脚本自动下载到攻击者本地运行来获取溯源信息。WEB反制是一种常用的反制手段,可以获得的典型跟踪信息包括:
1、获得攻击者主机操作系统和浏览器的特性信息,包括攻击者主机的操作系统类型、操作系统时区、屏幕分辨率、浏览器指纹、浏览器类型、浏览器版本等信息
2、通过应用程序的JSONP脆弱性获得攻击者主机使用的社交账号、攻击者手机号等个人信息
3、攻击者可以在当地端口进行扫描,获得攻击者本机的开放端口等数据
反制作者的情况下,可以使用程序的反制作者
通过在模拟环境中设置对特定服务、扫描工具的反制模块,攻击者使用该工具进行扫描或攻击时,触发反制模块,读取攻击者的设备指纹和身份信息,实现反制。目前,一些欺诈防御产品已经使用扫描反制技术,常用的扫描反制手段包括MySQL反制、SQLMap反制、AWVS反制等。
扫描反制作业示意图如下:
3.蜜标反制
蜜标文件多采用攻击者感兴趣的文件类型或文件名称,通过代码捆绑等技术将特定的数据和代码嵌入该文件中,通过构造场景访问攻击者,下载蜜标文件,攻击者下载并在当地打开蜜标文件时,触发嵌入代码,记录攻击者和攻击者的特征信息蜜标反制工作示意图如下:
采用蜜标文件反制防守方的安全能力要求高,必须根据用户的业务环境特征制作蜜标文件,同时将蜜标文件配置在攻击者容易访问的位置,取得更好的效果。
4.未来欺诈防御发展预测
攻防演习已经向常态化和实战化发展,攻防演习虽然没有提到蜂蜜罐,但到处都是蜂蜜罐,但这个蜂蜜罐不是蜂蜜罐,笔者更倾向于称之为欺诈防御和模拟逮捕技术,传统的利用高互动蜂蜜罐追踪攻击者的历史全球知名的IT研究和顾问咨询公司Gartner评价欺诈防御技术是对现有安全防护系统产生深远影响的安全技术。在Gartner2020年安全运营技术成熟度曲线报告中,分析师将欺骗平台的技术放在期待膨胀期,将现在的成熟度定义为青春期,预计该技术将在5年到10年后成熟,广泛使用。根据最新蜜罐技术演进分析,结合当前骗局防御行业发展态势,笔者认为未来几年骗局防御市场和产品发展将有以下几个趋势。
4.1.欺骗防御技术的应用更广泛
欺骗防御作为积极防御的范畴,可以在很多领域发挥他独特的价值。应用于威胁监视利用其误报低的优点,可作为常态化运输监视工具使用,也可作为引擎和模块集成到其他安全产品中,使其他产品能够提供威胁逮捕的能力应用于追踪领域,利用多种反制手段,提供攻击的正确追踪,同时欺诈防御可以产生高质量的当地威胁信息正因为欺诈防御在很多领域都有重要的作用,所以将来欺诈防御技术的应用也很广泛。
4.2.集网络测绘技术的计算环境模拟
捕捉环境是否有效地迷惑攻击者,捕捉环境是否充分模拟,是否简单的模拟环境,容易被攻击者识破,难以有效地拖延攻击者的攻击行为。为了有效提高诱捕环境的模拟度,通过集网络测绘技术测绘用户网络,根据测绘结果模拟与用户网络相似的诱捕网络,同时根据测绘结果自动优化攻击诱捕战略,提高成功的诱捕攻击概率,建立接近用户网络
4.3.模拟模板行业化、业务化
将模拟基础能力模拟业务能力松结合,产品提供模拟基础能力支持,模板管理行业化、业务化模拟业务能力这样以大大提高欺诈防御产品配置时业务适应的灵活性和效率,有助于提高产品和行业业务的适应性,加快欺诈防御产品的应用和普及。
4.跟踪仍然是未来的重点之一
传统的跟踪手段对攻击者的身份信息获得非常有限,面临定位不正确、科学调查困难等诸多困难。采用欺诈防御,可以提供更准确的跟踪手段,更准确地定位攻击者的身份,为防守者提供更准确的跟踪能力。因此,追踪能力仍然是欺骗防御类产品未来的重点方向之一。随着攻防对抗的进步,采用的跟踪反制手段也需要同步反复,同时反制手段必须根据用户的业务环境特征定制才能取得更好的效果,因此投入成本相对较高,主要应用于大中型企业机构和跟踪需求较强的场景。
加载中,请稍侯......
精彩评论