網絡攻防對抗中,信息情報不對稱造成的不平衡由來已久。防守方在明處,防禦的資產在攻擊
者看來是一個不能挪動的堡壘,而攻擊方躲在暗處,只要有足夠的耐心,總是可以找到縫隙,或者
利用一個“0day”漏洞直接突破邊界。尤其隨著企業規模不斷髮展,防守者要防禦的資產將從堡壘
發展為“城池”,防護難度加大,攻防之間的不平衡愈發顯著。
蜜罐本質上是一種對攻擊方進行欺騙的技術,通過佈置一些作為誘餌的主機、網絡服務或者信
息,誘使攻擊方對它們實施攻擊,從而對攻擊行為進行捕獲和分析。這個出現之初即自帶“偽裝者
角色”的技術,可以微妙地破壞攻擊者和被攻擊目標之間的“信任感”,在一定程度上改變了以往
“攻在暗,守在明”的局勢。通過引入蜜罐技術,防守者不僅可以更全面地感知到攻擊者的態勢,
還能改變原來被動修建堡壘的防禦思路,虛實結合,將攻擊者引入事先準備好的誘捕陷阱中,做到
主動出擊。
蜜罐技術在防守體系的3個實踐方向:欺騙偽裝、威脅感知和溯源反制,實現和企業業務場景相結合,在攻防對抗中發揮實際作用。
欺騙偽裝成功的關鍵在於蜜罐的真實度。以高仿真高交互蜜罐技術為基礎,多個蜜罐可結合企業自
身業務特性組成蜜網,蜜網環境貼合真實環境,大大提升欺騙環境的複雜性和真實性。攻擊者被誘導至
蜜網中並進行嗅探和擴展時,將面臨和真實環境一樣的網絡和應用環境,一舉一動全部在防守方的視角
下。與此同時,蜜網和真實內網環境相互獨立,不會對現有的內網網絡拓撲造成影響,攻擊者進入蜜網
後的行為也不會干擾正常業務。
將蜜罐技術應用在威脅感知領域,通過在內網邊界和敏感位置部署具備威脅感知能力的探針節點,
結合流量分析設備,可以很好地解決定位攻擊時滯後性強及誤報高的問題。攻擊者信息蒐集的過程勢必
需要嗅探到網絡端口、架構、應用、系統和數據等維度,在內網中佈設誘餌探針節點形成高度逼真的分
布式蜜網,攻擊者一旦嘗試發送信息或建立初始連接,就一定會被察覺,從而快速精準定位攻擊事件。
溯源反制是打破攻防不平衡的關鍵一步,企業通過蜜罐技術,在外網中部署蜜IP和蜜域名等偽裝誘餌,誘使攻擊者前來,進而蒐集攻擊者信息,有效追蹤攻擊者。當防守方蒐集到足夠多攻擊者信息時,能夠藉助基礎信息庫對攻擊者進行追蹤和溯源,例如惡意程序樣本、遠程控制站點URL、攻擊者IP等信息中暴露出的代碼特徵、站點註冊信息、IP地理位置等,從而定位攻擊者實體,藉助法律手段追究攻擊者責任。
閱讀更多 黑客技術乾貨分享 的文章
