使用网络欺骗应对APT威胁

为了应对APT威胁,基于网络欺骗(Cyber Deception)的安全防御方案得到了越来越多的安全研究人员的重视,它和已有安全防御体系相互补充,能够更加有效的发现和抵御高级持续性攻击等多种威胁。

2015年,Gartner在报告《Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities》[1]中对网络欺骗技术的描述为:欺骗技术被定义为使用骗局或者假动作来阻挠或者推翻攻击者的认知过程,扰乱攻击者的自动化工具,延迟或阻断攻击者的活动,通过使用虚假的响应、有意的混淆、以及假动作、误导等伪造信息达到“欺骗”的目的。同时,Gartner还描绘了基于欺骗的安全防御技术的市场前景,预测到2018年,将会有10%的单位使用欺骗工具或策略来对抗网络攻击。

美国政府对网络欺骗技术也有密切的关注。据斯诺登披露,美国军方利用了网络欺骗技术保护NIPRNET[2]。2014年美国空军在一份报告中指出要研究网络欺骗技术[3];2015年美国小企业创新研究计划中有一项利用网络欺骗作为防御方式的研究项目,资助来源是美国国防部[4]。

目前,网络欺骗技术逐步进入产业化阶段。以色列公司illusive的Deceptions Everywhere、Cymmetria的MazeRunner,美国公司TrapX的DeceptionGrid Platform、Attivo公司的ThreatMatrix Platform等网络欺骗产品颇具代表性。国内安全公司也紧跟业界步伐,代表性的产品有长亭科技公司发布的谛听威胁感知系统,默安科技的幻盾系统,锦行科技的幻云系统,卫达科技的幻境、幻影等系统。

图1:MazeRunner的系统网络拓扑图

图2:长亭科技-谛听感知系统部署前后拓扑图

从技术角度来看,网络欺骗主要涉及的关键技术主要包括蜜罐/蜜网[5]、影子服务、虚拟网络拓扑[6]、蜜标/蜜饵等。

蜜罐系统一般不具备误导和迷惑攻击者的作用,往往是被动的等待攻击,就二者关系来讲,蜜罐只是网络欺骗技术的实现形式之一。影子服务技术是基于真实服务(如Web服务、Ftp服务等)环境的克隆,并进行数据脱敏,最大程度保证服务的真实性,提高欺骗环境的可靠性。

虚拟网络拓扑技术是在内网中部署一系列的虚拟节点,相互之间形成类似真实网络的虚拟网络拓扑,对抗APT攻击在内网的平移具有优势。攻击者探测内网拓扑时,无法分清真假终端,一旦错误攻击虚假终端,防御方便可及时感知攻击威胁,并将攻击转移到蜜罐或影子服务中进行攻击反制。

蜜标技术主要是在攻击者的攻击路径上部署虚假的诱饵信息,诸如虚假的代码注释、数字证书、Robots文件、管理员密码、SSH秘钥、VPN秘钥、邮箱口令、浏览器记录口令、ARP记录、DNS记录等,攻击者进行攻击信息收集时,收集到相关诱饵信息,将攻击者引入蜜罐、影子服务或是虚假网络。

网络欺骗策略可以应用于对抗网络攻击的各阶段,Arkteam将其作用归结为相辅相成的四个方面:

1、 发现网络攻击:利用多种欺骗手段吸引、误导攻击者,使其访问系统中故意暴露给攻击者的各种密饵数据、文档、主机、网络等,一旦这些正常用户不可触及的资源被访问,则表明系统正在受到攻击,防御方可以马上采取行动。

2、 粘住网络攻击:基于蜜饵等欺骗手段,将网络攻击矛头一步步引向欺骗系统部署的虚假环境,并将攻击者的时间、精力和资源消耗于此,减少其攻击重要真实系统的可能。同时,还可以迷惑攻击者,使其分不清“真”与“假”,无法判断攻击是否成功、是否正确。

3、 释放网络攻击:攻击者的手段、方法、工具是丰富多样的,这些对于防御方都是未知的。在虚假的欺骗环境中,攻击者为了达成攻击“目标”,会使尽解数,大量暴露其掌握的攻击手段、方法和工具,从而为防御攻击、溯源攻击者赢得先机。

4、 威慑网络攻击:首先,若攻击者意识到自己已落入欺骗陷阱,这本身就是一种防御威慑。其次,攻击者长时间暴露于欺骗环境中,处于防御监视的视野下,防御方即可以通过主动释放追踪溯源工具,也可以通过被动分析攻击工具、跳板资源等手段追踪溯源,形成反制和威慑。

参考文献
[1]. Pingree L. Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities[J]. Gartner, Inc, 2015.
[2]. From Turbine to Quantum: Implants in the Arsenal of the NSA. http://resources.infosecinstitute.com/turbine-quantum-implants-arsenal-nsa/
[3]. Capabilities for Cyber Resiliency. https://www.fbo.gov/index?s=opportunity&mode=form&id=d2a95b03a8621c1be03128e02f10d66a&tab=core&_cview=0
[4]. https://www.sbir.gov/sbirsearch/detail/825771
[5]. Spitzner L. Honeypots: Tracking Hackers. Boston: Addison-Wesley Longman Publishing Co., Inc., 2002
[6]. Provos N. Honeyd-a virtual honeypot daemon[C]//10th DFN-CERT Workshop, Hamburg, Germany. 2003, 2: 4.

发表评论

电子邮件地址不会被公开。 必填项已用*标注