桑迪亞國家實驗室的研究人員為蜜罐技術再添新貢獻,通過創建整套虛擬環境套住黑客以觀測其行動和秘密花招,讓蜜罐這一用於誘捕黑客的隔離網絡能夠在不危及企業真實運營網絡的情況下摸清黑客的攻擊路數。
該系統名為高保真自適應欺騙仿真系統( High-Fidelity Adaptive Deception & Emulation System ),首字母縮寫為HADES,正好是冥王哈迪斯的名字,可謂非常形象。HADES的主旨在於提供欺騙環境並推進欺騙活動以梳理正在進行的攻擊的相關情報和特徵碼。
技術層面上看,HADES利用了雲技術,特別是軟件定義網絡和虛擬機自省技術,可將被攻擊虛擬系統從生產網絡快速轉移至去除了敏感數據的高保真虛擬版網絡副本。HADES可將該虛擬機的狀態遷移到網絡的其他部分並開始模擬其周邊環境。
在入侵者毫無所覺地探測該沙箱網絡時,分析師就可以觀察入侵者的行動,獲悉他們的目標和所用攻擊工具。可以觀察對手的行為,重構防禦工具,即時發展自身智能。
即便黑客最終發現自己是在沙箱中操作,因為不知道是何時被移出真實網絡的,也就不清楚自己收集的數據到底有多少是真實的。HADES的目的就是要讓攻擊者產生疑慮。即便拿到了什麼東西,到底是真的還是假的?對攻擊者而言最恐怖的事,就是“世界還是那個世界,但發生了改變”。
但是,HADES並未取代攻擊檢測工具。事實上,雖然HADES也提供入侵檢測工具,但卻是利用了第三方應用 。HADES提供了靈活的應用程序編程接口來與這些工具互動。
HADES首次部署是在2017年,至今仍在不斷開發完善中,並在少數部署中進行測試。據稱佛羅里達理工學院已部署了HADES,該平臺的幾個方面還被秘密部署在政府和學術界某些保密單位中。
閱讀更多 安全牛 的文章
