网络攻防对抗中,信息情报不对称造成的不平衡由来已久。防守方在明处,防御的资产在攻击
者看来是一个不能挪动的堡垒,而攻击方躲在暗处,只要有足够的耐心,总是可以找到缝隙,或者
利用一个“0day”漏洞直接突破边界。尤其随着企业规模不断发展,防守者要防御的资产将从堡垒
发展为“城池”,防护难度加大,攻防之间的不平衡愈发显著。
蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信
息,诱使攻击方对它们实施攻击,从而对攻击行为进行捕获和分析。这个出现之初即自带“伪装者
角色”的技术,可以微妙地破坏攻击者和被攻击目标之间的“信任感”,在一定程度上改变了以往
“攻在暗,守在明”的局势。通过引入蜜罐技术,防守者不仅可以更全面地感知到攻击者的态势,
还能改变原来被动修建堡垒的防御思路,虚实结合,将攻击者引入事先准备好的诱捕陷阱中,做到
主动出击。
蜜罐技术在防守体系的3个实践方向:欺骗伪装、威胁感知和溯源反制,实现和企业业务场景相结合,在攻防对抗中发挥实际作用。
欺骗伪装成功的关键在于蜜罐的真实度。以高仿真高交互蜜罐技术为基础,多个蜜罐可结合企业自
身业务特性组成蜜网,蜜网环境贴合真实环境,大大提升欺骗环境的复杂性和真实性。攻击者被诱导至
蜜网中并进行嗅探和扩展时,将面临和真实环境一样的网络和应用环境,一举一动全部在防守方的视角
下。与此同时,蜜网和真实内网环境相互独立,不会对现有的内网网络拓扑造成影响,攻击者进入蜜网
后的行为也不会干扰正常业务。
将蜜罐技术应用在威胁感知领域,通过在内网边界和敏感位置部署具备威胁感知能力的探针节点,
结合流量分析设备,可以很好地解决定位攻击时滞后性强及误报高的问题。攻击者信息搜集的过程势必
需要嗅探到网络端口、架构、应用、系统和数据等维度,在内网中布设诱饵探针节点形成高度逼真的分
布式蜜网,攻击者一旦尝试发送信息或建立初始连接,就一定会被察觉,从而快速精准定位攻击事件。
溯源反制是打破攻防不平衡的关键一步,企业通过蜜罐技术,在外网中部署蜜IP和蜜域名等伪装诱饵,诱使攻击者前来,进而搜集攻击者信息,有效追踪攻击者。当防守方搜集到足够多攻击者信息时,能够借助基础信息库对攻击者进行追踪和溯源,例如恶意程序样本、远程控制站点URL、攻击者IP等信息中暴露出的代码特征、站点注册信息、IP地理位置等,从而定位攻击者实体,借助法律手段追究攻击者责任。
閱讀更多 黑客技術乾貨分享 的文章
