極元信息Oxtrea定義的“全息誘捕”技術,源自於Gartner提出的十大安全技術之一:Deception(欺騙防禦技術),欺騙防禦技術提供了一種通過偽造或誘騙元素來檢測黑客威脅活動的方法,只有那些進行惡意活動的人才能看到,由於沒有必要與虛假元素進行合法互動,因此任何與它的互動都是有威脅的警報。我們常見“蜜罐”就是欺騙防禦技術中最具代表性的一類產品。
藉助欺騙防禦技術,每個安全事件都很重要,並可以立即做出響應。這與傳統的態勢感知和SOC直接形成對比,後者通常會產生大量的誤報警報,因為這類系統大多是基於啟發式和基於概率的方法,得出的結論並沒有確鑿的證明。使用這種方法的工具最多可產生70%的錯誤警報,誤報不僅浪費資源,還浪費了分析時間。
現在攻擊滲透的一個趨勢是多種攻擊腳本和工具的融合,如大量的內核後門工具包(Rootkit),及能夠集成多種攻擊腳本並提供易用接口的攻擊框架(如Metasploit)。因此,攻擊者或惡意程序一旦滲透到網絡中後,必然會在內部網絡中橫向移動,其橫向擴張的行為有可能會“觀察”其中一個陷阱(誘餌),與這些“誘餌”進行交互,從而觸發警報。基於以上的攻擊行為與態勢,極元信息推出了一種與傳統“蜜罐”類似,又領先於“蜜罐”的技術——全息誘捕。
一、什麼是極元信息提出的全息誘捕?
全息誘捕1.png
在四層網絡中虛擬出海量的虛擬IP和端口,從而形成海量高密度的陷阱主機,當攻擊者訪問陷阱主機超過設定的次數時,將該IP認為非可信客體,發出告警並進行及時阻斷。“全息誘捕”技術是一種通用的主動防禦技術,並且與行業無關。任何行業都可以利用它來快速增強其威脅檢測和響應能力。
“全息誘捕”在所有端點上佈滿密集的輕量級欺騙陷阱,在攻擊過程的早期,即可檢測攻擊。
可以快速啟動並運行,而不會給運營造成很大負擔。
“全息誘捕”可在內網產生數以萬計的誘餌主機,將傳統蜜罐低於1%的命中率提升至超過99%。
“全息誘捕”採用TRUNK技術向多個VLAN子網中部署大量陷阱誘餌主機,具有極高的利用率。
- 二、全息誘捕的目的是什麼?更為積極主動的檢測和阻止各種類型的網絡威脅:0DAY,惡意軟件,勒索軟件,APT,橫向移動和惡意內部人員。
- 輕鬆增強早期威脅的檢測,同時不增加操作負擔。
- 延緩攻擊者的下一步決策,在其還未產生真正的破壞前將其捕獲。
- 與極元信息的SwitchWALL形成聯動,在內網東西向攔截威脅源。
三、全息誘捕如何進行部署?
- 在網絡中相應的VLAN中自動創建大量的虛擬陷阱主機。
- 跨架構分佈式部署,去中心化集中管理,同時適配物理架構,虛擬化架構。
- 每個誘餌主機具備網絡開放端口,並可以被ping發現。
四、全息誘捕的好處有什麼?
1.高準確性
諸如防火牆之類的傳統網絡防禦系統會生成許多警報。在大型企業中,在某些情況下,警報量每天可能達到數百萬個警報。安全操作人員無法輕鬆地處理大部分活動,但是隻需一次成功的滲透即可破壞整個網絡。
而“全息誘捕”產生的警報是二進制過程的最終產品。概率基本上減少到兩個值:0%和100%。任何試圖識別,查驗,輸入,查看任何陷阱(誘餌)或利用誘餌的客體都將立即被識別。任何人觸摸這些陷阱或誘餌都是不允許的,因此,大大降低了其誤報性,同時也因為其低接觸性,使得安全事件的取證成為一個簡單而直接的過程。
2.高密度
傳統“蜜罐”的部署過於笨拙,需要cpu資源、內存資源、存儲資源,還需要安裝操作系統,再進行一系列相對複雜的配置,才算是完成一個蜜罐。這就導致了傳統的蜜罐不可能在網絡中大規模的部署。通過“全息誘捕”技術,可以自動實現大規模部署,並且可以覆蓋網絡中所有的VLAN。
3.高命中率
傳統“蜜罐”部署在網絡後,由於數量太少,攻擊者或惡意程序觸發蜜罐的幾率太低,而“全息誘捕”的高密度交錯式集群式部署,可以使命中率無限接近於100%。
4.高效能
虛擬的陷阱不依靠傳統的虛擬化計算資源(CPU、內存),而是通過內置的網卡芯片陣列基於網絡層創建,因此即便啟用了大量的陷阱主機,佔用系統硬件本身的計算資源也不會超過1%。
5.積極防禦
傳統的“蜜罐”本身是沒有攔截、阻斷這種處置功能的,大多都是隻能起到一個告警的作用。而極元的“全息誘捕”技術則可以進行主動的攔截和防禦。
