新闻中心

奇安信:从实网攻防演练看欺骗检测技术的发展

发布日期:2021-02-03 23:13

  目前,实网攻防演习已经进入了最后的准备阶段。各机构也正摩拳擦掌,打磨自己的网络安全实战利器。

  “根据往年实网攻防演习的经验,欺骗检测技术往往会起到很大的作用,对于攻击者的干扰不容小觑。”奇安信安全专家表示。

  对此有吃瓜群众好奇,欺骗检测的核心价值是作为一种威胁检测手段存在,它既没有WAF检测的深度,也没有IDS检测的广度。在大数据分析、机器学习等高级检测技术广泛运用的今天,欺骗检测技术出乎意料的在大量的实网攻防演习中获得强烈反响?为什么欺骗检测能够收获出人意料的效果呢?

  降低攻击概率最核心的套路就是:减少攻击面。减少攻击面其实就是减少业务暴露面,也就是通过降低潜在可攻击节点达到降低攻击概率的目的。

  通过一系列的“减法”,客户对外暴露的业务面积大大减少,也降低了防守方的防守压力。这种“减法”手段针对互联网业务的攻击收敛效果显著,但这是建立在内网相对可信的前提之下的思路,欺骗蜜罐方案则更多的是做“加法”来降低攻击概率,这种思路无论互联网业务还是内网业务都能够取得成效。通过模拟“真实”业务、系统,并充分利用内网闲散的地址、端口、URL资源,提升内网业务节点总量,混淆真实业务节点,从而降低攻击概率。

  最难能可贵的是,欺骗方案在增加“业务”节点的同时,对原有真实业务的“入侵”、“改造”影响几乎为零,并且能够根据攻击态势实时动态的扩展和变化。

  在真实的攻击活动中,一般一个目标要渗透到核心系统中,根据安全防御程度的不同,需要的时间从一个月到半年不等。对于一些高安全等级目标,采用APT高级攻击手段需要潜伏一到两年才能实现渗透入侵。而在通常的实网攻防演习中,攻击方的时间只有三周左右,而且攻击方的攻击手段、场所、时间等条件均受到一定限制,技战术能力大打折扣。为了保证短时间完成既定攻击任务,攻击者多采用已知、广泛存在、成功率高的攻击手段。

  正是由于这些特点,欺骗方案能够发挥更大的作用。加之当前的欺骗手段更多采用高交互方式,能够提供一个较为真实的业务仿真环境以便吸引入侵者。这些业务仿真环境充斥在真实业务之中,模拟出各种含有漏洞的应用系统来引诱攻击者入侵以减少对实际系统的威胁。

  通过这种诱导方式,混淆攻击者既定攻击目标;拖延攻击者攻击进程,滞留攻击者行为,为防守方及时侦察到攻击行为和部署防护措施创造了有利条件。而此时攻击者即便怀疑目标可能是一个蜜罐,但为了找到突破口和线索,可能也会选择冒险尝试。

  在实网攻防演习中,攻击活动相对于平时变得十分频繁和集中,从而也直接导致安全设备日志量级和防守方的安全分析、事件处置压力陡升。面对海量并夹杂着误报的日志和告警,对于防守方来说,处置压力非常大。

  欺骗方案由于其自身特性,决定了只有误入蜜罐才会出现日志,只要访问欺骗蜜罐的网络行为都是可疑行为,因此天生具有较小的日志量和高度可信的告警。

  欺骗方案能够在不增加日志分析量级的情况下显著提高恶意行为的检测能力,能够快速判定攻击者。而且欺骗方案所产生的日志更加具有关联性,从攻击者访问蜜罐开始到离开蜜罐,攻击者的网络访问、命令执行、文件投递等全流程攻击行为都会被记录下来。对比其它检测方案,ca88。想要获取和欺骗等同的检测内容,需要进行多设备的日志大数据加工、人工关联溯源、误报筛选核查等多道分析工序才能还原出最后的攻击者行为,非常耗费人力和时间。

  为了“珍惜”攻击者来之不易的访问,欺骗方案还会采用多种技术手段主动收集攻击者情报,获取攻击者的社交信息(如微博、知乎、百度等社交账号信息)及主机信息(内网IP、代理IP、主机指纹)。通过这些攻击者情报基础线索,运用一些社工学的方法可以溯源出攻击者的真实身份。在实战化运用中,通过诱捕到的攻击者情报进行攻击者反溯,对于攻击者的防范都能起到很好的效果。

  通常,欺骗方案部署大半年可能都无法捕获到一次有效的攻击活动。但在实网攻防演习期间,针对客户环境的攻击活动变得相对集中且频繁,造成进入欺骗方案的概率得到显著提升,加之其告警的有效性,使得欺骗方案表现较好。

  欺骗方案延缓攻击进程、降低受攻击概率、高灵敏度等价值真实切中了防守方反应不及时的痛点。同时,欺骗方案的低误报、低侵入性,较好的缓解了防守方的运维、分析、响应压力。

  攻击欺骗作为为数不多的一种主动与攻击者对抗的有效可落地的对抗方式,能够获取比其它方案更加详细的攻击者情报,比如推测或验证攻击者的实际目的,是破坏可用性、窃取数据还是其它目的。同时还可以收集攻击者所使用的命令、使用的工具、采用的漏洞等。除此之外,防守方可以基于欺骗方案进行必要反制,通过威慑蜜罐、反制蜜罐等更高级的攻防对抗手段进一步震慑和反制攻击者。

  HTTPS加密流量、业务模拟完成度不高、攻击者情报诱捕概率低等实战化短板也是目前攻防演习过程中经常遇到的问题。

  如果攻击者没有触发蜜罐,那么蜜罐将毫无意义。典型的攻击方式可以分为两类:一类擅长利用Web漏洞、系统漏洞,正面刚安全设备的中路推进,这种攻击方式暴力且直接,欺骗检测技术可以发挥一定的效果;另外一类则精通情报收集、社工挖掘、内网渗透。这类攻击者对蜜罐非常敏感,会各种识别绕开蜜罐。因此攻击行为较为谨慎,隐蔽性也非常强,很难被安全检测设备发现,在此场景下,欺骗检测手段的作用很难发挥。衡量一个蜜罐是否真实有效,除了蜜罐本身的构造精心层度,往往还取决于部署位置和业务共存的关系。

  当前蜜罐的真实性和交互性越来越高,为保持真实性和交互性,蜜罐需要具备真实的IP地址、寄宿环境等。通常有经验的攻击者会结合各种信息来确定攻击目标是否为防守方设置的蜜罐。一旦蜜罐配置不当导致暴露,攻击者可佯装攻击蜜罐,并通过蜜罐作为跳板对真实业务网络施加攻击。如何解决蜜罐自身的安全性问题,也是客户首要考虑的。

  随着实网攻防演习的进一步深入和常态化,欺骗检测技术将朝着更加攻防对抗化发展,更多的威慑、反制功能将扩充欺骗的实战化运用中。作为“另类”的检测手段之一,欺骗也将被各类高级安全解决方案所集成,诸如SOC、SOAR、APT等,以增强对威胁、攻击的检测。未来的欺骗检测除了对真实业务的深度模拟、对攻击者的全面情报诱捕之外,反制震慑攻击者、自动化能力编排、多IT场景覆盖将是欺骗检测的下一个革新高地。