从被动到主动:攻击欺骗技术在企业安全建设中的应用

2018年11月21日

      近期,2018合肥网络安全大会召开,本次会议的主题为“主动安全护航数字未来”。会上,来自默安科技的解决方案专家刘隽良为大家带来基于攻击欺骗技术的企业安全建设思路分享。

1.jpg


什么是攻击欺骗?


攻击欺骗(Deception)是Gartner从2015年起连续四年列为最具有潜力安全技术的新兴安全技术手段。Gartner给出的基本定义是通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的认知过程,从而破坏攻击者的自动化工具,拖延攻击者的活动或者检测出攻击。通过在企业防火墙背后使用欺骗技术,企业就可以更好地检测出已经突破防御的攻击者,对所检测到的事件高度信任。欺骗技术的实施现在已经覆盖堆栈中的多个层,包括端点、网络、应用和数据。


从Gartner给出的定义来看,该技术大致有以下几个特点:

1.它是一种通过欺骗或者类似钓鱼的手段来感知或者挫败攻击者的攻击行为;

2.它是自动化的;

3.它是建设在防火墙等安全边界背后的,通过在防火墙背后用攻击欺骗来检测出已经突破安全边界入侵到内网的攻击者;

4.它要包含多个层面、多个维度的攻击欺骗感知能力,包括在端点、网络、应用、数据层,不同的层面用不同的方法来实现对应的攻击欺骗,实现对攻击者进行诱捕。


攻击欺骗的实现原理


攻击欺骗的实现过程可以分为伪装和混淆两个部分。

2.jpg

伪装:制造虚假可利用漏洞、业务系统、文档资料、邮件、浏览器缓存记录等;

混淆:将伪装散布于各类真实业务环境,虚实难辨又彼此隔离,合法用户难以触及;

通过上述两部分实现,最终诱骗攻击者对伪装漏洞实施攻击,从而触发攻击告警。


攻击欺骗适用于解决怎样的问题?


      如前所述,攻击欺骗适用于在防火墙背后即内网进行攻击感知。谈到此类的安全问题,很多企业都有不少的困惑,归结起来可以分为以下几类:

      我们已经被黑了吗?是谁黑的?目的是什么?(谁进来了不知道)

      有人想要黑我们吗?他们是谁?用什么方法?(是敌是友不知道)

      我们存在未知的安全威胁吗?这些威胁在哪里?(干了什么不知道)


这些问题反应出目前大多数企业安全建设中共同的痛点,即安全手段趋于被动,已有的威胁防御都是基于已知,对未知攻击的感知能力较弱。

 

“而这一切的根本原因是——攻防不对称。” 刘隽良认为,企业普遍存在的安全攻防能力不对称的问题体现在如下方面:

      

攻击者能力高于防守者,安全对抗能力失衡。防守者需要从全方位视角对所有的安全问题做统一的部署和防御,而攻击者只需要找到其中一个缺口便可以轻易将企业置之下风。

 

企业的安全建设重边界轻内在。很多企业认为,只要将边界设置成铜墙铁壁,内网就万无一失。但实际上这种重边界而轻内在的安全建设,往往容易让企业“吃亏”,因为如前所述,安全边界的防御能力基于已知的行为,检测与防御偏事后,依赖规则来确定策略,对其未知的攻击手段防范能力较弱。换言之,如果攻击者有意构造,在某些情况下,安全边界的可靠性不得不令人堪忧。


攻击欺骗如何解决攻防不对称的问题?


刘隽良认为,企业需要进行安全理念的转换,让安全化“被动”为“主动”,跳出固有思维,从攻击者的视角来看如何解决攻防不对称的问题。

 

攻击者在开展入侵行动时,一般都会通过以下步骤:

 

首先,踩点探测,即信息搜集。在此阶段,攻击者常用的一些方法包括:通过搜索引擎进行搜索、对已知邮箱账号的爆破、对外泄露信息的采集。通过这样初步的信息收集与获取,来对当前他想攻击的目标做初步了解,确认他能从哪些部分对攻击目标进行相关操作。

 

其次,漏洞挖掘。在完成信息收集后,攻击者会对脆弱信息系统进行漏洞挖掘,通过漏洞的探测和挖掘尽可能的获取多条入侵线路规划,更大可能的保证自己能够成功入侵系统。

 

之后,便是攻击实施。此时攻击者手以及具备进行攻击的能力,可利用已探测到的漏洞直接入侵到攻击目标,对其系统实施攻击,在入侵成功后进行数据窃取或其他恶意操作,随后清理入侵痕迹,跑路。

 

掌握了攻击者的入侵步骤,基于攻击欺骗理念,默安科技的幻阵能够做哪些事情呢?

3.jpg

在踩点探测阶段,通过攻击欺骗中的伪装环节,伪造外网、内网虚假业务信息,通过信息泄露途径散布到网络中,使得在攻击者做信息收集的时候,较大概率性会收集到虚假系统信息,扰乱其攻击目标。

 

当攻击者进行漏洞挖掘的时候,混淆在真实业务中的伪装漏洞可能会使其更感兴趣,因为这些伪装漏洞的利用门槛很低,或者是非常具有普遍性,容易利用其实现攻击行为。而当发现这些有价值漏洞的时候,攻击者实际上已经被混淆,即他发现的是真实业务之外的虚假业务。

 

而当攻击者实施入侵的时候,由于虚假系统、虚假漏洞跟真实系统是物理隔离的,所以当他一旦攻击虚假漏洞时,他的攻击流量会直接被转发到幻阵系统里,这样系统便可以快速感知到有攻击者已经进入内网进行攻击行为,从而实现迅速的应急响应和攻击隔离。

 

      如果攻击者已经进入虚假系统,他的攻击行为会被幻阵完整记录,利用默安的专利技术可以实现对其进行攻击溯源。


攻击欺骗是否有成功的应用案例?


      刘隽良分享了前不久幻阵系统为客户发现的一起攻击事件。攻击者在实施入侵的过程中,进入客户业务系统中部署的tomcat虚假系统。当他对tomcat虚假系统做攻击、探测、入侵时,他所有的攻击手法和行为等信息都被记录,利用默安的专利溯源技术获取到了他的真实IP地址,以及实施攻击时他使用的这台设备上曾经登录过的网络ID,并将相关信息生成黑客画像。

4.jpg

      一方面,幻阵拥有快速发现高级威胁的能力,形成及时有效的企业内部威胁情报,这是企业拥有主动防御能力的先决条件;另一方面,幻阵能够与企业现有防御体系联动,综合分析各层面监测到的攻击行为,自动化阻断攻击源,并可进行反向追踪溯源,从而提升企业安全防御体系的主动性、智能性、一体化水平。幻阵目前已经成功应用于金融、运营商、政府、制造等多个行业。