從古至今欺騙防禦戰術就在各種戰爭中應用廣泛,孫子兵法有云 “兵者,詭道也”,就是透過千變萬化的欺騙戰術來迷惑敵人。
欺騙防禦的起源可以追溯到
1989年
,這一時期網路安全領域的蜜罐概念出現,蜜罐概念提出的初衷是用於檢測業務系統的入侵情況和對抗人工攻擊。
到
2000年
左右,自動化傳播的惡意程式碼成為攻擊的主流方式,蜜罐相對於其他防禦技術有無可比擬的優勢,發現與收集惡意程式碼樣本的實際需求更促進了蜜罐技術的發展,蜜罐被廣大安全從業人員熟知,開始應用於對抗自動化攻擊。
2010年,
高階持續性威脅逐漸被大家熟知,傳統安全機制無法很好地應對此類未知威脅,安全研究人員再次將目光轉向蜜罐技術,基於蜜罐技術的欺騙防禦思想開始成熟,網路欺騙技術再次成為安全人員關注的焦點,欺騙防禦也開啟了應對高階持續性威脅的新篇章。
從蜜罐的出現,安全人員就對欺騙技術寄予厚望,欺騙技術也不負眾望,作為一種主動防禦手段,有效提升了對抗中抵禦網路入侵的能力。
在網路攻擊不斷升級和發展的今天,如何為企業內網部署蜜罐,最大限度地發揮欺騙防禦技術的能力?
今天給大家分享一下創宇蜜罐產品實戰總結的部署思路和欺騙防禦的網路分層框架。
01
未知攻、焉知防-攻擊視角分解攻擊過程
未知攻,焉知防,網路安全的本質是對抗,欺騙防禦的本質是人與人之間的對抗,防禦方與攻擊者之間戰術戰法的較量。首先從攻擊者角度出發對攻擊者的戰術戰法進行簡單的解析,來看如何更有效的構建欺騙防禦。
將專業攻擊者發起攻擊的過程分為三個階段。
第一階段:收集情報、第二階段:建立據點、第三階段:橫向移動。
1.1第一階段:收集情報
在對企業實施實際的攻擊之前,攻擊者會在網際網路蒐集與目標企業相關的資訊。例如,員工資訊和下屬單位或子公司資訊,可以作為對企業進行釣魚、迂迴攻擊提供資訊。
再如,IT資產資訊收集,包括公司的域名、使用的IP地址的C段,網路架構資訊,以及資產埠服務的資訊,此類資訊大機率會成為攻擊的突破口。
還有一類就是敏感資訊,包括在程式碼託管平臺的程式碼、資料平臺中與企業相關的網路設計方案的文件,某些包含了員工內網帳號、或者伺服器登入帳號或者金鑰的資訊,這些資訊無疑會幫助攻擊者毫不費力的進入企業內網。最後,對供應商的資訊收集可以為發起供應鏈攻擊做準備。
1.2第二階段:建立據點
在蒐集完情報之後,攻擊者就開始突破企業內網,企圖建立據點,構建一個從外網通向企業內網的一個通道。
1.3第三階段:橫向移動
攻擊者進入到內網在橫向移動的時候,仍然會有一個內網情報收集的階段。包括兩個方面的情報收集:
1)對當前主機上情報的收集
在當前主機攻擊者可以收集這臺主機的網路連線、歷史命令、管理員登入憑證等這些資訊。如果可以拿到管理員的憑證,就可以直接橫向移動到其他的主機,在企業內部,進一步的深入尋找自己的目標。
2)對內網進行掃描探測來收集情報
如果在當前主機沒有收集到有用的資訊,攻擊者便會開始對外進行探測,對內網的網段或者本網段進行掃描、探測,看有哪些開放的埠,開放了什麼服務。內網情報收集的目的是為尋找下一步攻擊的目標的選擇提供依據。
02
欺騙防禦體系網路分層框架
透過解析整個攻擊階段的戰術戰法,我們可以總結歸納出攻擊者攻擊路徑對應的網路分層圖,這個分層不是真正意義的物理分層,而是對內網區域做的一個劃分。
分層框架依據企業整個網路的隔離與連通情況對網路區域進行分層,如圖:從外網到內網核心區域依次是網際網路暴露層、網路邊界層、邊界裝置互通層、內網核心層。每個企業網路的隔離情況都不一樣,這裡對區域的劃分不具備通用性,具體的體系設計時,應根據網路實際隔離情況劃分。
2.1網際網路暴露層:
網際網路暴露層通常包含企業暴露在網際網路的IT資產、服務,可能被洩露的敏感資訊(程式碼、網路架構配置等),人員組織資訊,供應鏈等資訊。這些企業相關的資訊或資產的收集,是攻擊者第一步獲取的目標。
2.2網路邊界層:
網路邊界層是會與外網直接連通的網路區域,是攻擊者進入企業內網必經的網路區域。通常包含外聯區域、DMZ區域 、辦公網區域等網路區域。是攻擊者在第二階段建立據點之後進行進一步資訊獲取並橫向移動的區域。
2.3邊界裝置互通層:
邊界裝置互通層是網路邊界層的裝置可以直接連通的網路區域。通常包含為辦公區域提供的一些財務系統、專案管理系統、CRM系統、人力資源系統所在的區域。由於某些原因隔離不嚴格,導致邊界層裝置可以直接聯通的區域也屬於邊界裝置互通層網路區域。攻擊者進入內網後,可能將橫向移動到邊界裝置互通層區域。
2.4內網核心層:
內網核心層是網路邊界層裝置無法直接聯通的網路區域。通常包含核心的業務區域、管理控制區域、資料中心區域等網路區域。
03
欺騙防禦體系部署策略
欺騙防禦體系的部署,以網路分層框架為依據,根據各網路區域的特點,分別使用不同的策略進行欺騙防禦的部署。此處的部署建議為大多數場景都適用的通用部署策略建議。
3.1網際網路暴露層部署:
攻擊者會在網際網路暴露層收集企業資訊,為如何進入內網尋找突破口。相對應的防禦思路是透過蜜罐、誘餌來逆轉攻防資訊不對等局面。
在網際網路部署蜜罐、散播蜜餌,干擾攻擊者收集情報,使其選擇攻擊目標時產生誤判,指數級地增加攻擊者的攻擊成本,延緩攻擊程序的同時,將攻擊者不斷誘導引入蜜罐陷阱,最終達到消耗攻擊者的精力,在心理層面挫敗攻擊者,打消其繼續進行攻擊想法的目的。
3.2網路邊界層部署:
網路邊界層是攻擊者進入內網的必經之路,是內網中風險最大的區域。如果企業自身安全防護能力較弱,攻擊者或者蠕蟲病毒可以輕易進入到此網路層區域; 對於一些網路防護能力較強的企業,高級別攻擊者也已經具備繞過現有安全檢測裝置突破進入企業網路邊界層區域的能力。
所以網路邊界層是防護的重點區域,其部署建議策略為:根據網路具體情況結合不同的戰術指導欺騙防禦體系的部署,對進入到這一層攻擊者實施封控策略,透過發現、誘導、壓制的策略來阻止攻擊者進入到更深層次的網路區域。
以辦公區域部署為例:
透過辦公區進入內網是高階攻擊者成功率比較高的攻擊方式,APT攻擊事件中辦公網路區域是APT攻擊事件的重災區,因此辦公區網路區域是防禦的重點。
對於辦公網路區域部署防禦側重點的建議:
1)投放誘餌與蜜罐:
部署側重點在與外接溝通、檔案收發較頻繁的部門,比如HR部門(經常接收簡歷檔案),財務部門(經常接收發票等檔案)。另外網路管理部門也是高風險部門之一,因為此部門員工辦公終端有大量對攻擊者很有價值資訊,可在這些部門員工辦公終端投放誘餌。
2)攻擊阻斷:
在辦公網路區一般沒有重要的業務伺服器,可設定高級別的阻斷力度。
一是防止員工終端中的木馬、勒索病毒等在內網傳播並及時發現所屬物理主機。
二是防止進入到此區域的攻擊者在內網收集情報或向其它主機移動。由於辦公網路區域主要為Windows資產,建議在此區域部署的蜜罐大部分為Windows系統蜜罐。
3)部署密度:
辦公區屬於內網風險最多的區域之一,建議部署一些黑洞蜜罐,並且進行大面積的IP覆蓋。
3.3邊界裝置互通層部署
邊界裝置互通層裝置可被高風險的網路邊界層裝置直接連線,此網路層的區域存在有一定風險,需要做一些防範策略,適當部署一些蜜罐用於發現與誘導對此區域裝置發起收集情報或攻擊的攻擊者。
3.4內網核心層部署
內網核心層是資料資產比較重要的網路區域,通常包括資料中心、核心業務、管理控制等區域,一旦攻擊者進入此網路層區域未及時發現,可能導致嚴重的安全事件。
所以在此網路層可根據資產情況選擇某些需要重點防禦的區域,部署蜜罐以迷惑攻擊者,延緩攻擊程序,並在攻擊者對區域的偵查階段發現入侵提前預警 。
根據創宇蜜罐對於實際場景的研究及應用經驗,推薦根據業務情況部署真實業務系統數10倍以上的孿生蜜罐、偽造業務蜜罐以迷惑攻擊者,指數級延長攻擊者攻擊真實業務的時間,並利用蜜罐的0誤報率對區域入侵行為有效預警。
04
伐謀--欺騙防禦體系的終極目標
《孫子兵法。謀攻篇》曰“故上兵伐謀,其次伐交,其次伐兵,其下攻城”,最上層的戰術是打消對方攻擊的企圖,不戰而勝。
欺騙防禦體系擁有溯源、反制、留證防抵賴的能力,完全可起到震懾攻擊者的目的。攻擊者在不斷被誘導引入蜜罐陷阱,建立的據點不斷被阻斷無法連線,消耗大量的工具和精力卻一無所獲時,將從根本上打擊攻擊者信心。
最終,當攻擊者發現攻擊到的目標均為蜜罐後,會有被溯源反制,甚至留證被依法制裁的可能,這些可以震懾攻擊者使其放棄攻擊企圖,達到保障網路安全的最終目的。
一切的防禦手段,都是以最終的網路安全為最高目標,欺騙防禦體系亦如此,其建立也必然遵循“目標明確,因地制宜”的原則,力求透過欺騙防禦體系更全面更準確感知未知威脅,更立體更多維的進行網路安全防禦。