蜜罐新技術(shù)發(fā)展怎么樣

這篇文章主要講解了“蜜罐新技術(shù)發(fā)展怎么樣”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“蜜罐新技術(shù)發(fā)展怎么樣”吧！

隨著攻防演習(xí)日益實(shí)戰(zhàn)化、常態(tài)化使得蜜罐從十幾年的老安全技術(shù)煥發(fā)新春，基于蜜罐演進(jìn)而來的欺騙防御也因此而名聲大噪，越來越多的安全廠商已經(jīng)將資源投入到此技術(shù)領(lǐng)域。

在最近信通院組織的蜜罐產(chǎn)品能力評測中，參與的主流廠商有36家之多。蜜罐技術(shù)火熱的背后，是蜜罐技術(shù)可有效彌補(bǔ)當(dāng)前網(wǎng)絡(luò)安全防御方案短板的巨大推力，同時(shí)，趨于常態(tài)化的攻防演習(xí)也是最大的催化劑之一。

在過去的攻防演習(xí)中，蜜罐不僅展示出面向攻擊優(yōu)秀的誘捕和溯源能力，在日常安全運(yùn)維中也體現(xiàn)出了不可或缺的獨(dú)特價(jià)值，這可能才是蜜罐真正的生命力。

基于對蜜罐技術(shù)的研究，結(jié)合對開源蜜罐項(xiàng)目和商用欺騙防御類產(chǎn)品的調(diào)研和分析，本文將從對當(dāng)前蜜罐產(chǎn)品使用的新技術(shù)介紹出發(fā)，來看未來欺騙防御的發(fā)展走向。

1.   環(huán)境仿真

傳統(tǒng)蜜罐通常提供的是“單維”的仿真，仿真特定的主機(jī)、服務(wù)、應(yīng)用環(huán)境等；而最新的蜜罐則需要的是“多維”的仿真能力，在之前的基礎(chǔ)上，可以結(jié)合用戶真實(shí)網(wǎng)絡(luò)或業(yè)務(wù)環(huán)境去定制環(huán)境仿真配置和數(shù)據(jù)。從而提供一個和用戶真實(shí)環(huán)境相近、能夠有效迷惑攻擊者的仿真誘捕環(huán)境。

試想，如果一個完整的虛擬環(huán)境，部署在用戶真實(shí)網(wǎng)絡(luò)之前，不僅可以有效推遲攻擊者進(jìn)攻的步伐，還可以獲得攻擊者的攻擊方式和行為邏輯等信息。

環(huán)境仿真技術(shù)主要包括軟件仿真技術(shù)、容器仿真技術(shù)、虛擬機(jī)仿真技術(shù)等，幾類仿真技術(shù)所能提供的仿真能力和支持仿真的類型示意如下：

幾類仿真技術(shù)簡要對比如下：

2.   攻擊誘導(dǎo)

攻擊誘導(dǎo)的目標(biāo)就是通過技術(shù)手段在攻擊者進(jìn)入網(wǎng)絡(luò)后主動引誘攻擊者進(jìn)入到泥沼當(dāng)中不能自拔，在有限的仿真環(huán)境下提升命中率。常見的攻擊誘導(dǎo)技術(shù)包括：誘餌投放、流量轉(zhuǎn)發(fā)、虛擬IP等。在典型攻防演習(xí)場景中，攻擊誘導(dǎo)技術(shù)可以將主動權(quán)互換，成為防守方獲取主動權(quán)的利器。

2.1. 誘餌投放

誘餌是投放在互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)里的各種留給攻擊者的虛假情報(bào)，很多情報(bào)是都極具誘惑力，誘導(dǎo)攻擊者快速進(jìn)入被控狀態(tài)。

根據(jù)類型和用途不同，可以分為日志誘餌、證書誘餌、賬戶誘餌、郵件誘餌、項(xiàng)目代碼誘餌等。誘餌包括IP地址、用戶賬戶、服務(wù)應(yīng)用路徑、密碼本等信息，當(dāng)攻擊者獲取誘餌里的信息后，一般會順藤摸瓜，沿著誘餌里線索提供的主機(jī)、服務(wù)、應(yīng)用進(jìn)行深入滲透，進(jìn)而將攻擊者引誘到陷阱之中。誘餌投放工作示意圖如下：

2.2. 流量轉(zhuǎn)發(fā)

通過流量轉(zhuǎn)發(fā)可以實(shí)現(xiàn)將攻擊者試圖訪問正常資產(chǎn)的攻擊流量主動轉(zhuǎn)發(fā)到仿真環(huán)境里。常見的流量轉(zhuǎn)發(fā)實(shí)現(xiàn)技術(shù)包括網(wǎng)絡(luò)轉(zhuǎn)發(fā)和主機(jī)轉(zhuǎn)發(fā)。

1、主機(jī)轉(zhuǎn)發(fā)：一般需要在主機(jī)上部署探針軟件，探針用于監(jiān)測客戶未使用的網(wǎng)絡(luò)端口來虛擬真實(shí)服務(wù)，通過探針將試圖訪問這些端口的異常連接請求轉(zhuǎn)發(fā)到仿真環(huán)境里；

2、網(wǎng)絡(luò)轉(zhuǎn)發(fā)：根據(jù)威脅線索通過動態(tài)調(diào)整網(wǎng)關(guān)設(shè)備策略等方式來將異常流量直接導(dǎo)入到仿真環(huán)境里。

流量轉(zhuǎn)發(fā)工作示意圖如下所示：

2.3. 虛擬IP

虛擬IP，顧名思義就是給單個主機(jī)綁定多個IP地址，通過在仿真環(huán)境里將IP資源綁定到蜜罐誘捕環(huán)境上來批量生成虛擬資產(chǎn)，提高蜜罐的覆蓋率，增加攻擊者攻擊蜜罐的概率。

虛擬IP工作示意圖如下所示：

3.   溯源反制

傳統(tǒng)的基于IP的溯源方法對攻擊者的身份信息獲取十分有限，很難及時(shí)對攻擊者進(jìn)行有效溯源和反制。蜜罐系統(tǒng)則給了防守方以反制攻擊者的機(jī)會，通過蜜罐里預(yù)設(shè)的反制手段，主動獲取攻擊者主機(jī)或者網(wǎng)絡(luò)的信息，來更準(zhǔn)確的定位攻擊者的身份，實(shí)現(xiàn)更精準(zhǔn)的溯源。在典型攻防演習(xí)場景中，防守方只需要獲得虛擬身份即可，一個優(yōu)秀的蜜罐系統(tǒng)完成這個任務(wù)可謂手到擒來。

常用的溯源反制技術(shù)包括：WEB反制、掃描反制、密標(biāo)文件反制等方式。

3.1. WEB反制

攻擊者在瀏覽網(wǎng)站或WEB應(yīng)用頁面時(shí)，會下載頁面數(shù)據(jù)、腳本文件在用戶本地解析執(zhí)行、渲染展示。利用這個特性，將反制腳本嵌入到正常的網(wǎng)站或WEB應(yīng)用頁面里，攻擊者訪問時(shí)也會將反制腳本自動下載到攻擊者本地運(yùn)行來獲取溯源信息。

WEB反制是較常用的反制手段，可獲取的典型溯源信息包括：

1、獲取攻擊者主機(jī)操作系統(tǒng)和瀏覽器的特性信息，包括攻擊者主機(jī)的操作系統(tǒng)類型、操作系統(tǒng)時(shí)區(qū)、屏幕分辨率、瀏覽器指紋、瀏覽器類型、瀏覽器版本等信息；

2、通過應(yīng)用的JSONP漏洞獲取攻擊者主機(jī)上曾經(jīng)使用過的社交賬號、攻擊者手機(jī)號等個人信息；

3、對攻擊者本地端口進(jìn)行掃描，獲取攻擊者本機(jī)開放端口等數(shù)據(jù)；

WEB反制工作示意圖如下所示：

3.2. 掃描反制

攻擊者在實(shí)施攻擊時(shí)大多數(shù)情況都會使用掃描器或攻擊工具，利用掃描對象、掃描器或攻擊工具的漏洞可以在攻擊者進(jìn)行掃描或嘗試攻擊的同時(shí)，反向來獲取攻擊者的身份信息。

通過在仿真環(huán)境里預(yù)設(shè)一些針對特定服務(wù)、掃描工具的反制模塊，當(dāng)攻擊者采用這類工具實(shí)施掃描或攻擊時(shí)會觸發(fā)對應(yīng)反制模塊，實(shí)現(xiàn)讀取攻擊者設(shè)備指紋和身份信息來實(shí)現(xiàn)反制。當(dāng)前部分欺騙防御產(chǎn)品里已使用了掃描反制技術(shù)，較常用的掃描反制手段包括MySQL反制、SQLMap反制、AWVS反制等。

掃描反制工作示意圖如下所示：

3.3. 蜜標(biāo)反制

蜜標(biāo)文件多采用攻擊者感興趣的文件類型或文件名稱，通過代碼捆綁等技術(shù)向該文件中嵌入特定數(shù)據(jù)和代碼，通過構(gòu)造場景引誘攻擊者去訪問、下載蜜標(biāo)文件，當(dāng)攻擊者下載并在本地打開蜜標(biāo)文件時(shí)，就會觸發(fā)內(nèi)嵌代碼，記錄并回傳攻擊主機(jī)和攻擊者特征信息來實(shí)現(xiàn)溯源和反制。

蜜標(biāo)反制工作示意圖如下所示：

采用蜜標(biāo)文件來反制對防守方安全能力要求較高，需結(jié)合用戶業(yè)務(wù)環(huán)境特點(diǎn)來制作蜜標(biāo)文件，同時(shí)將蜜標(biāo)文件部署在攻擊者較容易訪問的位置才能取得更好的效果。

4.   未來欺騙防御發(fā)展預(yù)測

攻防演習(xí)已向常態(tài)化與實(shí)戰(zhàn)化邁進(jìn)，攻防演習(xí)雖不提蜜罐，但處處是蜜罐，但此蜜罐非彼蜜罐，筆者更傾向于稱其為“欺騙防御”或“仿真誘捕”技術(shù)，傳統(tǒng)的利用高交互蜜罐一招溯源攻擊者的歷史一去不復(fù)返，而復(fù)雜的可以和真實(shí)計(jì)算環(huán)境融合的新一代欺騙防御技術(shù)和產(chǎn)品需求會越來越旺盛。全球知名的IT研究與顧問咨詢公司Gartner評價(jià)“欺騙防御”技術(shù)是對現(xiàn)有安全防護(hù)體系產(chǎn)生深遠(yuǎn)影響的安全技術(shù)。在Gartner 2020年安全運(yùn)營技術(shù)成熟度曲線報(bào)告中，分析師將“欺騙平臺”這項(xiàng)技術(shù)放在了“期望膨脹期”，并將目前的成熟度定義為“青春期”，預(yù)計(jì)該技術(shù)會在5至10年后達(dá)到成熟并被廣泛使用。

基于最新蜜罐技術(shù)演進(jìn)分析，結(jié)合當(dāng)前欺騙防御行業(yè)發(fā)展態(tài)勢，筆者認(rèn)為未來幾年欺騙防御市場和產(chǎn)品發(fā)展將有以下幾個趨勢。

4.1. 欺騙防御技術(shù)應(yīng)用會更廣泛

欺騙防御作為主動防御的范疇，在多個領(lǐng)域都能發(fā)揮他獨(dú)特的價(jià)值。應(yīng)用到威脅監(jiān)測方面利用它誤報(bào)低的優(yōu)點(diǎn)，可以作為常態(tài)化運(yùn)維監(jiān)測工具使用，也可以將其作為一個引擎或者模塊集成到其他安全產(chǎn)品里，賦能其他產(chǎn)品提供威脅誘捕的能力；應(yīng)用到溯源領(lǐng)域，利用多種反制手段，可以提供對攻擊的精確溯源；同時(shí)，欺騙防御可以產(chǎn)出高質(zhì)量的本地威脅情報(bào)，這些情報(bào)數(shù)據(jù)可以和本地比如WAF、FW進(jìn)行聯(lián)動或者集成來提高全網(wǎng)主動防御能力。正是由于欺騙防御在多個領(lǐng)域均有著重要作用，因此未來欺騙防御技術(shù)勢必應(yīng)用也會更加廣泛。

4.2. 集合網(wǎng)絡(luò)測繪技術(shù)的計(jì)算環(huán)境仿真

誘捕環(huán)境能否有效迷惑攻擊者，關(guān)鍵還得看誘捕環(huán)境是否能仿得足夠真，較簡單的仿真環(huán)境，較容易被攻擊者識破，很難有效拖延攻擊者的攻擊行為。為了有效提升誘捕環(huán)境的仿真度，通過集合網(wǎng)絡(luò)測繪技術(shù)來對用戶網(wǎng)絡(luò)進(jìn)行測繪，基于測繪的結(jié)果來仿真出跟用戶真實(shí)網(wǎng)絡(luò)近似的誘捕網(wǎng)絡(luò)，同時(shí)，基于測繪的結(jié)果自動去優(yōu)化攻擊誘導(dǎo)策略來提高成功誘捕攻擊的概率，打造一個貼近用戶真實(shí)網(wǎng)絡(luò)，可以有效迷惑攻擊者、主動誘導(dǎo)攻擊行為的誘捕網(wǎng)絡(luò)環(huán)境，將能有效助力威脅誘捕能力的提升。

4.3. 仿真模板行業(yè)化、業(yè)務(wù)化

將仿真基礎(chǔ)能力和仿真業(yè)務(wù)能力松耦合，產(chǎn)品提供仿真基礎(chǔ)能力支撐，采用模板來管理和維護(hù)行業(yè)化、業(yè)務(wù)化的仿真業(yè)務(wù)能力；通過系統(tǒng)自動學(xué)習(xí)，或者提供直觀、簡便的接口支持用戶自定義等方式來生成仿真模板，支持通過模板實(shí)現(xiàn)仿真業(yè)務(wù)能力的共享。這樣可以大大提高欺騙防御產(chǎn)品部署時(shí)業(yè)務(wù)適配的靈活性和效率，有助于提升產(chǎn)品和行業(yè)業(yè)務(wù)的貼合度，有利于加速欺騙防御產(chǎn)品的應(yīng)用和推廣。

4.4. 溯源仍然是未來重點(diǎn)之一

傳統(tǒng)的溯源手段對攻擊者的身份信息獲取十分有限，面臨定位不準(zhǔn)、取證調(diào)查難等諸多困難。采用欺騙防御可以提供更加精準(zhǔn)的溯源手段，能夠更準(zhǔn)確的定位攻擊者的身份，為防守方提供更精準(zhǔn)的溯源能力。因此，溯源能力仍然是欺騙防御類產(chǎn)品的未來重點(diǎn)方向之一。隨著攻防對抗的演進(jìn)，所采取的溯源反制手段也需同步迭代，同時(shí)反制手段需結(jié)合用戶業(yè)務(wù)環(huán)境特點(diǎn)去定制化才能取得更好的效果，因此，投入成本相對較高，主要應(yīng)用在大中型企事業(yè)機(jī)構(gòu)和對溯源有強(qiáng)需求的場景里使用。

感謝各位的閱讀，以上就是“蜜罐新技術(shù)發(fā)展怎么樣”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對蜜罐新技術(shù)發(fā)展怎么樣這一問題有了更深刻的體會，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識點(diǎn)的文章，歡迎關(guān)注！