金融行業(yè)微蜜罐系統(tǒng)應(yīng)用思考
蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。
1. 概述
2015年,Gartner在報(bào)告《Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities》中對(duì)網(wǎng)絡(luò)欺騙技術(shù)的描述為:欺騙技術(shù)被定義為使用騙局或者假動(dòng)作來(lái)阻撓或者推翻攻擊者的認(rèn)知過(guò)程,擾亂攻擊者的自動(dòng)化工具,延遲或阻斷攻擊者的活動(dòng),通過(guò)使用虛假的響應(yīng)、有意的混淆、以及假動(dòng)作、誤導(dǎo)等偽造信息達(dá)到“欺騙”的目的。同時(shí)Gartner還描繪了基于欺騙的安全防御技術(shù)的市場(chǎng)前景,預(yù)測(cè)到2018年,將會(huì)有10%的單位使用欺騙工具或策略來(lái)對(duì)抗網(wǎng)絡(luò)攻擊。
蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。
事實(shí)上,蜜罐并非新技術(shù),而且已經(jīng)存在多年,作為一個(gè)比較“傳統(tǒng)”的安全技術(shù),其本身的價(jià)值在過(guò)去因?yàn)榈貌坏较鄳?yīng)的實(shí)際應(yīng)用而不被大多數(shù)企業(yè)用戶(hù)所重視,更多情況下,蜜罐是被安全研究人員用來(lái)捕捉攻擊而小范圍的使用和研究。
時(shí)至今日,大多數(shù)的金融單位在被動(dòng)的邊界安全防御體系上已經(jīng)趨于完善,但是近些年隨著一系列安全事件的發(fā)生,金融單位的安全管理者越來(lái)越重視和審視自身安全體系的完備性,尤其是在如何應(yīng)對(duì)APT攻擊、內(nèi)部威脅成為迫切的需求。
蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過(guò)合理的部署一些蜜罐服務(wù)或者陷阱文件,誘使攻擊者對(duì)其實(shí)施攻擊,從而可以對(duì)攻擊過(guò)程進(jìn)行捕捉和分析,推測(cè)攻擊意圖和動(dòng)機(jī),繼而對(duì)自身的安全防御系統(tǒng)進(jìn)行增強(qiáng),所以說(shuō)是一種主動(dòng)積極的安全防御手段。
2. 蜜罐技術(shù)的介紹
按照蜜罐的實(shí)現(xiàn)方式,可以將蜜罐分成被動(dòng)式的蜜罐和主動(dòng)欺騙性的蜜罐。
被動(dòng)式的蜜罐更多的是通過(guò)模擬一些服務(wù),比如是一個(gè)有漏洞的Web服務(wù)、SSH服務(wù)、RDP服務(wù)、ES等服務(wù)的蜜罐,甚至還有些被動(dòng)式的蜜罐則是通過(guò)陷阱文件、數(shù)據(jù)庫(kù)實(shí)現(xiàn)。這類(lèi)被動(dòng)式蜜罐系統(tǒng)的特點(diǎn)是需要攻擊者能夠發(fā)現(xiàn)這些服務(wù),并對(duì)這些服務(wù)實(shí)施攻擊。所以從這個(gè)角度來(lái)說(shuō),合理的布置被動(dòng)式的蜜罐系統(tǒng)就成為了關(guān)鍵。
主動(dòng)欺騙性的蜜罐系統(tǒng)則是通過(guò)模擬正常通信流量,并在通信流量中加入攻擊者感興趣的內(nèi)容,比如用戶(hù)名密碼,從而誘使攻擊者對(duì)陷阱服務(wù)系統(tǒng)進(jìn)行訪(fǎng)問(wèn),進(jìn)而發(fā)現(xiàn)攻擊者的蹤跡。主動(dòng)欺騙性的蜜罐系統(tǒng)主要用來(lái)應(yīng)對(duì)那些通過(guò)內(nèi)網(wǎng)監(jiān)聽(tīng)獲取敏感信息的攻擊者。
根據(jù)蜜罐和攻擊者之間進(jìn)行的交互,通常將蜜罐分成高交互蜜罐和低交互蜜罐。
高交互蜜罐通常模擬一個(gè)真實(shí)的或者仿真度高的系統(tǒng)環(huán)境,其優(yōu)勢(shì)是提供了真實(shí)的環(huán)境,迷惑性高,因而能夠?qū)⒐粽叩母嗟幕顒?dòng)和行為記錄下來(lái)。缺陷也是顯而易見(jiàn)的,這類(lèi)系統(tǒng)容易成為攻擊者的跳板,通常部署的點(diǎn)也不會(huì)太多,因此能夠發(fā)揮的價(jià)值也就相對(duì)有限。
低交互蜜罐則是模擬服務(wù)、陷阱文件等方式,獲取攻擊者有限的攻擊行為(通常是針對(duì)模擬的服務(wù))。通常來(lái)說(shuō),我們習(xí)慣于把低交互蜜罐成為微蜜罐,在這個(gè)方向做的蜜罐廠商基本都把微蜜罐做成了分布式,可直接部署到業(yè)務(wù)服務(wù)器或者辦公終端上。雖然可以把微蜜罐看成是對(duì)高交互蜜罐的精簡(jiǎn),但是通過(guò)合理的蜜罐隱藏技術(shù),加上部署范圍廣等特點(diǎn),微蜜罐應(yīng)用價(jià)值也是非常高。
3. 部署建議方式
如前文所述,微蜜罐可直接應(yīng)用于業(yè)務(wù)服務(wù)器和辦公網(wǎng)終端機(jī)器上。因金融行業(yè)自身特點(diǎn),通常會(huì)選擇從容易成為跳板機(jī)辦公網(wǎng)入手,一方面是直接避免了對(duì)業(yè)務(wù)服務(wù)器的干擾,另一方面應(yīng)用微蜜罐也是綜合考慮了低交互服務(wù)模擬的安全性和分布式部署的能力,用“人海戰(zhàn)術(shù)”打一場(chǎng)非對(duì)稱(chēng)的網(wǎng)絡(luò)對(duì)抗戰(zhàn)爭(zhēng)。
另外如果金融企業(yè)安全管理人員考慮在業(yè)務(wù)服務(wù)器上部署微蜜罐,有選擇的的合理部署蜜罐系統(tǒng),在最小限度的避免干擾業(yè)務(wù)的同時(shí),最大化的發(fā)揮微蜜罐的價(jià)值。金融單位可以根據(jù)自身的特點(diǎn),通常是建議在容易受到黑客攻擊的業(yè)務(wù)服務(wù)器周?chē)痛嬗泻诵臉I(yè)務(wù)數(shù)據(jù)的服務(wù)器周?chē)O(shè)置蜜罐。
4. 微蜜罐應(yīng)用價(jià)值
首先蜜罐本身的應(yīng)用價(jià)值,蜜罐不同于WAF、IPS這類(lèi)的安全產(chǎn)品,蜜罐通常能夠產(chǎn)生高價(jià)值的告警信息,甚至個(gè)人建議蜜罐在內(nèi)網(wǎng)應(yīng)用的情況下,值得企業(yè)安全管理人員深度的跟蹤每條告警信息,并完成安全閉環(huán)管理。
設(shè)置單獨(dú)的網(wǎng)絡(luò)區(qū)域,將微蜜罐模擬的服務(wù)暴露到互聯(lián)網(wǎng)上,作為企業(yè)威脅情報(bào)收集來(lái)源之一,并將這些情報(bào)反饋到防御設(shè)備上進(jìn)行積極主動(dòng)的攔截攻擊者,從而有效彌補(bǔ)被動(dòng)安全防御體系的一些不足。
【本文是51CTO專(zhuān)欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)通過(guò)51CTO聯(lián)系原作者獲取授權(quán)】
