蜜罐如何在攻防演練中戰術部防?
蜜罐是一種軟件應用系統,用來稱當入侵誘餌,引誘黑客前來攻擊。攻擊者入侵后,通過監測與分析,就可以知道他是如何入侵的,隨時了解針對組織服務器發動的最新的攻擊和漏洞。
在開始閱讀這篇文章之前,請先仔細看看以下幾個問題,如果它們剛好是你關心的,請繼續下面的文章內容。
- 你是否除了需要知道是否有入侵,還需要知道對方的目標是什么?軌跡是什么?行為是什么?工具是什么?
- 比較而言,攻防演練快速反應場景下,你是更希望得到“大而全的數據”,還是“對的數據”?
- 傳統攻防中,防守者要100%聚精會神,而攻擊者只需要幸運一次……你希望延續這個局面,還是反轉這個局面?
- 你是否直覺上認可蜜罐的價值,然而卻依然覺得其歷史和復雜性有那么一丟丟讓你猶豫,而保持觀望態度?
正文
網絡攻防演練活動以模擬真實攻擊為重要標準,對參與演練單位的各類系統進行滲透,通過設定演練規則,根據統計攻擊和防守方得失分情況,判定防守方防護能力水平。在這個過程中,防守方對攻擊方是誰、從哪里發動攻擊、用何種手段均一無所知,處于“攻防不對稱”下的天然劣勢。
本次我們將以某個行業開展的攻防演練活動為示例,從防守方的視角,看其怎樣利用欺騙偽裝技術,實現主動對抗,及時誘捕、發現、處置、溯源,甚至反制攻擊者。
在該次攻防演練活動中,十數支攻擊隊伍組成藍軍,對全國分支機構和直屬單位的互聯網信息系統進行模擬攻擊。本次由藍軍對參與演練單位的各類系統發起挑戰,不限制攻擊路徑。
戰術1——知己知彼
分析攻擊者的攻擊路徑,制定戰術布防策略。
通常情況下,攻擊者會在攻擊前期對目標信息系統進行全面的信息收集,以期望找到處于嚴控防護手段之外的站點或路徑,利用漏洞獲取Web服務器權限,或者采用0day攻擊、社會工程學、物理入侵等手段突破或繞過邊界防護,進入內網。
攻擊者常利用的突破口多為對外開放的站點、服務上存在的漏洞、未經嚴格控制而開放的測試站點等。防守方應當提前分析自身網絡特性,找到攻擊者最可能“光顧”的區域,加強防護的同時,在相應區域內的關鍵信息節點部署蜜罐,使攻擊者在信息收集階段受到干擾,進而誘導攻擊者對蜜罐發動攻擊。
根據分析,該行業的互聯網應用均部署在互聯網大區中,攻擊者從互聯網應用突破的路徑在該區域。因此,偽裝欺騙系統最終決定部署在該區域中。
戰術2——監察敵情
網絡異常行為監測,分析攻擊者攻擊意圖。
攻擊者在進行信息收集時,會借用各類掃描工具向目標資產發送探測請求,進行信息收集。這些由探測工具發送的各類探測包,屬于異常網絡行為,這些探測行為背后,醞釀著各類可能發生的攻擊動作。因此,防守方應監測網絡中的異常網絡行為,包括任意端口探測、Ping探測、ARP探測等。
蜜罐進程級的監控能力,能夠監控和記錄攻擊者進入蜜罐后的所有動作進行。Web類的蜜罐還可識別和記錄攻擊者使用的攻擊方法和攻擊載荷,可作為判斷攻擊者意圖的重要依據。
防守方將由蜜罐收集的信息匯總至欺騙偽裝平臺,由平臺進行統一分析,根據攻擊者的攻擊意圖戰略調整監控防御節點,做到因“敵“制宜。
戰術3——誘敵深入
蜜罐高度模擬真實資產,誘導攻擊者進入欺騙偽裝系統。
對于防守方,如何在敵暗我明的情況下盡量爭取主動權,搶占先機呢?答案是采用主動誘捕戰術。
主動誘捕主要作用于演練活動啟動前2-3天內,此時攻擊方正廣泛收集目標資產信息,防守方的目標是污染攻擊方掌握的資產情報,并誘導攻擊者優先訪問偽裝探針節點。
探針節點的作用包括兩部分,首先是監測探針所部署網絡中的掃描探測行為,其次是通過綁定蜜罐將蜜罐服務映射至所部署網絡中。因此,探針節點應盡可能覆蓋核心區域的C類網段或VLANs,可部署在虛擬機或專用硬件設備中。
主要戰術動作有:
(1) 制作具有真實性和迷惑性的Web蜜罐。
(2) 將仿真Web蜜罐、通用Web蜜罐綁定至若干探針節點,通過地址轉換、域名綁定等措施將探針節點發布至互聯網。
- 通過地址轉換(NAT)設備,將探針節點服務映射到公網。
- 通過四層和七層協議的負載均衡設備,通過端口映射或反向代理將探針節點服務發布到公網。
(3) 在代碼平臺、文庫、安全論壇、社交網絡分撒探針節點的互聯網地址作為誘餌。
主動誘捕戰術執行時應注意以下幾點:
- 防守方應早于演練啟動前,發布互聯網探針節點,并進行充分測試。
- 仿真蜜罐應保證真實性和誘惑性。
- 為提升真實性,應避免使用系統服務和缺陷偽裝服務蜜罐。
- 蜜罐被觸發后,應及時處理告警信息,并根據攻擊方動態調整蜜罐配置,必要時下線蜜罐,避免攻擊者發現蜜罐后,為掩蓋自己身份,將蜜罐地址隨意分發,誘導無關人員訪問,污染蜜罐告警數據。
戰術4——強強聯合
將WAF識別的可疑信息聯動至蜜罐,由欺騙偽裝平臺實現分析研判。
攻防演練中WAF作為Web應用的重要防線,能夠識別出大部分攻擊行為,為獲取更多攻擊者信息,本次演練中,防守方設定WAF與欺騙偽裝平臺進行聯動,將可疑訪問轉發至蜜罐中,采集攻擊者信息。
戰術動作如下:
- WAF應具備自定義攔截頁面和重定向能力。
- WAF檢測策略應進行優化,盡可能消除誤報,避免將正常請求重定向至蜜罐。
- 攻擊者觸發WAF攔截策略后,將被重定向至攔截頁面,攔截頁面具備溯源能力,攻擊者信息會傳遞至欺騙偽裝平臺后臺。
WAF聯動戰術執行時應注意以下幾點:
- WAF檢測策略應能保證較低的誤報率。
- 避免在訪問量較大的系統使用該戰術。
戰術5——定位溯源
欺騙偽裝平臺收集匯總信息,分析繪制攻擊者畫像。
攻防演練活動中,防守方對攻擊方行為、遺留文件、身份信息等進行分析和判斷,并向指揮部報告,可獲得加分。因此,防守方在發現和研判攻擊事件時,應能采集和記錄攻擊行為和身份信息。
在經過主動誘捕和WAF聯動戰術的后,已基本完成攻擊者的信息采集,收集到的信息可支撐對攻擊者的追蹤和溯源,從而對攻擊態勢進行研判。該戰術依賴情報的完善程度,根據獲取到的攻擊者信息不同,追蹤溯源動作包括IP信息溯源和社交信息溯源。
(1) IP信息溯源
欺騙偽裝平臺獲得攻擊者IP后,可從以下幾個方面對攻擊者進行畫像:
根據上述查詢方法,可以對某個IP進行多維度的信息查詢,通過關聯人員、地址、注冊單位、郵件、域名關鍵字等信息,可對攻擊IP進行畫像,進而參考社交信息溯源進一步管理分析,可將攻擊者定位至自然人、單位組織。
(2) 社交信息溯源
欺騙偽裝平臺能夠抓取攻擊者社交賬戶信息,下面介紹一種基于已知社交身份信息進行信息關聯查詢和整合分析的方法,僅限于攻防演練中防守戰術使用,不得違反相關法律規定,危害公民隱私信息。
常見社交賬戶信息包括以下內容:
關聯查詢方法包括:
- 訪問其社交網站,檢測有無個人信息泄露。
- 利用支付平臺,查詢其真實姓名。
- 利用通信平臺,添加好友,套取信息。
- 利用其注冊昵稱,查詢在其他站點同名注冊者。
- 將各平臺獲取的信息整合,完整拼湊出自然人畫像。
戰術6——乘勝追擊
通過對攻擊者行為日志的紀錄,定位敵人實現技術反制。
此戰術僅限在攻防演練活動中使用,不得違反相關法律規定對未授權目標進行探測和掃描。
技術反制措施包括反向掃描攻擊IP、利用蜜罐服務定向魚叉攻擊入侵攻擊者,最終實現對其技術反制的目標。參考戰術動作如下:
(1) 反向掃描:
防守方發現攻擊IP后,通過IP查詢確定其是否為惡意IP,使用掃描器對目標進行探測,判斷攻擊IP下的資產類型,若發現目標存在漏洞且具備肉雞特征,可上報裁判組并報警處置。
(2) 反向魚叉:
防守方在主動誘捕階段,通過在虛擬專用網蜜罐、郵箱蜜罐中放置包含木馬程序的文件或可執行程序,通過提示下載、包含敏感信息等模式誘導攻擊者下載,若攻擊者在本地環境運行該文件后,防守方可對攻擊方本地信息進行收集,上報裁判組并模擬報警處置。
總結
盡管欺騙偽裝類產品,目前依然存在不能覆蓋全網架構和部分內部員工熟悉內部環境等局限性,但在日常安全運維中,如果你面臨安全人手不足的情況,它是一個和其他安全產品形成互補的很好的選項;尤其中小企業中,蜜罐產品應成為主要的一個安全防護工具,它可以幫助你記錄很多有價值的數據和高質量的預警。
