现在市场上不缺欺骗防御类产品,本文介绍能够对不同的欺骗防御方案作出初步评估和筛选的11个问题,避免用户在眼花缭乱的营销手段下,花大价钱买回了效果微乎其微的东西。同时,供应商也可以通过这11个角度产生新的思考。
很多欺骗解决方案无法做到每个诱饵系统都是唯一的。也就是说,如果你部署了100个FTP诱饵,这100个诱饵可能会反复地指向同一个FTP服务器。但高级的欺骗方案会通过虚拟化技术提供唯一的、真实的、可定制的诱饵。有的供应商会通过仿真技术实现诱饵系统的大规模扩展,然后将攻击者的交互信息传递至真实的虚拟机。仿真系统对攻击方的吸引力与独一无二的诱饵系统相比显然相去甚远。
供应商往往会在POC中设置几个配置完美的诱饵吸引用户,但该供应商如何在成千上百的诱饵中创建虚假内容和真实应用层数据这个问题值得深究。人类大脑(特别是人才短缺的安全团队)不擅长通过人工方式创建大量虚假但可信度高的内容,而且非常容易被高级攻击者识破。
“攻击链全覆盖”是很多厂商在营销过程中都会“吹嘘”的优势之一,但用户还是应深入了解其中的具体含义。一个好的欺骗平台应该涵盖每个环节,从侦察阶段置于防火墙之前的诱饵(不会在每个随机的网络探测中被触发),到伪造的人物角色(电子邮件地址、电话号码)以及虚假数据。真正的欺骗方案绝不仅仅是部署一些网络诱饵,因此在选择欺骗方案时应该确保它是真正的全栈型平台。
如果用户单位有多个分支机构,是否会出现需要调用大量设备的情况?是否需要更改网络,创建GRE通道或V**?很多厂商会声明他们有充足的终端诱饵(实际可能并不充足),从而规避这个多地点的问题。一个好的平台应该能够实现诱饵的远程部署。
欺骗功能的实现是否依赖于大量agent在大部分终端设备上的运行?另外,部署终端功能时是否需要获取管理员权限。真正有效的欺骗技术与这两个条件完全无关。
用户应组建自己信任的测试团队,通过蓝队攻击的方式进行对诱饵的可信度进行测试与验证。这也就要求欺骗方案所提供的环境应该是像RDP、SSH这样的高交互式环境,人类攻击者(不仅是商业恶意程序)能够运行他们所喜欢的一切代码,但攻击过程中的一举一动都在欺骗工具的监控之中。
欺骗防御不仅是一项技术,更是一项实施可信的欺骗策略的完整活动。用户应充分了解目标厂商在规划、建设和管理这些活动时的实践经验。一个好厂商一般已经储备了不少实际运作的项目经验。如果你把一个欺骗平台部署在一个相对较大的网络中,很快就会受到某些传统病毒的感染(如扫描子网的传统蠕虫)。听起来不错,但这个并不是你真正想要阻止的高级威胁。因此还是应该问清楚这个欺骗平台的发展历程和成功案例。
大部分欺骗技术的支持者要么来自蓝队(模拟攻击方)要么具有威胁狩猎的工作背景。欺骗防御是目前制约攻击方的最佳方法。活跃的红蓝对抗表明该厂商非常熟悉恶意攻击者的套路,“攻击者视角”往往是决定欺骗方案是否真的能够给真实攻击者致命一击的关键。
当攻击者在内网渗透时入侵某个诱饵系统时,我们希望的结果肯定是成功入侵,然后观察攻击活动,收集威胁情报。但不排除攻击者会利用诱饵来攻击其它系统的可能性。例如,有的方案可能会采用VLAN间路由的方式,那么攻击者就有可能通过诱饵系统绕过访问控制。因此,欺骗方案中平台本身的安全性也非常重要。
另外,还应评估厂商方案中基础操作平台的安全性,确保攻击者不会破坏用于诱饵部署的主机设备。容器虚拟化也不是创建诱饵的理想方式,存在较大的安全风险,攻击者可能会通过诱饵系统提权,进而进入核心欺骗设备。
欺骗方案能够为用户提供低误报率的告警服务。但除了获取信息,欺骗方案还能为我们做什么?通过数字取证调查威胁的根本原因,并尽可能解除威胁。你的目标供应商所提供的方案是否需要通过第三方产品才能实现取证和威胁控制功能?如是,那么用户还需要购买另一个工具才能对告警作出响应。
欺骗技术的关键目标之一就是通过部署各类诱饵系统进行威胁捕获。但如果没有一个欺骗方案的整体策略,用户购买的就只是一个产品,而不是一种能力。一个真正具有长远意义的欺骗能力应该包括欺骗技术、威胁建模、完整的欺骗“故事线”、欺骗成功后的告警管理能力。用户应该明确的是你不仅购买了一项安全技术,更是为你的安全团队构建了一项全新的安全能力。
* 参考来源:smokescreen,FB小编柚子编译,转载请注明来自FreeBuf.COM