当你发现自己正在遭遇黑客攻击,你是否想到佯装被骗,将计就计来迷惑甚至反击黑客?
举个例子吧!
赤壁之战前夕,周瑜佯装醉酒,故意让曹操派来的间谍蒋干盗走一封降书,让曹操错杀了曹瑁、张允两位将领,不费一兵一卒就除掉了自己的眼中钉。
这个“蒋干盗书”的历史典故如果发生在当今网络攻防的环境下,情节可能是这样:
曹氏集团派出黑客蒋干成功渗透到竞争对手东吴集团内部,成功拿到东吴集团高管的邮箱权限。
根据邮件透露,曹氏集团的核心技术骨干蔡瑁、张允曾多次和东吴集团通信,出卖核心技术资料。
情报传回曹氏集团后,蔡、张二人很快被当做“内鬼”处理,被冤枉的二人心生怨恨,于是跳槽到东吴集团。而事实情况却是,那封邮件是东吴集团的网络高手周瑜伪造,故意放出来给攻击者的 “蜜饵”。
周瑜发现黑客入侵后,没有选择一味的防御,而是主动出击设置陷阱将计就计,最终用很小的代价就挖到了对手的两位核心技术骨干。
欺骗防御有哪些优势
而事实上,在如今的商业甚至国家网络安全层面的网络攻防中,诸如此类的“防御者诡计”,早已经被用得淋漓尽致,
在小编看来,与其把欺骗防御作为一门技术,更不如称之为一种应对策略。欺骗防御相较于传统的被动式防御,是一种更为积极主动的防御方式,它的优势主要体现在三个方面:
1. 可以发现网络攻击:对于一个网络攻击,及时的发现它是非常重要的,而网络欺骗可以帮助防御者发现正在进行的攻击,甚至是潜在的攻击。
2.可以“黏住”网络攻击:通过迷惑攻击者,达到消耗对方时间精力,从而为后续的防御工作留下时间,或者迫使对方放弃此次攻击。
3. 可以溯源和反制:通过欺骗来让对方暴露自己的攻击意图和攻击手段,最终可以溯源取证和采取反制措施。
三大关键技术的区别
“欺骗防御”这个术语从去年开始才逐渐流传开来,所以很难讲清这些解决方案与其他试图诱骗攻击者的工具——比如沙箱和蜜罐,到底有什么区别。
a、沙箱
几乎自网络和第三方程序出现起,对网络流量和程序的分析需求就一直存在。上世纪70年代,为测试人工智能应用程序而引入的沙箱技术,能令恶意软件在一个封闭的环境中安装并执行,令研究人员得以观测恶意软件的行为,识别潜在风险,开发应对措施。
当前的有效沙箱基本都是在专用虚拟机上执行。这么做可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件。安全研究人员会在分析恶意软件时采用沙箱技术,很多高级反恶意软件产品也用沙箱来根据可疑文件的行为确定其是否真的是恶意软件。因为现代恶意软件大多经过模糊处理以规避基于特征码的杀软,此类基于行为分析的反恶意软件解决方案就变得越来越重要了。
大多数公司企业无法像专业研究人员或供应商一样以一定的专业技术水平执行恶意软件分析。小公司通常会选择部署沙箱即服务,从已经实现了自动化整个沙箱检测过程的供应商那里收获沙箱技术的各种益处。
b、蜜罐
蜜罐和蜜网就是为诱捕攻击者而专门设置的脆弱系统。蜜罐是诱使攻击者盗取有价值数据或进一步探测目标网络的单个主机。
1999年开始出现的蜜网,则是为了探清攻击者所用攻击过程和策略。蜜网由多个蜜罐构成,常被配置成模拟一个实际的网络——有文件服务器、Web服务器等等,目的是让攻击者误以为自己成功渗透进了网络。但实际上,他们进入的是一个隔离环境,头上还高悬着研究人员的显微镜。
蜜罐可以让研究人员观测真实的攻击者是怎么动作的,而沙箱仅揭示恶意软件的行为。安全研究人员和分析师通常就是出于观测攻击者行动的目的而使用蜜罐和蜜网。关注防御的研究人员和IT及安全人员可以运用此信息,通过注意新攻击方法和实现新防御加以应对,来改善自家企业或组织机构的安全状况。蜜网还能浪费攻击者的时间,让他们因毫无所获而放弃攻击。
经常受到黑客攻击的政府机构和金融公司可以从蜜网中收获良多,但蜜网技术同样适用于中大型公司企业。根据业务模型和安全状况,一些中小型企业也可以从中获益,但今天的大多数中小企业尚不具备能够设置或维护蜜罐蜜网的安全专家。
c、网络欺骗
网络欺骗的核心概念最早是普渡大学的 Gene Spafford 于1989年提出的。有些人认为这一概念或多或少指的就是现代动态蜜罐和蜜网,基本上,他们的理解是正确的。
以上三种安全技术在预防与分析领域各司其职。从较高层次上看,沙箱允许恶意软件安装并运行以供观察其恶意行为;蜜罐和蜜网关注分析黑客会在自以为已被渗透的网络上干些什么;欺骗防御则是更新的高级入侵检测及预防设想。欺骗技术提供更为真实的蜜网,易于部署且能给用户提供更多信息,但需要更多的预算和更高的专业技能要求,通常只能在大企业中应用,至少现在其用例还仅限制在大企业里。
END
超级科技网络安全团队认为,世间万事万物,道理总是相通,有人说商场如战场,有人说官场如战场,而网络世界也是一片充满谋略、尔虞我诈的战场,而网络欺骗技术和古代战争中的计谋也并不区别。策略还是那些策略,兵法还是兵法,只是实施的地点从一个战场转移到另一个战场罢了。
欺骗防御作为一个新的术语,将逐渐在网络攻防中扮演越来越重要的位置。且能够基于所捕获的数据为检测和防御实现提供更高的自动化程度。
——超级科技
QSY
· 技术大牛都在这里 ·
Hi,我是奇速盾
从现在开始
我的每一句话都是认真的
如果,你被攻击了
别打110、119、120
来这里看着就行
领取专属 10元无门槛券
私享最新 技术干货