金融行業微蜜罐系統應用思考
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅,并通過技術和管理手段來增強實際系統的安全防護能力。
1. 概述
2015年,Gartner在報告《Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities》中對網絡欺騙技術的描述為:欺騙技術被定義為使用騙局或者假動作來阻撓或者推翻攻擊者的認知過程,擾亂攻擊者的自動化工具,延遲或阻斷攻擊者的活動,通過使用虛假的響應、有意的混淆、以及假動作、誤導等偽造信息達到“欺騙”的目的。同時Gartner還描繪了基于欺騙的安全防御技術的市場前景,預測到2018年,將會有10%的單位使用欺騙工具或策略來對抗網絡攻擊。
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅,并通過技術和管理手段來增強實際系統的安全防護能力。
事實上,蜜罐并非新技術,而且已經存在多年,作為一個比較“傳統”的安全技術,其本身的價值在過去因為得不到相應的實際應用而不被大多數企業用戶所重視,更多情況下,蜜罐是被安全研究人員用來捕捉攻擊而小范圍的使用和研究。
時至今日,大多數的金融單位在被動的邊界安全防御體系上已經趨于完善,但是近些年隨著一系列安全事件的發生,金融單位的安全管理者越來越重視和審視自身安全體系的完備性,尤其是在如何應對APT攻擊、內部威脅成為迫切的需求。
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過合理的部署一些蜜罐服務或者陷阱文件,誘使攻擊者對其實施攻擊,從而可以對攻擊過程進行捕捉和分析,推測攻擊意圖和動機,繼而對自身的安全防御系統進行增強,所以說是一種主動積極的安全防御手段。
2. 蜜罐技術的介紹
按照蜜罐的實現方式,可以將蜜罐分成被動式的蜜罐和主動欺騙性的蜜罐。
被動式的蜜罐更多的是通過模擬一些服務,比如是一個有漏洞的Web服務、SSH服務、RDP服務、ES等服務的蜜罐,甚至還有些被動式的蜜罐則是通過陷阱文件、數據庫實現。這類被動式蜜罐系統的特點是需要攻擊者能夠發現這些服務,并對這些服務實施攻擊。所以從這個角度來說,合理的布置被動式的蜜罐系統就成為了關鍵。
主動欺騙性的蜜罐系統則是通過模擬正常通信流量,并在通信流量中加入攻擊者感興趣的內容,比如用戶名密碼,從而誘使攻擊者對陷阱服務系統進行訪問,進而發現攻擊者的蹤跡。主動欺騙性的蜜罐系統主要用來應對那些通過內網監聽獲取敏感信息的攻擊者。
根據蜜罐和攻擊者之間進行的交互,通常將蜜罐分成高交互蜜罐和低交互蜜罐。
高交互蜜罐通常模擬一個真實的或者仿真度高的系統環境,其優勢是提供了真實的環境,迷惑性高,因而能夠將攻擊者的更多的活動和行為記錄下來。缺陷也是顯而易見的,這類系統容易成為攻擊者的跳板,通常部署的點也不會太多,因此能夠發揮的價值也就相對有限。
低交互蜜罐則是模擬服務、陷阱文件等方式,獲取攻擊者有限的攻擊行為(通常是針對模擬的服務)。通常來說,我們習慣于把低交互蜜罐成為微蜜罐,在這個方向做的蜜罐廠商基本都把微蜜罐做成了分布式,可直接部署到業務服務器或者辦公終端上。雖然可以把微蜜罐看成是對高交互蜜罐的精簡,但是通過合理的蜜罐隱藏技術,加上部署范圍廣等特點,微蜜罐應用價值也是非常高。
3. 部署建議方式
如前文所述,微蜜罐可直接應用于業務服務器和辦公網終端機器上。因金融行業自身特點,通常會選擇從容易成為跳板機辦公網入手,一方面是直接避免了對業務服務器的干擾,另一方面應用微蜜罐也是綜合考慮了低交互服務模擬的安全性和分布式部署的能力,用“人海戰術”打一場非對稱的網絡對抗戰爭。
另外如果金融企業安全管理人員考慮在業務服務器上部署微蜜罐,有選擇的的合理部署蜜罐系統,在最小限度的避免干擾業務的同時,最大化的發揮微蜜罐的價值。金融單位可以根據自身的特點,通常是建議在容易受到黑客攻擊的業務服務器周圍和存有核心業務數據的服務器周圍設置蜜罐。
4. 微蜜罐應用價值
首先蜜罐本身的應用價值,蜜罐不同于WAF、IPS這類的安全產品,蜜罐通常能夠產生高價值的告警信息,甚至個人建議蜜罐在內網應用的情況下,值得企業安全管理人員深度的跟蹤每條告警信息,并完成安全閉環管理。
設置單獨的網絡區域,將微蜜罐模擬的服務暴露到互聯網上,作為企業威脅情報收集來源之一,并將這些情報反饋到防御設備上進行積極主動的攔截攻擊者,從而有效彌補被動安全防御體系的一些不足。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
