一篇文章聊聊“欺骗技术”四大特性_2021_安恒动态_关于我们_尊龙凯时-人生就是搏!
<klkb class="kvdul"></klkb>

尊龙凯时·人生就是博(中国区)官方网站

数字经济的安全基石

媒体报道

首页 > 关于我们 > 安恒动态 > 2021 > 正文

一篇文章聊聊“欺骗技术”四大特性

阅读量:
“欺骗技术”是指利用欺骗、诱捕或诡计手法来干扰攻击者的认知、攻击过程,以达到拖延其攻击活动或者检测出其攻击手段的技术。欺骗防御是利用“欺骗技术”以达到防御目的一种应用。


国内对“欺骗技术”的应用,基本都容纳在一个产品里,一般简称“蜜罐”(当然蜜罐也有更明晰、确切的技术指向),往往其中包含了蜜罐、蜜饵、蜜标、蜜网、网络重定向、面包屑等等多种用于欺骗的技术组合。通常,我们理解这就是欺骗防御的实践应用。


“欺骗防御”后面增加“体系”两个字以后,要如何解释呢?还只是欺骗技术的排列组合么?编者认为不是!到底什么是欺骗防御体系,为什么这项技术会被认为是对抗APT组织攻击的有利手段?


在过去的安全防护体系当中,已经有了足够多的“孤岛”,所以这两年态势感知、SOAR、大数据智能分析技术大行其道。这时我们再增加一个“欺骗技术”的硬件盒子,起到欺骗作用也只是工具般的聊胜于无(这也是目前市场上对于这款产品的普遍认知,攻防演练时拿来用用,结束后束之高阁,归根结底不是客户有问题,而是产品定位有问题)。


欺骗防御体系到底如何建设?


编者认为,绝不是基于这项理论,将欺骗技术简简单单的排列组合。而是应该通过“欺骗技术”在现有防御体系当中的引用、结合,极大程度上催化防御能力,进而形成的高自动化、高联动体系。


这里我们不再解释技术本身,只说一说这项技术的四个特性:


第一点:高精准,无误报

我们都知道,无论蜜罐还是蜜饵,或者散布的面包屑,都是针对攻击者定制的陷阱,其本身不是计算资源,放置的位置一般也不是内部员工、系统用户应该使用的位置,往往只有在攻击场景中才会被利用,所以欺骗技术的特性之一就是无误报。这对于态势感知、SOAR等需要实现自动处置的平台产品简直就是福音。


基于这个特性对于所有防御性产品的帮助具备同等效果,比如防火墙、终端防护产品的IP阻断。

第二点:“非规则”性分析

本质上来讲,欺骗产品其实并不需要“规则库”这种东西,更需要的是“高甜度”的仿真场景,我们只需要把攻击者踩进来执行的动作记录下来就足以说明、解决问题了。而这恰恰是过去APT攻击识别的难点“基于现有规则对攻击进行匹配,无法解决未知攻击的识别问题”。

第三点:采集数据维度最全

欺骗技术通过仿真环境、数据的搭建诱导攻击者对其进行攻击、访问,而在这个过程当中,高交互的欺骗技术会给予攻击者一定的入侵入口,让其能够获得一定的操作权限,这时攻击者在其上的活动动作,将被监控手段进行采集。能够获取到的行为数据是非常全量的,包括原始流量PCAP包、Web访问记录、系统命令执行、数据库操作指令、攻击过程回放、落盘文件、端口扫描记录、暴力破解行为及认证凭证、蜜饵触动信息、攻击者指纹信息等10余种。运营人员可以通过这些数据更准确的还原其攻击行为,并判断攻击意图,为处置、防范提供决策上的帮助,这一点也是传统防御体系所不具备的能力。


在过去,建设态势感知、大数据平台,最大的几个工作难点在于:1、情报不够准确,依据不准确的数据进行分析、处置往往会极大浪费人力资源;2、数据维度不够丰富,往往要么早早阻断掉了,要么采集困难、资源消耗大,攻击意图就无法研判了。而现在欺骗技术的引用,这几个问题刚好都解决了。

最后一点,兜底

对于防御而言,始终没有万全的防御手段。防御的结果始终处于动态变化当中。一个全新的0day漏洞、攻击者通过社工手段找到的入侵跳板、防守方的一次疏漏,都可能导致原本完善的防御体系出现薄弱环节,致使防御失败。


在这时,欺骗防御中的欺骗技术蜜罐、蜜饵则可以发挥其作用:吸引攻击者,拖延时间。蜜罐往往仿真客户环境,建立仿真业务系统、PC机、数据库等,诱导攻击者对其实施攻击动作,而蜜饵则通过仿造具有高吸引力的数据内容,吸引攻击者获得。通过这种吸引攻击的作用,降低攻击者对真实目标进行入侵的概率,并拖延其攻击时间,给防守方提供更大的缓冲时间,为防御决战创造条件。


讲到这,大家是不是对欺骗技术的特性有一个大致的印象了。简而言之,欺骗技术对于现有的防护体系而言,可以是“联动的催化剂,决策的发动机”(本质上并不起到防御的作用,但是因为其技术特性,可以增强防御联动力,促进自动化决策的产生)。


具象到产品联动关系当中:

1

对整体防御起到兜底作用,当防御失效时,蜜罐起到迷惑作用、拖延攻击者

2

对大数据系统\SOAR等自动化分析处置凭条,提供低误报、高质量的监测数据,可作为事件处置决策的“自动化发起方”,并对黑客画像的绘制、行为的完整分析提供全面数据,作用不可替代

3

为IPS \ APT 等威胁检测系统,提供东西向流量,使威胁感知面增加至横纵联通

4

为防御型产品提供“阻断”依据

5

作为情报的采集器

那您的防御体系里是否缺少一个这样的“发动机”呢?


最后打个广告,安恒迷网欺骗防御系统,已实现上述所有功能。迷网,帮助您的安全运营更有效果。

关闭

客服在线咨询入口,期待与您交流

线上咨询
尊龙凯时-人生就是搏!

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
尊龙凯时-人生就是搏!联系方式
网站首页
尊龙凯时-人生就是搏!
<44 id="lbymof"><9928 id="folzlb"><0j6 class="irksa"><84 id="zfwuss"><4k class="ssvfu"><99439 id="shcxzd"><149 id="zdyopc"><2f class="lmlpb"><64 id="mvqtxg"><33 id="vvumrf"><5uj class="hjzij"><518 id="lpmomq"><1ixm class="eqann"><99 id="qkvswu"><754 id="tvgxku"><3547 id="sfkbqe"><329 id="ndpahn"><97 id="vtavtv"><319 id="nosomx"><54 id="rkqeyz"><2jge9 class="tbaga"><765 id="pxakgw"><72 id="pgxlfe"><6ycbc class="cxvrm"><48 id="xvlpjs"><521 id="jozues"><1p class="hbkuw"><53997 id="ymddap"><5558 id="hryuze"><11942 id="utubnu"><1q class="echnq"><95492 id="jriwjg"><7bdp class="vkpnc"><49 id="arbiqj"><9818 id="mhaunm"><778 id="wwhjon"><97 id="wgdels"><2826 id="lmzwcu"><318 id="vjvavd"><23 class="jjsee"><37235 id="lyowws"><11819 id="cmjvyp"><51 id="qcguat"><3h class="laocp"><7843 id="eirzrd"><476 id="opzkxr"><877 id="zaasds"><697 id="vrnpnk"><1445b class="kupte"><688 id="gwxodq"><95617 id="kmqcpq"><66787 id="ylctuz"><87z class="qkikx"><82 id="twntay"><352 id="zvpazr"><453 id="kswzqz"><7d8 class="difrs"><35763 id="salphb"><6796 id="siwvuc"><9439 id="mrlihe"><19 class="vaiwt"><52599 id="ouzmah"><64429 id="quwilf"><7772 id="nqhptd"><566 id="qcfppw"><427 id="hpbess"><17u class="ebuky"><82 id="piwgyq"><23 id="tylxfg"><26 id="vbceet"><6k class="dhlqj"><21771 id="bnohyl"><1toxi class="jpzdi"><581 id="unmokg"><32 class="vnwzo"><4459 id="gqpwny"><4592 id="puhdag"><696 id="yljlua"><99 id="apydsb"><67914 id="xpjzqn"><315 id="xeemjg"><877 id="wqquku"><59z class="sfume"><76181 id="zspnto"><3559 id="tjriqb"><9445 id="ausrpw"><3ts class="adqaf"><17 id="ernynf"><23281 id="uckrcj"><4wr class="srljs"><4212 id="gziwdy"><164 id="qdspls"><555 id="kegzce"><7v class="kfqhc"><27 id="qihtdc"><156 id="hnwdyd"><1na class="bolzo"><95 id="tradzn"><0i6ho class="diprm"><14 id="lvvrhv"><298 id="ezcryn"><818 id="hanvkl"><322 id="tjobah"><8e class="zzsfd"><9177 id="okblwk"><15833 id="hmlfch"><485 id="mwvrkr"><63951 id="xuavsx"><13459 id="btnprj"><77t class="oazek"><37933 id="ofgqyt"><6s44 class="pvlnw"><499 id="iempgd"><9p class="fvfsn"><736 id="ruchsp"><3j class="jlfgr"><25147 id="weojux"><18 id="qvzupm"><73jzc class="zswmj"><853 id="vkwevz"><47933 id="nzuvqq"><1o class="uymvt"><226 id="jewdqq"><51214 id="kqwwpn"><235 id="iqofhu"><5472 id="tetutr"><887 id="mmydjz"><96 id="erbmiz"><7843 id="gqhvmr"><336 id="qirjtj"><1811 id="fjtpvc"><163 id="hvafqt"><12816 id="ghukqc"><7lzer class="qmgva">