金融行業微蜜罐系統應用思考
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過佈置一些作為誘餌的主機、網路服務或者資訊,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,瞭解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防禦方清晰地瞭解他們所面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
1. 概述
2015年,Gartner在報告《Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities》中對網路欺騙技術的描述為:欺騙技術被定義為使用騙局或者假動作來阻撓或者推翻攻擊者的認知過程,擾亂攻擊者的自動化工具,延遲或阻斷攻擊者的活動,通過使用虛假的響應、有意的混淆、以及假動作、誤導等偽造資訊達到“欺騙”的目的。同時Gartner還描繪了基於欺騙的安全防禦技術的市場前景,預測到2018年,將會有10%的單位使用欺騙工具或策略來對抗網路攻擊。
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過佈置一些作為誘餌的主機、網路服務或者資訊,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,瞭解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防禦方清晰地瞭解他們所面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
事實上,蜜罐並非新技術,而且已經存在多年,作為一個比較“傳統”的安全技術,其本身的價值在過去因為得不到相應的實際應用而不被大多數企業使用者所重視,更多情況下,蜜罐是被安全研究人員用來捕捉攻擊而小範圍的使用和研究。
時至今日,大多數的金融單位在被動的邊界安全防禦體系上已經趨於完善,但是近些年隨著一系列安全事件的發生,金融單位的安全管理者越來越重視和審視自身安全體系的完備性,尤其是在如何應對APT攻擊、內部威脅成為迫切的需求。
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過合理的部署一些蜜罐服務或者陷阱檔案,誘使攻擊者對其實施攻擊,從而可以對攻擊過程進行捕捉和分析,推測攻擊意圖和動機,繼而對自身的安全防禦系統進行增強,所以說是一種主動積極的安全防禦手段。
2. 蜜罐技術的介紹
按照蜜罐的實現方式,可以將蜜罐分成被動式的蜜罐和主動欺騙性的蜜罐。
被動式的蜜罐更多的是通過模擬一些服務,比如是一個有漏洞的Web服務、SSH服務、RDP服務、ES等服務的蜜罐,甚至還有些被動式的蜜罐則是通過陷阱檔案、資料庫實現。這類被動式蜜罐系統的特點是需要攻擊者能夠發現這些服務,並對這些服務實施攻擊。所以從這個角度來說,合理的佈置被動式的蜜罐系統就成為了關鍵。
主動欺騙性的蜜罐系統則是通過模擬正常通訊流量,並在通訊流量中加入攻擊者感興趣的內容,比如使用者名稱密碼,從而誘使攻擊者對陷阱服務系統進行訪問,進而發現攻擊者的蹤跡。主動欺騙性的蜜罐系統主要用來應對那些通過內網監聽獲取敏感資訊的攻擊者。
根據蜜罐和攻擊者之間進行的互動,通常將蜜罐分成高互動蜜罐和低互動蜜罐。
高互動蜜罐通常模擬一個真實的或者模擬度高的系統環境,其優勢是提供了真實的環境,迷惑性高,因而能夠將攻擊者的更多的活動和行為記錄下來。缺陷也是顯而易見的,這類系統容易成為攻擊者的跳板,通常部署的點也不會太多,因此能夠發揮的價值也就相對有限。
低互動蜜罐則是模擬服務、陷阱檔案等方式,獲取攻擊者有限的攻擊行為(通常是針對模擬的服務)。通常來說,我們習慣於把低互動蜜罐成為微蜜罐,在這個方向做的蜜罐廠商基本都把微蜜罐做成了分散式,可直接部署到業務伺服器或者辦公終端上。雖然可以把微蜜罐看成是對高互動蜜罐的精簡,但是通過合理的蜜罐隱藏技術,加上部署範圍廣等特點,微蜜罐應用價值也是非常高。
3. 部署建議方式
如前文所述,微蜜罐可直接應用於業務伺服器和辦公網終端機器上。因金融行業自身特點,通常會選擇從容易成為跳板機辦公網入手,一方面是直接避免了對業務伺服器的干擾,另一方面應用微蜜罐也是綜合考慮了低互動服務模擬的安全性和分散式部署的能力,用“人海戰術”打一場非對稱的網路對抗戰爭。
另外如果金融企業安全管理人員考慮在業務伺服器上部署微蜜罐,有選擇的的合理部署蜜罐系統,在最小限度的避免干擾業務的同時,最大化的發揮微蜜罐的價值。金融單位可以根據自身的特點,通常是建議在容易受到黑客攻擊的業務伺服器周圍和存有核心業務資料的伺服器周圍設定蜜罐。
4. 微蜜罐應用價值
首先蜜罐本身的應用價值,蜜罐不同於WAF、IPS這類的安全產品,蜜罐通常能夠產生高價值的告警資訊,甚至個人建議蜜罐在內網應用的情況下,值得企業安全管理人員深度的跟蹤每條告警資訊,並完成安全閉環管理。
設定單獨的網路區域,將微蜜罐模擬的服務暴露到網際網路上,作為企業威脅情報收集來源之一,並將這些情報反饋到防禦裝置上進行積極主動的攔截攻擊者,從而有效彌補被動安全防禦體系的一些不足。
【本文是51CTO專欄作者“綠盟科技部落格”的原創稿件,轉載請通過51CTO聯絡原作者獲取授權】
ofollow,noindex" target="_blank">戳這裡,看該作者更多好文