兵者詭道也 想騙過黑客你還得靠它們才行!
【PConline 雜談】“兵者,詭道也”,講的是利用千變萬化的方法制造玄虛迷惑敵人,從而打亂敵人的戰略思想和攻擊意圖,而這恰恰也是網路安全領域的真實寫照。尤其是近年來,安全事件頻發形勢日益嚴峻。面對多樣且隱蔽的攻擊手段,如何防禦?答案就是主動防禦迷惑敵人。那麼問題來了,同是防禦技術,你能分清蜜罐、沙箱和網路欺騙之間的區別嗎?
何為蜜罐技術?
蜜罐和蜜網是為誘捕攻擊者而專門設定的脆弱系統。其中,蜜罐技術(Honeypot)通過佈置一些作為誘餌的主機、網路服務或者資訊,誘使攻擊者對其實施攻擊,從而捕捉和分析攻擊行為,瞭解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防禦方清晰地瞭解他們所面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
蜜網則是在蜜罐技術上,逐漸發展起來的一個新的概念,可將其稱為誘捕網路。蜜罐技術實質上還是一類研究型的高互動蜜罐技術,其主要目的是收集攻擊者的資訊。與蜜罐技術不同的是,蜜網構成了一個攻擊者誘捕網路體系架構,在此架構中,可以包含一個或多個蜜罐,同時保證網路的高度可控性,以及提供多種工具方便對攻擊資訊的採集和分析。
作為一個包含漏洞的誘騙系統,蜜罐可以通過“偽裝”迷惑甚至誘捕攻擊者,從而保護伺服器。此外,由於蜜罐並沒有向外界提供真正有價值的服務,因此所有對蜜罐的嘗試都是十分可疑的;蜜罐的另一個用途,就是拖延攻擊者對真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。可以說,蜜罐就是誘捕攻擊者的陷阱,坐等“飛蛾撲火”。
什麼是沙箱?
注意!此沙箱非彼沙箱。現實世界中的沙箱,是能給孩子們帶來歡樂的工具,而我們這裡所說的沙箱(Sandbox),則是一個虛擬系統程式,能令惡意軟體在沙箱這個封閉環境中安裝並執行,安全研究人員可以觀測該惡意軟體的行為,識別潛在風險並開發應對措施。
目前,有效的沙箱基本都執行在專用的虛擬機器上。其好處在於,這樣可以在與網路隔離的主機上用多種作業系統安全地測試惡意軟體,更安全。通常,研究人員會在分析惡意軟體時選擇沙箱技術,很多高階的反惡意軟體產品,也是用沙箱根據可疑檔案的行為確定其是否是真的惡意軟體。
網路欺騙又是什麼?
最後,我們再來說說什麼是網路欺騙。近年來,在與攻擊者不斷周旋的過程中,一種有效的資訊保安技術正在進入人們的視野,那就是網路欺騙。即讓攻擊者相信資訊系統存在有價值的、可利用的安全弱點,並具有一些可攻擊竊取的資源(偽造或不重要的資源),將攻擊者引向這些錯誤的資源,是一種主動防禦技術。
一個完美的網路欺騙,甚至可以使攻擊者感到他們不是很容易地達到了期望的目標,並使其相信入侵取得了成功。一般,其通過隱藏和安插錯誤資訊等技術手段得以實現,例如我們上面所說的蜜罐技術,就是最早採用的網路欺騙手段。此外,還有空間欺騙技術和網路資訊迷惑技術等。
從網路安全防護角度來看,網路欺騙技術作為一種主動式安全防禦手段,可以有效對抗網路攻擊。網路欺騙防禦技術在檢測、防護、響應方面都能起到作用,起到發現攻擊、延緩攻擊以及抵禦攻擊的作用。