一種基於欺騙防禦的入侵檢測技術研究
欺騙防禦(Deception)是防守者得以觀察攻擊者行為的新興網路防禦戰術,透過誘騙攻擊者和惡意應用暴露自身,以便研究人員能夠設計出有效防護措施。欺騙防禦技術可以增強甚至有可能替代威脅檢測和響應類產品(TDR),能夠提供低誤報、高質量的監測資料。因此,企業安全人員在構建自身威脅檢測能力時候,應該認真考慮將欺騙防禦技術加入其安全防禦體系中。
在傳統安全防禦認知中,防守者需要確保所有資產100%安全,而攻擊者卻只需要抓住一次機會就可以收穫成果。但是欺騙防禦技術,卻跟傳統安全模型完全相反。攻擊者除非100%正確,否則就會被“地雷”絆倒,而防守者卻幸運的多,只需要絆倒一次攻擊者就能清楚瞭解攻擊者資訊。
1。欺騙防禦工具工作原理
欺騙防禦平臺有一個集中管理系統,用來建立、分發和管理整個欺騙環境以及各個欺騙元素,主要包括工作站、伺服器、裝置、應用、服務、協議、資料和使用者等元素。雖然這些元素都是虛擬出來,但與真實資產幾乎一致,因此可被用作誘餌來吸引攻擊者。
圖1 欺騙防禦工具工作原理
1)安全團隊
安全團隊在整個過程中扮演重要角色,他們需要明確企業組織保護目標,以及監控來自欺騙工具的警報。一些成熟的企業組織除了使用欺騙防禦的常規功能以外,已經將其擴充套件到一些更復雜的場景中,比如生成本地威脅情報、威脅追蹤或主動防禦等。一旦選擇具體的使用場景,欺騙防禦技術將會透過設定一些引數來增強整體防禦技術,首先可以透過人工生產大量欺騙資產內容;其次設定儘量逼真的環境,提高欺騙的逼真度;最後將欺騙資產陷阱部署到合適位置上。
2)欺騙工具
一旦想清楚需要部署哪種型別的欺騙活動,接下來就是要生產和部署相應的“陷阱”。這些陷阱可以是虛擬“贗品”、誘餌等,常見的欺騙場景型別包括:
(1)圈套:假網路、假VLAN和假子網。
(2)誘餌:假伺服器及PC電腦。
(3)蜜罐:偽造資料、資料夾、檔案、身份或者使用者。
但是每個型別欺騙場景的複雜性是不一樣,如下圖所示:
圖2 不同型別欺騙場景複雜度
為了建立看起來既真實又可信的“假象”,欺騙防禦工具將透過檢查企業幾個資訊儲存庫,如Active、Directory、CMDB資料庫等,來了解企業正在使用的命名、擁有資產狀況等資訊。一旦構建了欺騙使用場景,欺騙防禦工具將透過其自帶的“管理系統”來管理其部署,比如透過虛擬化部署或者使用雲服務方式部署。
3)攻擊者
攻擊者通常情況會使用洛克希德·馬丁定義的“殺傷鏈”中一種方法進行攻擊。在整個攻擊過程的一些環節部署欺騙防禦產品可以暴露攻擊者。這些階段是:
(1)偵察階段:攻擊者在決定行動之前通常必須接觸和調查一個環境。例如,透過ping方式連線伺服器,可以輕鬆發現那些未打補丁的軟體版本。但是這種連通,無論它是多麼隱蔽,都不應該發生在用來欺騙的資產上。
(2)橫向移動:在這個階段,攻擊者從一個資產移動到另外一個資產。同樣,如果這個新移動資產和攻擊跳板是欺騙防禦的一部分,那麼攻擊者很快就會被發現。
(3)資料收集:在這個階段,攻擊者接近他們的目標。這時候攻擊者已經接近那些包含有價值資料的伺服器和資料夾。但是這些資料夾和文件都是假的。這時候系統可能已經發送了一個警告,通知安全團隊攻擊者正在尋找的檔案型別。
(4)遞送:這個階段指的是將攻擊武器傳輸到指定位置(例如,透過電子郵件附件、網站或USB驅動器),但是攻擊目標卻是假資產(例如VLAN中的假伺服器)。
2。欺騙防禦工具五大實踐場景
企業組織應根據其成熟度來確定哪些檢測場景與它們相關,如下圖所示:
圖3 欺騙防禦工具實踐場景
1)基礎威脅檢測
欺騙防禦最簡單使用場景是透過部署簡單的觸發感測器和正常情況下無人接觸的控制元件來提供基本的威脅檢測。
這個場景適用於中小型企業,針對企業中潛伏的威脅提供基本的警報。有的企業可能已經有SIEM產品,在這種情況下欺騙防禦工具可向SIEM提供高價值資料資訊來補充檢測覆蓋率。對於還沒有部署相關檢測工具的企業,欺騙防禦工具可能是構建有效的威脅檢測功能的第一步。
這類欺騙防禦產品雖然是低互動的、可信度也不高,但它們仍然能夠有效地檢測不成熟的攻擊者。這類場景具有以下這些特徵:
表一:基礎威脅檢測實踐場景
2)高階威脅檢測和響應
隨著攻擊者手段變得越來越複雜,儘管低互動欺騙防禦工具是可以接受的,但不得不說高可信度欺騙工具正變得越來越重要。企業可尋找那些能夠與EDR、FW、SOAR廠商的產品進行整合並且可提供高可信度欺騙工具的供應商。
高階威脅檢測和響應場景適用於那些希望在企業中啟動威脅檢測和響應功能的中小企業。中小企業通常沒有SIEM、UEBA和安全編排、自動化和響應(SOAR)等安全工具。同時,該場景它也適用於更成熟的企業組織,用來補充他們在當前企業安全檢測中不足。
由於欺騙防禦工具的誤報率非常低,企業可輕鬆地啟用自動化操作來及時阻止攻擊。例如,隔離端點或關閉防火牆中的埠,而不必將事件傳送到SIEM、SOC進行分類和響應。
提供高階威脅檢測和響應這類場景具有以下這些特徵:
表二:高階威脅檢測和響應實踐場景
3)輸出IoC和MRTI
在這個場景中,將透過仔細觀察攻擊者來了解他們的操作方式和情報,為企業提供有價值的本地威脅情報資訊。該場景更適合成熟企業機構,這些機構通常已經擁有了一個威脅情報分析小組。
這類成熟企業組織,可尋找那些能夠提供高互動和高可信度的欺騙工具,此外他們還需尋找那些能過用過觀察攻擊者行為自動或指導生成本地威脅情報的工具。整個過程包括如何組織情報(STIX),以及情報怎麼傳輸(TAXII)。
這類場景具有以下這些特徵:
表三:輸出IoC和MRTI實踐場景
4)綜合主動威脅誘捕
實施先發制人的威脅誘捕通常基於一個需要被證實的假設。例如,“是否有一個攻擊者隱藏在這裡”,或者“如果我是一個攻擊者,我將這樣工作”,或者“核實一下攻擊者是否已經在自己內網站穩了腳跟。”
一個有針對性的欺騙活動,可以發現隱藏的攻擊者,尤其是當欺騙工具提供一種不可抗拒的誘餌時候。這個場景適合非常成熟的企業組織,這些組織擁有穩定的SOC,並且希望增強安全團隊的威脅誘捕能力。
威脅誘捕通常是一種高度互動、高度動態的活動,因此需要儘量減少“獵人”的停機時間。這是一個非常有效的工具,支援持續、主動和非時間敏感的威脅追蹤。
這類場景具有以下這些特徵:
表四:綜合主動威脅誘捕實踐場景
5)主動攻擊防禦
在這個場景中,欺騙工具為防禦者構建了一個對他們有利的戰場,並將攻擊者引向該戰場。
此場景僅適合非常成熟的組織使用,這些組織具有強大的SOC,強大的威脅情報和威脅檢測功能,以及在滲透測試和其他紅藍對抗方面有豐富經驗。實際上,組織中應該可以隨時獲得構建戰場並與攻擊者進行實時戰爭的能力。
在這個場景中,企業尋找提供高互動性和高可信度欺騙工具的供應商。平臺的靈活性是關鍵,API驅動的可程式設計性也是非常關鍵。
這類場景具有以下這些特徵:
表五:主動攻擊防禦實踐場景
3。欺騙防禦技術帶來的安全價值
1)沒有大資料也能做威脅檢測
欺騙防禦工具是透過模擬“正確的資料”訪問來檢測威脅,與SIEM、UEBA或NTA等技術需要從“大資料”中發現威脅大不相同。欺騙工具採用的是正確的資料方法,而不是大資料方法。
到目前為止,威脅檢測方法主要依賴於大資料方法。這需要企業從各個角落獲得儘可能多的監測資料,並對該資料集進行儘可能的分析,以暴露潛在的威脅。事實證明,這種方法很有價值,但也付出了代價。日誌集中、日誌儲存、日誌分析都非常耗費資源。
欺騙防禦以不同的方式處理威脅檢測問題。欺騙工具將透過偽造或誘餌的形式在整個組織中部署一個欺騙防禦系統。一旦攻擊者與這些誘餌發生互動,安全人員將會收到相關攻擊者的資訊。以青藤雲安全的微蜜罐為例,就是讓主機對各埠進行監聽,從而擴大監控範圍。透過這樣消耗小而覆蓋面廣的蜜罐配置,發現駭客端攻擊行為的機率就會大大提升。
2)讓幸運的天平向防守者傾斜
在正常情況之下,防禦者需要確保100%正確,而攻擊者只需幸運地找到一個漏洞,就能在其他方面保持領先的網路安全態勢。而欺騙防禦,讓防守者更有利。例如,在偵查階段,即使大部分是離線完成的,攻擊者也需要隨機地接觸一些系統。這些輕量接觸行為,並不會觸發SIEM、UEBA警報。但是如果所接觸的任何系統有一個欺騙防禦內容,那麼攻擊就會被發現。攻擊者需要特別幸運才能達到他們的目標。
此外,對於那些儘管已經有了檢測解決方案,但仍然擔心被攻破的組織來說,欺騙可能是發現攻擊者的唯一方法。當檢測解決方案無法發現攻擊者的操作行為,或者當UEBA將攻擊者的行為存在視為正常時,部署欺騙構件可能是捕獲攻擊者的唯一方法。同樣,欺騙會讓運氣因素向防守方傾斜。
3)減少誤報讓工作更有效
按照設計,欺騙防禦鞏固在不被使用時通常是無聲的。這與大多數安全解決方案有所不同,它們旨在分析所有活動,而對好活動的任何錯誤判斷都會導致誤報。
在極少數有些情況會產生誤報,例如,漏洞管理掃描工具可能會偶然發現欺騙系統,觸控它們併產生誤報。但這可以透過在掃描工具中新增白名單地址來解決。
總的來說,欺騙工具產生的誤報比許多檢測方法要少,但代價是不完全覆蓋。將欺騙部署到所有地方成本太昂貴且不切實際,因此安全人員需要透過基於覆蓋率需求和預算的部署和操作成本來平衡欺騙系統的密度。
結束語:
本文簡單介紹了一種基於欺騙防禦的入侵檢測技術,企業可以將欺騙工具作為常規威脅檢測的替代方案,它們可以極大提高告警的質量。選擇與其TDR功能成熟度一致的場景,並識別與它們的情況相關的工具特徵。
當然,欺騙防禦技術自身仍然擁有一些侷限性。最主要的就是基礎設施覆蓋範圍。任何沒有部署欺騙控制元件的資產都不會得到對應的防護。這對於那些對環境有了解的惡意內部人員來說,他們可以進行精準的攻擊,而不需要進行隨機的、危險的偵察階段。一個組織需要權衡並接受基於可用資源的欺騙覆蓋率,特別是當它是部署的唯一威脅檢測工具時。
原文連結:
https://www。
anquanke。com/post/id/18
5986
