《谭校有鸿儒》网安圆桌第六期,邀请知道创宇技术VP李伟辰及其他国内欺骗防御领域的专家,共同探讨网络攻防的欺骗防御之术。
知道创宇技术VP李伟辰在节目中阐述了知道创宇与众不同的大数据欺骗防御产品观:
欺骗防御的终极目标是为了让攻击者错失战机,知道创宇欺骗防御产品的形态、功能均源于客户的实际目标与需求,而基于知道创宇拥有的国内规模庞大的云防御平台及全球网络空间搜索引擎ZoomEye的能力,成就了知道创宇高精准、高价值的威胁情报及对网络空间资产快速的仿真能力,加之创宇云蜜罐产品独特的部署方式、独具的阻断功能,可以成就真正基于实战场景的纵深防御体系。
防护目标定义产品形态
01
云蜜罐+蜜饵,精准攻击诱导与捕获
欺骗防御产品的最终目标均是让攻击者放弃攻击的企图,但是在具体的应用场景中又有比较细致的区分,当创宇蜜罐应用在互联网侧时,更关注的其实是对攻击的感知与引导,所以云蜜罐的产品形态更加适合大规模的部署,甚至可以以行业的特征来进行大量部署来吸引APT组织攻击,进而发现APT组织的行动线索。
并且通过对攻击者的深度了解,我们可以通过散布蜜饵的方式来引导攻击,更准确的感知以自身为目标的攻击者。
02
迷阵&蜜罐,可攻可守,满足两种方向选择
当攻击者在网络边界层进行攻击试探时,从防守者的角度来看,有两种选择:
其一,消耗攻击者的精力,使其放弃攻击的意图。
其二,将其引导到高仿真的蜜罐当中,让他信以为真,做出更多的攻击动作,暴露更多的攻击信息。
在这种场景下,同样有两种产品形态进行应对:
第一种通过创宇迷阵来实现大规模的部署,往往是真实系统的十倍甚至百倍的仿真系统部署,来重塑网络空间的地形,让攻击者只要尝试探测内网,碰触的均是伪装的蜜罐系统,引发系统报警,自身无处遁形,最终放弃攻击。
另外一种希望攻击者对虚假目标进行攻击,首先可以在攻击者能力所及的范围内去设置引导信息,让攻击者一步步接近高仿真的蜜罐系统,而创宇蜜罐高度仿真的目标也是最终让攻击者相信这就是真实的系统,然后开始对真实的系统展开攻击,来暴露他所拥有的攻击工具,惯用的攻击手段等等。
03
蜜罐+蜜饵,打造深度“连环陷阱”
高仿真高交互蜜罐系统的打造,又涉及到了更多方面的深入和展开,包含了甜度的设置、数据的准备、背景流量的构建、时间的打磨,甚至可以扩展到在真实的数据中,插入更深度的蜜饵信息,来引导攻击,打造“连环陷阱”。
综合以上,可见蜜罐产品的最终形态完全是由防护目标所决定,而知道创宇也通过多种产品形态和目标侧重来满足场景化、体系化的部署需求,形成完整的纵深主动防御体系。
客户痛点决定产品功能
创宇蜜罐是参与此次访谈领域内,唯一做到自动阻断功能的欺骗防御产品,此功能的设置主要来源于客户痛点:
不要告诉我有攻击过来,不告诉我还好,告诉我了,我该怎么办呢?
所以欺骗防御,欺骗的最终目的是为了防御,而创宇蜜罐最终实现防御目的也依赖于两方面的重要能力:
01
边界阻断无误报,依赖高度精准威胁情报
知道创宇定义的欺骗防御不是某一个产品,而是一整个纵深防御体系,也是依赖于知道创宇深耕实战安全十余年的众多技术及数据积累,在边界的攻击阻断中得到最大化的体现。
目前知道创宇的高精准、高价值威胁情报来源于创宇安全智脑。
创宇安全智脑集合了为数十万关键信息基础设施提供防护服务的云防御平台、全球网络空间资产搜索引擎ZoomEye、国内知名的民间漏洞社区Seebug平台。
以及互联网侧的蜜罐攻击诱捕数据、暗网中的暗网舆情数据以及常年追踪积累的APT情报数据等等,创宇安全智脑会将以上所有数据集中实时分析,分钟级更新最鲜活的威胁情报。
创宇安全智脑威胁情报真正源于知道创宇十五年在实战安全中的积累,自2019年起,真正实现了精准性高于人工,并已经在实际应用中得到了不断的印证。
02
内部威胁感知,所有攻击行为需受控
当创宇蜜罐部署于内网之中,捕获的攻击可能是内部人员的攻击试探,也可能是被攻击者控制内网主机后,尝试对内网进行的横向渗透。
无论是何种攻击,这些攻击都应该被感知、并受控,依赖于创宇蜜罐对于威胁的精准感知,可以实现对这些攻击的实时阻断作用,这样应对内网的威胁可以做到更加明确和有效。
大数据能力成就未来纵深防御
欺骗防御技术与威胁情报具有天然的不可分割性,在实际应用中,欺骗防御技术也广泛被应用在专有威胁情报的生产中。
目前创宇蜜罐已经实现了与创宇安全智脑的双向赋能,创宇云蜜罐收集的攻击信息会集成至创宇安全智脑的威胁情报库中。
同时,创宇安全智脑的威胁情报可以向创宇蜜罐赋能,更精确的感知攻击,进行报警甚至阻断。
与此同时,作为被实战验证为非常有效的欺骗防御技术,未来会更倾向于对于更宏观场景的仿真,同时在微观上兼顾仿真的细粒度,最终实现多场景化的攻击感知、诱导及捕获、溯源等。
知道创宇专注实战攻防十五年,欺骗防御技术在攻防对抗中不断被使用并优化,最终实现标品化,对于对安全高度敏感的金融、能源、运营商等行业已经认可并在逐步普及应用,作为日常安全防御及专有威胁情报生成系统。
在网络安全建设逐渐由合规化转向能力化的今天,以云蜜罐、迷阵及创宇蜜罐产品组成的假目标欺骗与攻击诱捕处置体系产品,构建的纵深主动防御体系,一定可以在实战中更大地发挥其作用,保障各行业关键信息基础设施安全。