楔子:“夜战多金鼓,昼战多旌旗,所以变人之耳目也。”—孙子兵法
1、综述
孙子兵法云“夜战多金鼓,昼战多旌旗,所以变人之耳目也。”长久以来,欺骗一直是战争中常用的计谋之一。既然我们通常称网络安全是“一场没有硝烟的战争”,那么网络安全对抗过程中,欺骗对掌握网络安全对抗主动权同样起到着重要的作用。本文侧重于防护侧网络安全欺骗。
使用欺骗来应对那些尝试绕过阻断类安全防线的威胁,能够为网络纵深防御增加一道有效的额外防线,对协助网络威胁的发现和确认、迟滞对手的进攻有着重要作用。利用欺骗工具和手法,网络安全团队可以针对动态变化的网络威胁创建一个对实时检测有帮助的环境,持续提供网络威胁线索。牵制手法应用得当,还可以迟缓对手的进攻速度,甚至引诱他们进入歧途,远离那些有着重要价值的核心系统。
- 欺骗技术
目前常用的欺骗工具和手法包括蜜罐、蜜网,以及蜜标等:
2、蜜罐(Honeypot)
蜜罐(Honeypot)是一种服务器、计算机或网络,其实质是针对攻击者的诱饵,通常还提供分析和记录取证功能,它看起来是组织的网络或网络的组成部分。
基于蜜罐的诱饵性质及技术跟进,它具有如下特点:
- 0误报率;
- 产生较小的数据集合;
- 支持加密态告警;
- 可支持IPv6。
- 蜜网(Honeynet)
蜜网(Honeynet)是由两个或多个蜜罐组成的欺骗网络。用来保护大规模网络或包含不同复杂信息系统类型的网络。
蜜罐和蜜网是网络安全团队最早使用的欺骗的技术之一。
- 蜜标(Honeytoken)
蜜标(Honey Token)是一种用于引诱和追踪而不是用于任何常规生产目的带有特殊标记的数字实体。例如:文本文件、数据库记录、登录凭证等。蜜标具有以下特点:
- 蜜标必须是特有的,能够很容易与其他资源进行区分,以避免误报;
- 蜜标必须具有高度灵活性,可以在攻击过程的任意环节中作为诱饵进行诱导;
- 蜜标必须具有可追踪性,用于识别细粒度的攻击操作,例如:敏感信息的读取、传递和扩散等。
应用蜜标需要注意针对蜜标是否具有有效的监视和控制手段,蜜标通常不能单独使用,而是作为其他网络安全技术中的诱饵内容补充,辅助捕获特定的攻击行为。例如:
攻击者利用鱼叉式攻击—钓鱼邮件得以入侵进入内网后,他们会检查所在的系统并寻找Active Directory 凭据。如果他们获得的是Honeytoken,即用于欺骗的 Active Directory 凭据。在攻击者试图验证该凭证时,即使这时他们发现了它是个陷阱,网络安全团队也能收到有关此活动的告警,并能提取到部分信息。如果攻击者没有发现这是个陷阱,认为他们真的获得了 Active Directory的访问权限,他们会继续下一步行动,网络安全团队可以在他们尝试寻找新的目标系统进行攻击时,对他们的活动进行研究从而收集攻击者的情报,包括:工具、模式、能力等,并最终使用这些收集到的数据来增强网络安全防护能力。
需要关注的是蜜标这一概念还可以延展并广泛用于业务侧安全侦测,例如:特定的电话号码、人名等信息常用于追踪非网络技术的业务攻击。
现代欺骗技术随着云计算的应用,还形成了蜜场(Honeyfarm)技术。蜜场具有可扩展性,支持私有云、公有云和混合云环境中的用户网络和数据中心。蜜场通常将诱饵环境和监控模块集中在一个固定的节点或网络中,以实现对物理设备的管理维护和数据集中分析。为降低运营成本和运维难度,减少真实诱饵节点部署数量,可以采用将轻量级的代理部署在网络的任意节点中,对代理节点处的网络流量进行判别和转发,将网络攻击重定向至蜜场。
一个良好的欺骗系统,可以支持OSI模型第2-7 层任意一层的欺骗定制;支持虚拟化技术;支持私有数据中心、私有云、共有云和混合云模式。同时,它还支持自我修复功能,在完成分析后,可以安全地摧毁受感染的环境,并重建自身,为迎接下一次攻击做准备。良好的欺骗系统还可以 与C&C 服务器交互,以便了解攻击者的方法和意图等信息。
由于欺骗解决方案仅采用与平台的实际业务交互需求作为提供告警的基础支撑依据,因此有着超低误报的优点,某些时候也可以称之为0误报。其告警的关联信息可以作为失陷指示器(Indicator of Compromise,简称IOC)体系纳入网络威胁管理系统中,与其他防护、检测系统协同,阻断网络攻击或提升网络威胁发现能力。
3、欺骗系统交互仿真度量
为了评估欺骗技术和手法,我们引入交互仿真度(简称:交互度)的概念对其进行度量。交互仿真度是指攻击者在对目标系统进行攻击时模拟系统所给出的反馈信息与真实系统的匹配程度,相似程度越高则称交互仿真度越高,反之称为交互仿真度低。目前常用低交互和高交互两个等级对欺骗能力进行定性分级。由于全面测试交互仿真存在一定技术难度,因此推荐采用抽样法评定模拟系统的交互仿真度,即
交互仿真度=(反馈信息与真实系统一致数量/抽样总数)*100%
而采用真实操作环境则仿真度为1。用于交互仿真度量的抽样需满足随机样本抽样模型。
采用真实操作环境比交互仿真具有更好的真实性,其交互反馈完全符合目标系统应该给出的响应,采用真实系统的解决方案可以通过“Golden Image”进行加载,提供与组织所拥有的业务环境几乎没有差别的欺骗环境。采用真实操作环境部署欺骗环境需关注次生风险和运维复杂度。
4、欺骗技术应用方法
作为防守方网络安全团队,在拥有了欺骗系统后,应用欺骗技术的方法也至关重要。熟练应用欺骗技术的方法可参考OODA模型(Observe-Orient-Decide-Act,又称为鲍以德模型,由John Boyd提出)。OODA模型提出了观察、判断、决策、行动闭环。
如上图所示,OODA的闭环执行如下:
- 结果与环境包含网络安全团队所部署的欺骗系统与防护目标;
- 通过观察,获取攻击者的入侵数据;
- 针对入侵进行研判,形成威胁事件情报;
- 决策者利用威胁事件情报进行决策,制定行动计划,例如:改变欺骗策略,配合其他阻断、牵制策略等;
- 执行行动计划,攻防环境产生变化将影响攻击者的下一步行动;
- 馈环进入下一个OODA循环。
在真实环境中OODA循环可能会是若干的独立OODA模型的组合,直至一个对抗结束,如下图所示:
OODA循环要求网络安全团队能够动态的管理对抗现场的欺骗系统,有效的利用自动化技术快速部署和转换欺骗场景。这里需要注意的是,OODA是以情报为中心进行运作的。
5、欺骗应用能力度量
随着欺骗技术的产品化,采用欺骗技术的网络安全团队也随之成熟。因此,需要定义衡量一个网络安全团队应用欺骗技术的能力的模型,以推动欺骗技术应用能力的持续提升。
欺骗技术应用能力度量与产品交互仿真度量具有完全不同的特点,举例来说:假设通常能够避免落入低交互陷阱或者快速识别低交互陷阱的攻击者水平要高于那些掉入低交互陷阱的攻击者。在对抗中应用一个低交互系统,可以帮助网络安全团队快速的识别出攻击者的水平。因此欺骗技术应用能力与产品仿真度的度量同样重要。
提到技术应用能力,基于CMMI的成熟度模型被广泛应用于各种过程领域,也广为网络安全团队所熟知。因此,在这里我们将采用技术能力作为另外一个维度进行度量补充。可以这样来理解二者的不同,大家都看过奥运会的射击比赛,那么为什么同一只枪,在不同的运动员手里会打出不同的成绩,即使他们属于同一个参赛队,有着相同的教练和相同的训练方法?相同的训练方法如同CMMI的成熟度模型,它可以保障具有同样天赋的运动员能够打出同样级别的分数,也能够保障同一个运动员在不同的比赛中保持其相应的水准。但是,即使是有天赋的运动员也需要日复一日的训练,才能够保障其技术的发挥,他们也会经历不同的技术能力阶段。
欺骗能力应用可分为如下阶段:
- 入门阶段:能够按照操作指南熟练操作欺骗系统;
- 掌握阶段:能够参考欺骗系统的产品说明编制和验证操作指南;
- 熟练阶段:熟练掌握欺骗系统的操作,在多数时间内能够根据决策进行快速部署,掌握欺骗系统的自动化技巧,可利用脚本对欺骗系统进行管控;
- 高级阶段 :深刻理解欺骗系统,可以针对攻击场景自主设计欺骗环境,调整产品的功能;
- 超越阶段:能够基于期望场景自定制产品。
笔者认为,高级阶段目前是大多数网络安全团队所追求并可以达到的阶段,而超越阶段则称为网络安全团队的目标,如同我们所举奥运选手的例子一样,实现这一目标需要有天赋且全情投入的选手。
6、红队
欺骗系统在实战中制胜的关键是获得足够的检验,因此采用红队进行验证是欺骗系统的必由之路,其目的是为了验证欺骗系统的能力和网络安全团队应用欺骗系统的能力。建议红队独立运作,以避免镜像思维带来的思维死角;红队需具备假想对手的同等能力。
红队欺骗术(基于合规,略)
7、小结
鉴于现代网络呈现出的网络无边界化、网络攻击复杂化、网络攻击快速化、新网络攻击技术更迭周期缩短化等趋势,采用欺骗作为网络安全补偿,可为检测出攻击完成和造成损害前的网络入侵做出关键贡献。
通过应用欺骗技术和手法,组织可以有效提高应对网络威胁的主动性和能力。当阻断类系统出现罅隙而被突破时,欺骗系统的适时介入可以为组织提供补偿性安全措施,利用陷阱吸引攻击者入侵,从而保护关键信息和知识产权资产。
参考文献:
- Honeypots: Catching the Insider Threat
- Deception: Counterdeception and Counterintelligence
- Why Credential-based Deception Used Alone is Not Enough
- Today’s deception technologies abandon reliance on known attack patterns and monitoring and use advanced luring techniques and engagement servers