(一)介绍
根据系统被攻击的数量、频率和损害的数量,明显的,攻击者是有优势。同样显而易见的是,组织为防止攻击行为而采取的行动并不总是有效,安全投投资对减缓攻击者几乎没有影响。攻击者的优势之一,是他们可以轻松地创建一个准确的目标地图,并利用它来遍历敏感系统。另外,大多数防守方式都是被动的,这意味着他们等待攻击者进行第一步。
为了抵御进攻,组织需要使用同样的隐身和欺骗手段。不能让攻击者轻松找到大量攻击的目标,试着想象,假如为攻击者提供了一个非常现实但虚假的景象,包括不正确的网络路线图,应用程序和漏洞,如果路线图上的每个网络和每个系统都有陷阱,这是欺骗(deception)的核心:为攻击者提供虚假的现实感,并夺回优势。
在本文中,我们探讨了如何通过虚拟网络(illusive networks’)实施欺骗技术。使用模拟场景,我们详细介绍了欺骗技术在现实世界中的作用,为防御者提供了优势。
在测试本产品时,我们知道欺骗(deception)已经部署,我们去发现它。相反,虚幻的网络技术(illusive
networks)首先发现了我们(我们模拟的是恶意行为者),并监督我们的一举一动。无论攻击者做什么或尝试做什么,他们将无意中访问并触发虚幻欺骗(an
illusive deception),并在攻击者开始攻击时就进行监控。
(二)使用欺骗技术的好处
如果你认为你在过去一年没有受到攻击,那是自欺欺人。正如多个SANS调查指出的那样,攻击正在发生,只是你没有找对地方。这就是为什么组织可以被攻击两到三年的时间,而没有发现攻击者
-因为攻击者是隐身的,有针对性的,以数据为重点的,并绕过大部分当前部署的安全技术。
欺骗(Deception)提供了双重优势:
•它提供了许多额外的目标,使攻击者节奏减慢,使得他们更难以攻击关键资源。
•它不仅能给予防护者更多的时间回应,还可以对对手进行详细的监控,以确切了解他们正在做什么,他们的工作以及如何阻止他们。
这两个优点也是安全的最终目标:及时发现威胁并最大限度地减少损害。
典型攻击的剖析
虽然攻击有许多变化和风格,但大多数都是通过终端开始,特别是用户终端,然后通过系统横向扩展,寻求更丰富和更丰富的目标。攻击者还经常尝试对发现的设备(如DNS服务器,Web服务器和其他关键系统)进行远程攻击。然后,他们直接从设备窃取数据和凭据,并将其用作跳板在网络中横向扩展。
根据SANS 2017年的“Threat Landscape Survey.”,网络钓鱼和基于电子邮件的社会工程是攻击组织的首要手段,在调查中,75%的受访者发现最具影响力的威胁最初是通过电子邮件附件进行的,而46%是点击电子邮件链接开始的攻击。
为了攻击用户的系统,对手必须获得用户的密码或利用漏洞或风险,例如缺少对错误的检查、过时的服务或应用程序漏洞。系统入侵后,对手通常会进一步横向移动,同时针对网络上的其他关键资产,以映射网络,并找到最丰富的目标,例如Microsoft
Exchange或数据库服务器。
在他们的游戏中打败他们
当攻击者尝试上述任何一种操作或其他操作时,欺骗系统会将网络中的实际终端和服务器转换为欺骗机器,从而预防行动并跟踪,记录和中断操作。同时,攻击者看不到真正的机器,所有的攻击者的活动都是实时监控的。
例如,诱饵可能会暴露攻击者所在机器上的数据中的一些连接历史,凭证数据,相邻系统和服务。当攻击者尝试使用诱饵验证数据或连接时,检测开启,并且越来越多的欺骗 – 比实际存在的机器和帐户多100倍 – 导致攻击者开始循环,而不知道他们已经被欺骗。
部署的欺骗与检测环境(虚拟主机和服务器架构)集成在一起,大大增加了攻击者进行模式的攻击面,从而如图1所示。
在任何时候,安全人员可以锁定攻击者,一些可以通过策略自动处理,同时记录和保存活动以备将来检测和响应。
The illusive Deceptions Everywhere®解决方案
欺骗(deception)不同于以前的蜜罐系统,欺骗现在的分布更广泛,与攻击者的互动性更强,攻击者更难检测。 在illusive’s Deceptions Everywhere的解决方案中,欺骗在多个层面上在整个网络中完全集成,几乎是不可能绕过的。
智能化策略
它是一种直观,易于使用的管理解决方案,可以以最小的开销以可扩展的方式部署欺骗技术。通过几个点击,我们能够在模拟测试环境中部署和配置欺骗。它能学习和了解环境,然后自主创建和部署适合环境的欺骗技术,并且具有适应性和可更新性。
然后,它会自动在网络上的每个终端和服务器上部署欺骗性策略,利用人工智能(AI)来确定某个类型的欺骗是否适合每个终端。
结果是对网络上的每个端点和服务器进行定制的部署,让攻击者看起来感觉这是真的。然后监控环境的任何更改,自动生成新的欺骗建议,只需点击一下,新的欺骗将应用了策略。见图2。
架构
欺骗管理系统™(Deception Management System,DMS)负责跨网络部署适应当前环境的逼真欺骗,而虚幻的陷阱服务器(illusive
Trap Server)是一旦触发了警报,攻击者将被引向的服务器。因为该解决方案是无代理的,所以不需要修改现有系统或安装软件。
当我们(作为模拟攻击者)尝试通过尝试登录和访问共享来使用和访问服务器时,我们被引向陷阱服务器。在那里,模拟攻击者使用操作系统内置命令搜索,查看注册表中的连接历史记录等。所有这些活动,通常不被其他安全工具检测到,引发了更多的欺骗等等。参见图3。
我们测试环境是模拟真实环境的虚拟机环境。此外,我们运行了几个真实案例研究和capture-the-flag练习,以验证和验证虚幻网络的欺骗方法的真实性。
(三)欺骗的使用场景
引起CIO最大担忧的两个领域是:代理解决方案和in-line设备。The illusive networks的无代理解决方案不是in-line的,并且不需要对现有基础架构进行任何更改。
欺骗的关键组成部分
在测试DMS时,我们采取了四部分的方式在我们的模拟环境中部署欺骗:
1.分析:为了使欺骗行之有效,必须要切合实际,全面覆盖网络的各个关键领域。如果欺骗技术仅部署在DMS或未被组织使用的开放端口上,则不可信,因此无效。当我们使用该解决方案时,产品适应和理解环境,不需要太多互动。
2.部署。欺骗对合法用户和网络和系统操作都没有影响,但对攻击者有影响。为了减缓攻击者(我们),欺骗使得我们访问了多种欺骗手段。
3. 监控。从初步攻击到建立跳板到横向运动,所有恶意活动都会自动监控,以便采取适当措施来控制整体损害。界面易于使用,让我们能够快速查看所部署的前后分析。
4、 适应。 IT环境总是在变化,攻击者不断学习,所以欺骗必须不断变化和适应。随着新的服务器被添加到环境中,旧的服务器将被删除,网络被重新设计。当我们对环境进行了修改并在我们的审查中部署了新的合法系统时,该解决方案会自动修改并更改已部署的欺骗策略。
策略管理
这个解决方案的关键是策略部署和管理,在DMS中实现。
首先,它使用人工智能和各种机器学习技术来了解环境,并自动部署与测试环境网络基础架构相对应的欺骗技术。参见图4。
然后,它为每个设备和服务器自动监视和调整欺骗技术,以便我们可以专注于监视和跟踪对手,如图5所示,而不需要安装和维护欺骗模式。
图5中的屏幕截图显示了部署的欺骗,以及攻击者的活动。
机器学习
DMS针对服务器或工作站使用机器学习,并学习网络上每个系统的独特活动。这些信息被用于产生反映环境特征的欺骗策略。
虽然该解决方案允许组织进行调整和调整,但也可以通过最少的管理员参与而自动实施。
例如,在我们的测试中,illusive’s DMS学习了虚拟业务的惯例和标准,并为欺骗性服务和凭据生成了系统名称和用户名(攻击者的目标),如图6所示。
整个环境中智能地部署和管理该策略,以便每个端点和服务器具有独特的欺骗数据(因此无法被猜测或检测到)。
攻击者视图
illusive networks创建了Attacker View™。以下介绍了由DMS为攻击者创建的“虚拟”环境(参见图7和图8)。
当我们从视角切换到攻击者视图时,我们可以看到从攻击者的来看的假网络,以及攻击者眼中的系统与资源之间的映射。我们看到了由蓝色圆圈表示的攻击向量。这些代表了来自外部服务器的各种欺骗技术、伪造凭证和欺骗shark。攻击者视图显示了在环境中部署的欺骗性实体,攻击者将尝试利用它。
通过将欺骗性连接信息与真实或欺骗性的凭据数据相结合,攻击者(我们)将尝试定位真实的服务器,而相反,我们被引入到了部署的欺骗上。图9显示了用于吸引攻击者的假向量。
攻击者视图允许我们通过关注真正对我们的环境重要的风险,来了解真实的攻击向量。
在图10中,攻击者视图向我们展示了威胁情报,以便围绕攻击者不断变化的战术做出正确的决策。
攻击者视图还允许我们对环境进行即时更改,并实时查看对手对其的影响。
用户视图
在用户视图中,我们还看到管理,域和本地用户凭据如何自然地与真实的环境进行交互。这种影响分析使我们作为管理员而不是攻击者了解活动发生的集中度、凭据如何使用,以确定如何将欺骗性和传统的安全控制应用于组织。参见图11。
(四)攻击场景
在开始测试的初期,我们关闭“Deceptions Everywhere”,并开始利用测试环境,横向跨系统。在短时间内,我们能够攻击几个系统;如果是真正的攻击,我们可能会造成损害 – 例如,捕获额外的管理凭据,访问关键系统或渗透过的敏感数据。
然后,我们进行了类似的利用和运动,开启“illusive”后,攻击就很容易被检测到。然而,作为攻击者,我们无法察觉到“illusive”- 我们在这些欺骗性的数据中迷失了,无法区分哪些是真实的和欺骗性的。
欺骗回顾
虽然有很多变化,本次测试用的三种主要欺骗手段是:
•分享欺骗。攻击者寻找share,share是一种简单的方式进入系统和敏感信息的方法。“illusive”创建了额外的合法share,使得攻击者(我们)的放慢节奏,同时,也提供了有价值的视觉,提供了对手的做法和攻击手段。
•凭证欺骗。在这部分测试中,我们启动了一个特权攻击升级,以提升从普通用户到特权帐户(如root或admin)的访问。在欺骗帐户中尝试这样做时,我们从攻击者的角度感到沮丧,因为它不断地将引入兔子洞(rabbit
holes)。它提供了早期预警系统来显示对手(我们)在做什么。
•文件欺骗,我们想要访问文件中的关键数据。由于部署欺骗行为,因为很难区分合法数据和假冒数据,导致我们花费大量的时间来收集几乎没有价值的假信息。
在欺骗中迷失
现在部署了欺骗,一路上,我们遇到了各种各样的欺骗,如表1所示:
我们非常自信地在测试环境中发动攻击。相信我们已经确定了绕过欺骗的路径,我们花时间继续攻击我们认为是合法的系统。但是,当我们切换并检查“攻击者视图”时,我们感到尴尬:我们的分析是错误的。参见图12和13,以查看illusive检测的我们的扫描行为。
跟踪和指标
许多安全解决方案的常见缺点是,通常承诺伟大的事情,但缺乏一种跟踪整体有效性的方法。illusive解决方案的一个有价值的部分是提供各种指标来跟踪部署的欺骗性措施的有效性。
The illusive DMS platform显示,在我们的测试过程中,我们检测到高级攻击者的能力有所改善。还提供了从对手角度来看的攻击面信息,例如每个端点的横向移动目标数量,横向移动到域管理员凭据的数量。
(四)结论:未来的欺骗
由于许多持续的,有针对性的攻击,因为攻击者最终会进入,所以安全将是及时的检测和控制损害。
建立一个虚拟的世界会减缓攻击者的节奏,使他们的工作变得更加困难,攻击者触及至少一个欺骗性措施的概率非常高,这可以提早检测能力。
The illusive解决方案提供了一种全面的方式,在不需要人参与或者很少参与的的环境中部署欺骗。欺骗是非常有效和隐蔽的,使其在现有环境中部署时几乎无法检测到。即使是最熟练的攻击者也会触发欺骗技术,这能使攻击及早被发现。
期待欺骗技术得到更广泛的使用,并更加适应和集中在组织的关键资产上。如果数据库的服务器,应用程序本身甚至数据库中的表都具有欺骗性,则会将攻击难度提高到一个全新的复杂程度。
原文链接: https://www.sans.org/reading-room/whitepapers/analyst/deception-matters-slowing-down-adversary-illusive-networks-37775
