一种基于欺骗防御的入侵检测技术学习.docxVIP

一种基于欺骗防御的入侵检测技术研究 导语 欺骗防御(Deception)是防守者得以观察攻击者行为的新兴网络防御战术，通过诱骗攻击者和恶意应用暴露自身，以便研究人员能够设计出有效防护措施。欺骗防御技术可以增强甚至有可能替代威胁检测和响应类产品（TDR），能够提供低误报、高质量的监测数据。因此，企业安全人员在构建自身威胁检测能力时候，应该认真考虑将欺骗防御技术加入其安全防御体系中。 在传统安全防御认知中，防守者需要确保所有资产100%安全，而攻击者却只需要抓住一次机会就可以收获成果。但是欺骗防御技术，却跟传统安全模型完全相反。攻击者除非100%正确，否则就会被“地雷”绊倒，而防守者却幸运的多，只需要绊倒一次攻击者就能清楚了解攻击者信息。 一、欺骗防御工具工作原理 欺骗防御平台有一个集中管理系统，用来创建、分发和管理整个欺骗环境以及各个欺骗元素，主要包括工作站、服务器、设备、应用、服务、协议、数据和用户等元素。虽然这些元素都是虚拟出来，但与真实资产几乎一致，因此可被用作诱饵来吸引攻击者。 图1? 欺骗防御工具工作原理 1、安全团队 安全团队在整个过程中扮演重要角色，他们需要明确企业组织保护目标，以及监控来自欺骗工具的警报。一些成熟的企业组织除了使用欺骗防御的常规功能以外，已经将其扩展到一些更复杂的场景中，比如生成本地威胁情报、威胁追踪或主动防御等。一旦选择具体的使用场景，欺骗防御技术将会通过设置一些参数来增强整体防御技术，首先可以通过人工生产大量欺骗资产内容；其次设置尽量逼真的环境，提高欺骗的逼真度；最后将欺骗资产陷阱部署到合适位置上。 2、欺骗工具 一旦想清楚需要部署哪种类型的欺骗活动，接下来就是要生产和部署相应的“陷阱”。这些陷阱可以是虚拟“赝品”、诱饵等，常见的欺骗场景类型包括： （1）圈套：假网络、假VLAN和假子网。 （2）诱饵：假服务器及PC电脑。 （3）蜜罐：伪造数据、文件夹、文件、身份或者用户。 但是每个类型欺骗场景的复杂性是不一样，如下图所示： 图2? 不同类型欺骗场景复杂度 为了创建看起来既真实又可信的“假象”，欺骗防御工具将通过检查企业几个信息存储库，如Active、Directory、CMDB数据库等，来了解企业正在使用的命名、拥有资产状况等信息。一旦构建了欺骗使用场景，欺骗防御工具将通过其自带的“管理系统”来管理其部署，比如通过虚拟化部署或者使用云服务方式部署。 3、攻击者 攻击者通常情况会使用洛克希德·马丁定义的“杀伤链”中一种方法进行攻击。在整个攻击过程的一些环节部署欺骗防御产品可以暴露攻击者。这些阶段是： （1）侦察阶段：攻击者在决定行动之前通常必须接触和调查一个环境。例如，通过ping方式连接服务器，可以轻松发现那些未打补丁的软件版本。但是这种连通，无论它是多么隐蔽，都不应该发生在用来欺骗的资产上。 （2）横向移动：在这个阶段，攻击者从一个资产移动到另外一个资产。同样，如果这个新移动资产和攻击跳板是欺骗防御的一部分，那么攻击者很快就会被发现。 （3）数据收集：在这个阶段，攻击者接近他们的目标。这时候攻击者已经接近那些包含有价值数据的服务器和文件夹。但是这些文件夹和文档都是假的。这时候系统可能已经发送了一个警告，通知安全团队攻击者正在寻找的文件类型。 （4）递送：这个阶段指的是将攻击武器传输到指定位置（例如，通过电子邮件附件、网站或USB驱动器），但是攻击目标却是假资产（例如VLAN中的假服务器）。 二、欺骗防御工具五大实践场景 企业组织应根据其成熟度来确定哪些检测场景与它们相关，如下图所示： 图3? 欺骗防御工具实践场景 1、基础威胁检测 欺骗防御最简单使用场景是通过部署简单的触发传感器和正常情况下无人接触的控件来提供基本的威胁检测。 这个场景适用于中小型企业，针对企业中潜伏的威胁提供基本的警报。有的企业可能已经有SIEM产品，在这种情况下欺骗防御工具可向SIEM提供高价值数据信息来补充检测覆盖率。对于还没有部署相关检测工具的企业，欺骗防御工具可能是构建有效的威胁检测功能的第一步。 这类欺骗防御产品虽然是低交互的、可信度也不高，但它们仍然能够有效地检测不成熟的攻击者。这类场景具有以下这些特征： 表一：基础威胁检测实践场景 2、高级威胁检测和响应 随着攻击者手段变得越来越复杂，尽管低交互欺骗防御工具是可以接受的，但不得不说高可信度欺骗工具正变得越来越重要。企业可寻找那些能够与EDR、FW、SOAR厂商的产品进行集成并且可提供高可信度欺骗工具的供应商。 高级威胁检测和响应场景适用于那些希望在企业中启动威胁检测和响应功能的中小企业。中小企业通常没有SIEM、UEBA和安全编排、自动化和响应（SOAR）等安全工具。同时，该场景它也适用于更成熟的企业组织，用来补充他们在当前企业安全检测中不足。 由于欺骗防御