导语:当前,欺骗防御技术的应用虽然已经在各种攻防演习场合中取得了很大的实践成果,但对于蜜罐技术的进一步推广、普及,依然存在着不少应用难题
信息化在给人们带来便利的同时,网络信息安全问题也日益凸显。尤其是随着网络攻击由传统的盲目、直接、粗暴的方式转变为目前的精确化、持久化、隐匿式的恶意攻击,攻击过程中只需发现并利用一个未被修复的漏洞或不安全配置即可击破边界防御,试图将攻击者拒之门外的安全防护方案在面对攻击手段的多样化、复杂化时已经力不从心。
为了应对当前严峻的网络安全态势和及时发现更具隐蔽性和多样性的攻击行为,对企业网络的安全防御手法上需要有所创新。亟需一种技术手段,能够主动对抗攻击行为,扰乱攻击者认知,主动采取有利于防守者的技术措施和手段,对攻击者形成有效震慑。
以攻防对抗思路为基础,让防守者得以观察攻击者行为的新型网络安全防御战术——欺骗防御(俗称蜜罐)技术近几年有了很大的发展。跟传统安全模型完全相反,通过欺骗防御,可以有效改变攻防不对称,变被动为主动,是对传统防御的有力增强和有益补充。据权威第三方咨询公司预测,“欺骗防御”等技术未来5-10年将进入主流市场,是对现有安全防护体系产生深远影响的安全技术发展趋势。
当前,欺骗防御技术的应用虽然已经在各种攻防演习场合中取得了很大的实践成果,但对于蜜罐技术的进一步推广、普及,依然存在着不少应用难题,包括:
1) 部署麻烦
蜜罐的安装部署是目前制约蜜罐应用的“最后一公里”:蜜罐的部署使用复杂度很高,需要进行现场调研网络、业务特性,定制化仿真策略,进行现场策略调优,往往需要相当长的时间和很高的技术能力,现场服务成本甚至超过产品价格。并且,随着客户网络、业务的发展,还需要持续的人工维护和升级。
2) 价格高昂
蜜罐应用的资源困境:更好的诱捕能力需要尽可能多的部署仿真效果好的蜜罐,但仿真效果越好(采用高交互仿真)意味着资源占用越多,成本激增。目前很多客户现场由于受投资影响,蜜罐网络的规模过小,捕获效果不佳。
3) 操作复杂
目前,市场上的蜜罐产品,以人工运维为主,操作复杂、技术门槛高,并且应用效果依赖个人经验,难以进行度量和标准化。
什么是孪生诱捕网络
孪生诱捕网络是一种创新的欺骗防御智能化应用技术,与网络空间探测、威胁情报、攻击面分析、态势感知、风险评估、XDR、SOAR等新型安全技术进行耦合,采用数字孪生技术、AI技术、NFV技术、SDN技术、模式识别技术,构建智能型仿真、诱捕能力,解决传统蜜罐的应用难题,实现包括安装部署、运营使用、扩展升级的蜜网全生命周期免运维能力。
孪生诱捕网络的生成原理如图1所示:
图1 孪生诱捕网络生成原理
孪生诱捕网络的构成
孪生诱捕网络由管理中心、诱捕网络和诱捕探针等部分构成,孪生诱捕网络架构示意图如图2所示:
图2 孪生诱捕网络系统架构
管理中心包括仿真模板管理、数据采集引擎、数据分析引擎、模式识别引擎、蜜网评估引擎、蜜网调度引擎、系统管理单元、知识库等模块,对接网络空间探测、攻击面分析、态势感知、XDR、威胁情报的数据和能力,提供对诱捕网络和诱捕探针进行集中调度管理的能力。
仿真节点包括环境仿真、诱捕网络生成、蜜标诱饵布设监控、流量分析和攻击行为监控等模块,根据孪生诱捕网络策略自动生成各种高交互、中交互、低交互仿真对象并组建诱捕网络。通过监控插件可以实现对诱捕网络中高交互仿真对象的细粒度攻击行为监控。
诱捕探针包括流量转发、软件仿真、蜜标诱饵布设监控、攻击行为记录等模块,通过诱捕探针可以主动将攻击流量牵引到诱捕网络中,提高诱捕网络的覆盖率和诱捕能力。
孪生诱捕网络的关键技术
1) 全场景仿真模板
不同用户、不同行业使用的应用、系统、设备千差万别,如果蜜罐只能提供相对固定的仿真环境,那就很容易被攻击者识破,因此好的蜜罐需要具备较强的仿真自定义能力,能够按需快捷的部署与自身环境贴合度高的蜜罐。
孪生诱捕网络支持插件化的仿真模板,通过仿真模板将仿真能力和产品基础能力松耦合,实现包括设备、系统、IoT、数据库、应用软件、网络服务、应用服务、中间件、文件、数据(蜜饵)等实体仿真能力,并结合行业场景特性、业务动态行为特征,快速生成各行业场景仿真模板。模板支持在系统间一键分享、一键部署,极大提高了仿真能力的部署效率。
同时,孪生诱捕网络支持可视化仿真编排引擎,通过界面简单配置即可实现对自有系统、自定义网络协议、服务或应用的仿真,仿真能力非常方便灵活扩展,大大降低仿真能力开发门槛,不懂编程的用户也可以快速上手自主配置新的仿真应用或服务。
2) 分布式异构形态蜜网
蜜罐当前使用的仿真技术主要包括软件仿真技术、容器仿真技术、虚拟机仿真技术等,各种仿真技术各有优劣:
软件仿真:通过软件模拟对攻击请求的应答来实现对协议、服务、应用等进行仿真的技术。采用软件仿真具有资源占用小,部署简单、运行高效的优势。但针对复杂的服务和应用,采用软件仿真实现高交互难度大,很难提供一个完整的高交互环境,攻击者较容易察觉到环境的异常。因此,软件仿真主要应用在较简单协议、服务和应用的仿真。
容器仿真:容器是操作系统级的虚拟化技术,容器技术为环境仿真提供了一把利器,通过容器技术可以快速、批量的实现对服务、应用的高交互仿真。采用容器仿真技术能够提供高交互的仿真能力,但部署相对较复杂,运行资源需求较高。主要应用在对客户应用、中间件、服务的高交互仿真、应用漏洞仿真等场景。
虚拟机仿真:虚拟机是硬件级的虚拟化技术,通过软件模拟具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。采用虚拟机仿真能够仿真完整的设备和系统,可提供高交互的仿真能力。采用虚拟机仿真技术仿真度高,但部署周期更长,资源需求高,环境准备时间较长;目前主要应用在设备、操作系统级别的仿真,系统漏洞仿真等场景。
孪生诱捕网络支持虚拟机仿真、容器仿真、软件仿真等多种仿真技术,支持各种高交互、中交互、低交互仿真对象异构组网,在蜜网内可以相互通信。孪生诱捕网络可以根据仿真的业务对象的不同类型选择最匹配的仿真技术手段,达到资源利用率和诱捕能力的综合效益最大化。针对规模大的诱捕网络,支持分布式部署来组建大型异构形态蜜网。
3) 业务网络数字孪生
针对业务网络的孪生诱捕网络不是面向整个业务网络的数字孪生,而是面向内部、外部攻击面的数字孪生,可以根据仿真业务对象不同特点自动选择最优的仿真手段,对于相同的网络仿真范围,在确保诱捕能力的前提下,需要的硬件资源远小于真实业务网络的资源消耗。
对业务网络进行数字孪生,由网络空间探测设备或工具对业务网络进行测绘,测绘内容包括网络、资产设备信息、业务系统信息、流量行为信息、系统、应用服务、网络服务、数据库、中间件、漏洞、终端信息、文件信息等,测绘结果送入模式识别引擎,使用模式识别技术、AI技术,基于仿真模板对测绘信息进行拟合,生成最优的孪生诱捕网络模型,然后使用网络镜像、终端克隆、系统克隆等多种方式快速生成业务系统的运行镜像,使用数字孪生技术、NFV技术、SDN技术等创建数字孪生网络,最终实现基于业务系统特性的孪生诱捕网络快速虚拟创建。同时,孪生诱捕网络支持可视化拓扑编辑,可以直观看到网络结构及属性,并支持人工交互编辑、优化。孪生诱捕网络具有动态自适应调整能力,当业务网络、业务系统变更、升级时,支持动态自适应调整。
4) 诱捕网络智能调度
基于业务网络孪生的诱捕网络,具备了业务网络的高仿真特性,在此基础上,通过攻击面分析/漏洞扫描/风险评估等系统对业务网络进行网络威胁内部、外部攻击面、攻击路径探测,将探测结果送蜜网评估引擎进行分析生成孪生诱捕网络诱捕模型,通过调度引擎调度,对仿真对象、蜜网组件、诱捕探针、对外暴露策略等进行动态配置,使孪生诱捕网络不仅从网络结构上和真实业务网络高度仿真,从攻击面视角和真实业务网络也保存一致,同时,提供可视化编辑界面,支持人工编辑对诱捕策略进行优化调整。
同时,蜜网评估引擎设计蜜网有效性度量模型,基于威胁情报、态势感知、XDR等获取业务网络的安全状态信息,结合蜜网检测结果,采用AI智能算法进行蜜网的检测绩效评估,给出蜜网最优绩效调整方案,发送给蜜网调度引擎进行蜜网各单元的动态调整;对于高风险、重点业务增加、升级高交互单元数量,对于非重点场景降级采用中、低交互能力的低资源占用单元,实现硬件资源的最优化应用,系统整体效能最优化;同时,支持发生攻击风暴时实现蜜网扩展,自动进行硬件资源扩容。
孪生诱捕网络的能力体系
孪生诱捕网络包含六大能力域,分别是:仿真能力、诱捕能力、检测分析能力、溯源反制能力、响应能力、集中管控能力。
· 仿真能力:孪生诱捕网络支持全场景实体仿真能力,结合行业场景特性、业务动态行为特征,生成各行业场景仿真模板;同时,创新实现了分布式异构形态蜜网,实现硬件资源的最优化应用。
· 诱捕能力:孪生诱捕网络实现了基于业务系统特性与攻击面的动态自适应调度能力,创新实现了蜜网的有效性度量,并通过AI智能调度,使蜜网系统效能最优化。
· 检测分析能力:孪生诱捕网络基于ATT&CK模型,对攻击阶段及攻击技术进行识别,进行攻击链绘制,实现攻击过程的还原和多维度的攻击者画像展示。
· 溯源反制能力:孪生诱捕网络具有更高的仿真度,通过在孪生诱捕网络里的攻击路径上预设WEB反制、扫描反制、蜜标反制等反制手段,主动获取攻击者主机或者网络的信息,支持更准确的定位攻击者的身份,实现更精准的溯源。
· 响应能力:孪生诱捕网络支持标准格式威胁情报生产、威胁狩猎、威胁调查、正向攻击模型生产,支持联动网关设备、XDR、SOAR、态势感知等平台,实现自动化响应能力,快速对攻击进行响应,降低攻击对真实资产可能造成的影响。
· 集中管控能力:管理中心支持对孪生诱捕网络的网络结构、仿真对象、运行状态等进行可视化管理和实时监控;支持对攻击行为进行综合分析和可视化展示;支持采用标准协议与外部平台进行数据交互。
孪生诱捕网络的应用价值
打通蜜罐应用的“最后一公里”
目前,传统蜜罐的现场部署使用复杂度很高,需要进行现场调研网络、业务特性,人工定制化仿真策略,进行现场调优,往往需要相当长的时间和很高的技术能力,现场服务成本甚至超过产品价格,并且,随着客户网络、业务发展,还需要持续的人工维护、升级。孪生诱捕网络联动网络空间探测设备/攻击面管理设备,采用数字孪生技术、模式识别技术、NFV技术、SDN技术,拟合仿真模板,实现基于业务系统特性、价值、全网攻击面的蜜网快速自动化部署、场景适配。同时,蜜网系统支持人工交互优化,并具有动态自适应调整能力,当网络、业务系统变更、升级时,支持动态自适应调整。孪生诱捕网络与传统蜜罐相比,部署、应用效率提升超过300%,有效解决蜜罐应用“最后一公里”的困局。
实现安全投资最优性价比
传统蜜罐的诱捕能力需要尽可能多的部署仿真节点,并且仿真效果越好(采用高交互仿真)意味着资源占用越多,成本激增。客户现场由于受投资影响,往往蜜罐网络的规模过小,捕获效果不佳。孪生诱捕网络的构建,首先是基于客户网络业务特点及内部、外部攻击面、攻击路径进行,与传统蜜罐直接基于网络构建相比,在不降低仿真绩效的情况下大幅缩减了仿真对象资源占用;其次,孪生诱捕网络联动威胁情报、态势感知、攻击面分析、XDR等系统获取用户网络的安全状态信息,进行用户网络动态风险评估,结合蜜网检测结果,对蜜网各单元进行动态调整,对于高风险、重点业务增加、升级业务仿真单元,对于非重点场景降级采用中、低交互、蜜饵等低资源占用的蜜网单元,实现硬件资源的最优化应用,蜜网系统综合效能最优化。孪生诱捕网络与传统蜜罐相比,同效能情况下价格对比低1/3。
大幅提升运维效率
孪生诱捕网络创新实现包括安装部署、运营使用、扩展升级的蜜网全生命周期免运维技术。在蜜网系统的初始化配置阶段实现业务网络数字孪生,并支持可视化图形交互界面编辑;在蜜网系统的运营阶段,实现标准格式威胁情报生产、IDS、APT等检测设备规则生产及联动应用、FW、WAF、EDR、ZTNA等防护策略生产及联动防御、攻击模型生产及态势感知AI模型应用;在用户网络、业务系统变更、升级情况下,支持动态自适应调整。孪生诱捕网络与传统蜜罐相比,运维效率提升超过200%,能够大幅提升安全运营体系检测准确度及运维效率。
目前,蜜罐技术已经完成了从技术工具向产品化的转变,但目前市场上,蜜罐产品的应用受限于依赖大量人工操作、依赖大量硬件资源,实际应用成本过高,推广严重受限;孪生诱捕网络基于AI技术,在产品配置及运维智能化、自动化方面作出了一些积极的探索与应用,同时积极地推进与目前安全运营体系融合,摆脱主动防御体系只能作为一个安全运营体系的外挂技术的尴尬局面;未来主动防御体系将成为安全运营体系的核心支撑技术之一,在威胁情报应用、排除误报、实时响应、AI分析等关键安全运营环节,发挥重大作用。
如若转载,请注明原文地址