沙箱、蜜罐和欺騙防御的區別
責編:gltian |2018-09-13 14:57:13網絡、網絡攻擊,以及用于阻止網絡攻擊的策略,一直在進化發展。欺騙防御(Deception)是令研究人員和信息安全人員得以觀察攻擊者行為的新興網絡防御戰術,能讓攻擊者在“自以為是”的公司網絡中表現出各種惡意行為。
“欺騙防御”這個術語從去年開始才逐漸流傳開來,所以很難講清這些解決方案與其他試圖誘騙攻擊者的工具——比如沙箱和蜜罐,到底有什么區別。與其他戰術一樣,網絡欺騙技術誘騙攻擊者和惡意應用暴露自身,以便研究人員能夠設計出有效防護措施。但網絡欺騙防御更依賴于自動化和規模化,無需太多專業知識和技能來設置并管理。這三種技術都有各自獨特的需求和理想用例,要想切實理解,需更仔細地深入了解其中每一種技術。
沙箱
幾乎自網絡和第三方程序出現起,對網絡流量和程序的分析需求就一直存在。上世紀70年代,為測試人工智能應用程序而引入的沙箱技術,能令惡意軟件在一個封閉的環境中安裝并執行,令研究人員得以觀測惡意軟件的行為,識別潛在風險,開發應對措施。
當前的有效沙箱基本都是在專用虛擬機上執行。這么做可以在與網絡隔離的主機上用多種操作系統安全地測試惡意軟件。安全研究人員會在分析惡意軟件時采用沙箱技術,很多高級反惡意軟件產品也用沙箱來根據可疑文件的行為確定其是否真的是惡意軟件。因為現代惡意軟件大多經過模糊處理以規避基于特征碼的殺軟,此類基于行為分析的反惡意軟件解決方案就變得越來越重要了。
大多數公司企業無法像專業研究人員或供應商一樣以一定的專業技術水平執行惡意軟件分析。小公司通常會選擇部署沙箱即服務,從已經實現了自動化整個沙箱檢測過程的供應商那里收獲沙箱技術的各種益處。
蜜罐
蜜罐和蜜網就是為誘捕攻擊者而專門設置的脆弱系統。蜜罐是誘使攻擊者盜取有價值數據或進一步探測目標網絡的單個主機。
1999年開始出現的蜜網,則是為了探清攻擊者所用攻擊過程和策略。蜜網由多個蜜罐構成,常被配置成模擬一個實際的網絡——有文件服務器、Web服務器等等,目的是讓攻擊者誤以為自己成功滲透進了網絡。但實際上,他們進入的是一個隔離環境,頭上還高懸著研究人員的顯微鏡。
蜜罐可以讓研究人員觀測真實的攻擊者是怎么動作的,而沙箱僅揭示惡意軟件的行為。安全研究人員和分析師通常就是出于觀測攻擊者行動的目的而使用蜜罐和蜜網。關注防御的研究人員和IT及安全人員可以運用此信息,通過注意新攻擊方法和實現新防御加以應對,來改善自家企業或組織機構的安全狀況。蜜網還能浪費攻擊者的時間,讓他們因毫無所獲而放棄攻擊。
經常受到黑客攻擊的政府機構和金融公司可以從蜜網中收獲良多,但蜜網技術同樣適用于中大型公司企業。根據業務模型和安全狀況,一些中小型企業也可以從中獲益,但今天的大多數中小企業尚不具備能夠設置或維護蜜罐蜜網的安全專家。
網絡欺騙(Cyber Deception)
網絡欺騙的核心概念最早是普渡大學的 Gene Spafford 于1989年提出的。有些人認為這一概念或多或少指的就是現代動態蜜罐和蜜網,基本上,他們的理解是正確的。
欺騙防御則是一個新的術語,其定義尚未定型,但基本指的是一系列更高級的蜜罐和蜜網產品,能夠基于所捕獲的數據為檢測和防御實現提供更高的自動化程度。
需要指出的是,欺騙技術分不同層次。有些類似高級版的蜜罐,有些具備真實網絡的所有特征,包括真正的數據和設備。這種欺騙技術可以模仿并分析不同類型的流量,提供對賬戶和文件的虛假訪問,更為神似模仿內部網絡。有些安全欺騙產品還可以自動部署,讓攻擊者被耍得團團轉,陷入無窮無盡地追逐更多信息的循環中,令用戶能更具體更真實地響應攻擊者。欺騙防御產品按既定意圖運作時,黑客會真的相信自己已經滲透到受限網絡中,正在收集關鍵數據。沒錯,他們確實在訪問數據,但這些數據只是用戶想要他們看到的那部分。
欺騙防御尚處于發展初期,與大多數新生安全技術一樣,其初始用例是大企業才用的小眾工具,隨后才會逐漸在市場上鋪開。目前,這些工具對政府設施、金融機構和研究公司之類引人注目的目標尤其有用。公司企業仍需安全分析師來解析安全欺騙工具收集的數據,所以沒有專業安全員工的小公司通常無法享受到欺騙防御工具的好處。盡管如此,中小企業可以簽約提供分析與防護即服務的安全供應商,以委托的方式從這種新興技術中獲益。
以上三種安全技術在預防與分析領域各司其職。從較高層次上看,沙箱允許惡意軟件安裝并運行以供觀察其惡意行為;蜜罐和蜜網關注分析黑客會在自以為已被滲透的網絡上干些什么;欺騙防御則是更新的高級入侵檢測及預防設想。欺騙技術提供更為真實的蜜網,易于部署且能給用戶提供更多信息,但需要更多的預算和更高的專業技能要求,通常只能在大企業中應用,至少現在其用例還僅限制在大企業里。