一、引 言
2019年4月9日,Carbon Black发布最新报告指出:“攻击者潜踪匿迹的手段更为丰富,驻留受害者网络的时间增长。刚刚过去的3个月里,攻击者反击安全工具和管理员的行为有5%的上升。不只是入侵,攻击者倾向于更长久地潜藏在网络中,已成为攻击者大政方针的一部分。”
事实上,内部有潜伏者已成常态,漏洞也成了备受欢迎的“硬通货”。面对新的境况,尤其是当防御者在利用云计算IaaS、PaaS、SaaS架构来探索构建“海、网、云”协同防御体系时,黑客已经公然推出了HaaS(HackerasaService,黑客即服务)的创新模式,悄悄踏上了攻击服务化的快车道。漏洞是挖不完的,黑客威胁永远存在,这也决定了没有一劳永逸的防御方法,攻防竞赛永远存在。要想改变攻防对抗的不对称格局,只有改变防御的游戏规则。
网络欺骗防御一开始就是建立在内部有潜伏者的理念上并以此为基础而设计的。不同于以往追求构建完美无瑕的系统以抵御攻击的思路,网络欺骗防御是一种通过不断变换系统特性、限制脆弱性暴露、欺骗攻击视图、增加攻击成本等方法,以提升防御有效性的主动防御新技术。网络欺骗防御已成为移动目标防御(MTD)的重要技术手段和工具。“欺骗防御”的本意,并非戏弄攻击者或激怒攻击者,其最重要的价值在于为MTD系统提供增加攻击面转换空间的手段,提高MTD的防御熵,也是更高层次上的防御智能化的核心。
随着人工智能、博弈论等理论体系的完善,以及软件定义网络(SDN)、云计算、虚拟化等新技术的成熟,“欺骗防御”已经远远超越了蜜罐的概念,取得了新的发展。
二、网络欺骗技术的定义及发展
(1)网络欺骗技术的定义
从网络安全防护角度来看,网络欺骗防御技术作为一种主动式安全防御手段,可以有效对抗网络攻击。全球最具权威的IT研究与顾问咨询公司Gartner从2015年起连续四年将攻击欺骗列为最具有潜力的安全技术。同时给出了对网络欺骗技术的描述:“欺骗技术被定义为使用骗局或者假动作来阻挠或者推翻攻击者的认知过程,扰乱攻击者的自动化工具,延迟或阻断攻击者的活动,通过使用虚假的响应、有意的混淆、以及假动作、误导等伪造信息达到‘欺骗’的目的”。
通过上述描述可以看出,网络欺骗是欺骗技术在网络防御中的应用,通过有意误导对手的决策从而使得对手以有利用于防御方的形式行动或者不行动,在检测、防护、响应方面均能起到作用,能够实现发现攻击、延缓攻击以及抵御攻击的作用。(1)发现网络攻击:通过在网络中部署大量诱饵,并组合应用多种欺骗手段引诱攻击者,一旦攻击者触碰这些诱饵,则表明系统正在受到攻击,防御者就可以迅速响应,并定位溯源攻击者;(2)延缓网络攻击:由于网络中存在大量诱饵,攻击者将陷入真假难辨的网络世界,攻击者需要花费大量的时间来分辨信息的真实性,从而延缓了攻击者的网络攻击,给予防御者更多的响应时间,降低攻击者对真实系统攻击的可能性;(3)抵御网络攻击:网络欺骗防御技术使用了与真实环境相同的网络环境,攻击者无法分辨真假,因此会对诱饵目标发起攻击,采用大量攻击手段、工具和技巧,而防御方可以记录攻击者的行为,从而为防御提供参考。
与传统安全技术相比,网络欺骗不是着眼于攻击特征而是攻击者本身,可以扭转攻击者与防御者之间的攻防不对称:(1)通过网络欺骗技术可以打破网络系统的确定性、静态性与同构性,使攻击者无法获取准确的环境信息;(2)通过网络欺骗技术将攻击者引入一个“伪造”的环境中,使攻击者无法判断攻击是否成功,同时通过对攻击者攻击活动的记录和分析,防御方可以获取更多攻击者的信息;(3)网络欺骗系统与业务环境相融合,攻击者探测到的并不是准确的业务环境,也就无法构建同样的环境进行武器实验;(4)通过在业务系统中布置伪造的数据,即使攻击者成功窃取了数据,也会因为虚假数据的存在而降低了所窃取数据的总体价值。
(2)网络欺骗技术的发展
网络欺骗技术是一种积极主动的防御策略。一方面,通过构造一系列虚假信息和环境误导攻击者的判断,使得攻击者做出错误的动作,将攻击者引向陷阱的方式可消耗攻击者的时间、精力,增加入侵的复杂度和不确定性;另一方面,更加容易监控攻击行为、采集攻击数据,部署相关反制措施,对攻击者进行溯源追踪和技术反制。网络欺骗技术的发展可以概括为开创阶段、蜜罐阶段、欺骗防御阶段三个阶段。
开创阶段:网络欺骗技术的起源可以追溯到上世纪八十年代末期。1992年,AT&T贝尔实验的Cheswick在一篇文章中讨论了如何用虚假的信息诱惑黑客,以追踪该黑客和了解其技术。由此可见,网络欺骗技术早期主要是为了对抗人工攻击。1998年,第一款采用欺骗技术进行计算机防御的开源工具DTK发布。DTK使用Perl脚本实现,绑定系统上未使用的端口,接收攻击者的输入并给出存在漏洞的响应。DTK不会被攻陷,因而可以部署在实际的业务系统中,使得攻击者在入侵系统时需要做更多的选择,以此提前发现攻击和浪费攻击者的时间。
这一时期互联网与计算机的应用主要在政府、军队和高校等科研机构,以数据共享为主。网络入侵的攻击者多由专业技术人员手工发起,以窃取数据为目标,网络攻击范围有限。网络欺骗技术仅仅被部分安全管理人员部署在业务系统中用于检测入侵,主要形式是在业务系统中插入虚假数据或开启虚假服务。为了防止这一思路暴露后引起攻击者的警觉,部分安全人员尽管采用了网络欺骗技术,却没有公开描述。
蜜罐阶段:2000年左右,蠕虫渐成为互联网的主要威胁之一。蠕虫可以通过共享文件夹、电子邮件、系统漏洞等方式进行传播,互联网的发展使得蠕虫可以在极短时间内蔓延全球,蠕虫的早期检测对蠕虫的防范至关重要。逐渐的,蜜罐的思路开始形成。蜜罐被定义为一类安全资源,其价值在于未授权的利用,通过在业务网络中部署一系列没有真实的业务系统或资源形成陷阱,这些陷阱被访问则代表攻击的出现,以此检测攻击。蜜罐因捕获数据价值高、几乎没有误报、能够检测Oday攻击,且只要蜜罐系统能够覆盖网络的一小部分IP地址,就可以在早期检测到蠕虫的爆发,因此受到重视。
2005年以后,僵尸网络逐渐兴起,随着新恶意代码产生率的增高,迫切需要自动化的方式来采集恶意代码以便及时发现僵尸网络。随着针对各种网络应用及非PC设备进行传播的恶意代码增多,也出现了相应的蜜罐,如Web应用蜜罐、SSH应用蜜罐、SCADA蜜罐、VoIP蜜罐、蓝牙蜜罐、USB蜜罐、工控蜜罐、电话蜜罐、数据库蜜罐等。在这一时期,自动化传播的恶意代码成为主流攻击方式,蜜罐技术对恶意代码的发现与样本收集具有其他防御技术无可比拟的优势。
欺骗防御阶段:2010年至今,随着震网(Stuxnet)、Duqu、火焰(Flame)等高级持续性威胁(APT)出现,传统安全机制无法很好的应对此类威胁。基于网络欺骗的安全防御方案得到了越来越多的安全研究人员的重视,它和已有安全防御体系相互补充,能够更加有效的发现和抵御高级持续性攻击,网络欺骗技术因其自身的优势而受到了安全防御人员的关注。
根据全球第二大市场研究咨询公司根据Markets and Markets 发布的一项最新的市场研究报告《2021年全球的欺骗防御技术市场前瞻》,在2021年欺骗防御技术的市场规模将从现在的10.4亿美元增长到20.9亿美元,复合年增长率(CAGR)约为15.1%。据预测,北美市场份额最大,亚太市场增长最快。亚太地区的欺骗防御技术市场具有极大的增长潜力,该地区广泛存在的中小企业正在寻求高级网络欺骗防御方案来对抗高级持续性威胁。银行、金融服务和保险垂直行业预计为欺骗防御市场贡献最大的份额。
目前,国外欺骗防御技术的主要供应商包括:Rapid7(美国),LogRhythm(美国),TrapX安全(美国),Attivo网络(美国),Attivo Networks(以色列),Cymmetria(以色列),GuardiCore(以色列),Allure Security Technology (美国),vArmour(美国),Smokescreen Technologies(印度)。网络欺骗产品颇具代表性的有:以色列公司illusice的Deceptions Everywhere、Cymmetria的MazeRunner,美国公司TrapX的DeceptionGrid Platform、Attivo公司的ThreatMatrix Platform等。国内公司也紧跟业界步伐,代表性的产品有绿盟科技异常行为诱捕系统(微蜜罐),长亭科技公司的谛听威胁感知系统,默安科技的幻阵系统(云密网),锦行科技的幻云系统等。
在学术界,2017年Springer出版社出版了《Cyber Deception》一书,本书的作者就是全球首本《移动目标防御》的作者。这是第一本专门介绍网络欺骗研究的著作,汇集了最新的网络欺骗技术相关的研究成果;近年来,CCS、NDSS、USENIXSecurity等国际安全会议上也有相关学术论文发表。在政府方面,美国海军和国防高级研究计划局(DARPA)进行了网络欺骗技术应对网络恐怖主义的研宄以及网络欺骗技术的探索。
网络欺骗作为一种对抗性技术思路,从诞生开始就受到了学术界和产业界的关注,并涌现出一系列研究成果和工具。然而现有研究工作仍然存在一些不足:尽管有一些网络欺骗技术的理论研究工作,当前研究更侧重于对欺骗工具的开发与网络欺骗效果的分析,没有成体系的理论基础研究;高交互蜜罐系统能够发现针对未知漏洞的攻击,但是仅限于攻击者利用的漏洞存在于构建蜜罐时所用的应用程序,这限制了蜜罐的捕获范围;当前基于欺骗技术的工具对于攻击信息的收集限于源IP、源端口、使用的攻击样本等,而忽视对攻击者身份信息的收集;现有基于欺骗的安全工具在部署时往往与真实业务系统差别较大,容易被攻击者所识别,且在部署上往往是隔离的,缺乏与已有安全机制的联动。因此,深入理解网络欺骗技术,总结其特性与演化规律,对于学术研究和工程实践均具有重要意义。
三、网络欺骗技术分类
网络欺骗本质是通过布设骗局从而干扰攻击者的认知过程,欺骗环境的构建机制是其实施的关键。本文从欺骗环境构建的角度讨论网络欺骗技术的分类,这也是大多数网络欺骗研究采用的分类方式。
蜜罐技术中有多种分类方式。根据欺骗环境提供的交互程度将其分为低交互蜜罐、中交互蜜罐、高交互蜜罐:低交互蜜罐往往采用软件模拟的方式实现,而高交互蜜罐则采用真实系统构建,中交互蜜罐采用功能受限的系统来部署,交互性介于两者之间。根据作为诱饵的资源是不是计算机将其分为蜜罐与蜜标:作为诱饵的资源是计算机时称为蜜罐,非计算机的诱饵资源称为蜜标。根据蜜罐获取代码的方式分为被动蜜罐与主动蜜罐:被动蜜罐对外暴露漏洞,被动等待恶意代码发现和攻击,有时也称为服务器蜜罐,主动蜜罐通过内部构造漏洞,主动访问恶意代码宿主(如恶意网页),从宿主上下载恶意代码,也称为客户端蜜罐。根据蜜罐的目的分为研究型蜜罐和应用型蜜罐:研究型蜜罐一般用于科学研究,而应用型蜜罐则用于商业用途。然而,蜜罐技术仅仅是网络欺骗技术的一种,这一分类方法并不适用于所有的网络欺骗技术,例如操作系统混淆、蜜标、伪蜜罐等也是网络欺骗技术的应用,却不适合采用此类分类方法。
按照欺骗环境的构建方式将网络欺骗技术可以分为四类:掩盖、混淆、伪造、模仿。
(1)掩盖欺骗通过消除特征来隐藏真实的资源,防止被攻击者发现。典型工作如网络地址变换,通过周期性的重新映射网络地址和系统之间的绑定改变组织网络的外形。Antonatos等人使用动态主机配置协议给每个主机重新分配网络地址,用来对抗带有目标列表的蠕虫。MUTE使用随机地址跳变技术为主机重新分配与真实IP地址相独立的随机虚拟IP地址,以限制攻击者扫描、发现、识别和定位网络目标的能力。
(2)混淆欺骗通过更改系统资源的特征使得系统资源看上去像另外的资源,从而挫败攻击者的攻击企图。典型工作如伪蜜罐,通过使真实系统具有蜜罐的特征从而吓阻攻击者。而通过采用计算机操作系统混淆,使得受保护的操作系统对远程探测工具表现出其他操作系统的特性,可以挫败攻击者的探测企图。
(3)伪造欺骗通过采用真实系统或者资源构建欺骗环境,通过伪造的资源吸引攻击者的注意力从而发现攻击或者消耗攻击者的时间。典型的工作就是高交互蜜罐以及蜜标技术,如蜜网、Honeybow、honeyfile等。此类技术特点是机密性好,但是维护与部署代价较高。
(4)模拟欺骗则是采用软件实现的方式构造出资源的特征。典型工作如Deception ToolKit(DTK),DTK绑定系统未使用的端口,被动的等待连接。如果攻击者访问了这些端口,DTK就会记录访问信息。此类欺骗机密性较低,适用于攻击检测与恶意代码收集,不适合对攻击者行为的长期观察。但是因为所占资源小而且几乎不会带来风险,因此可以部署于业务主机之上,检测范围大,使用灵活。
四、近年来网络欺骗技术的研发及应用
(1)Acalvio公司推出下一代分布式欺骗解决方案ShadowPlex
2017年4月,安全公司Acalvio正式推出ShadowPlex欺骗技术平台,并进入RSA 2018大会的创新沙盒角色,也体现了业界在该领域的创新程度。该平台实现了其承诺的新型安全防御技术——流欺骗。任何欺骗技术背后的基本思想,都是提供某种形式的虚假前端,诱使攻击者以为自己在对真实的用户的基础设施进行漏洞利用。
传统蜜罐一般只是一个虚假的主机,安全研究员观察恶意样本在蜜罐中的行为,并没有蜜罐被攻破后攻击者的进一步行为分析和防护。与之相比,ShadowPlex是下一代分布式欺骗解决方案,提供了面向企业环境的自动化欺骗方法,可动态构建各种交互度的虚假网络和主机系统。此外,ShadowPlex定位从检测、分析到响应的全生命周期的高级威胁防护。(1)在检测阶段:ShadowPlex可精确和快速地检测高级、多阶段的攻击;(2)在分析(Engage)阶段:在受控的影子网络(Shadow Network)中欺骗攻击者,理解其攻击模式,同时延误对于真实资产的影响;(3)在响应阶段:识别攻击者轨迹和网络中潜在的脆弱点,生成可表示攻击者特征的IoC(Indicator of Compromise)。
该产品与业界的方案相比有四方面的创新:第一,将敏捷开发DevOps应用于欺骗技术:已有的欺骗方案需要大量的人工调查和分析,费时费力,因而欺骗系统的部署和维护成本很高。而本产品通过DevOps使得欺骗自动化,极大减少了人工成本;第二,流式欺骗(Fluid Deception):已有的欺骗方案面临一个难题–规模化(低交互)vs.深度(高交互)。ShadowPlex结合了全面的动态欺骗从而提高了效率和效果;第三,攻击者行为分析:ShadowPlex通过探针采集其他企业安全系统(如SIEM、EDR等)的数据来生成威胁情报和提供全面的攻击行为分析;第四,欺骗农场(Deception Farm):可以部署在私有云和公有云(Azure、AWS等)上。
从部署角度看,Acalvio的ShadowPlex技术会在客户网络中安装一个小小的代理,构建一个安全隧道,并将IP地址投射到本地网络(如果不用ShadowPlex技术,诱饵就必须部署在本地网络了)。ShadowPlex的后端架构,是虚拟机和Docker容器的组合。虚拟机被用于模拟网络中的主机,容器则负责应用和服务。
ShadowPlex平台的核心元素,是对手行为分析(ABA)功能。ABA提供对手行为上下文,以回顾并确定攻击者侵入网络的路径。ABA帮助确定攻击发生的根源分析。此外,ShadowPlex中还有一个威胁分析引擎,会尝试理解给定攻击中发生的事情。最终目的,是要进一步以新增的能力和洞见,强化威胁分析。
(2)安全公司 Illusive Networks推出欺骗防御技术新功能及幻影网络3.0
2017年,以色列安全公司 Illusive Networks 利用邮件数据欺骗功能,植入虚假信息诱骗捕获攻击者,反转攻防形势。Illusive Networks 的核心技术,是其欺骗平台,提供不同类型的误导网络和应用路径与信息,以期检测到恶意攻击者。邮件是非常丰富的信息来源,可以帮助攻击者弄清公司运作模式。Illusive用邮件欺骗所做的,就是在邮件层诱骗攻击者,当攻击者检查公司邮件收件箱时,只能获得错误的路径。Illusive邮件数据欺骗可被植入成貌似微软Exchange邮件服务器和本地用户收件箱信息的样子,不会影响正常邮件操作。该解决方案的过人之处在于,只有攻击者能看到诱骗信息,而真实的终端用户看不到。因而,终端用户不会被骗,也不会产生误报,看到欺骗信息的唯一人员只能是攻击者。此外,Illusive正在研发专注欺骗的额外金融服务,被称为 SWIFT Guard 的欺骗平台旨在帮助银行对抗欺诈转账。
Illusive network推出其“幻影平台”3.0版。幻影的目标是提供给用户以攻击者的视角帮助组织机构理解风险并防御攻击,幻影网络包括一个管理服务器能够定义攻击欺骗的策略,并通过鉴定去捕捉攻击者威胁网络的行为。这个平台比“蜜罐”在捕获攻击者方面具备更多的优势。幻影3.0技术使用自身从网络中学习到的信息去创造“攻击者视角”,“幻影”的攻击者视角并不是寻找软件的缺陷,而是去尝试确定攻击载体。
(3)美空军研发网络欺骗系统
2017年,美国空军研究实验室(AFRL)投资75万美元开发网络欺骗系统,该系统是一个生成流量的误导系统,为了生成流量,系统会观察本地流量,然后生成与现有流量无法区分的流量,但会经过细微修改满足管理员的目标。附加的信息能被用来将对手引向假工作站或服务器,和/或将他们的注意力从真正的检索术词或操作优先项转移开来,从而误导渗透进网络的攻击者,使其怀疑获取的信息,或误导他们犯错,尽快暴露,以大大降低攻击者渗透网络的能力。该项目共分为两个阶段,第一阶段重点研究如何根据对本地流量的观察生成高度真实的流量。第二阶段将集中扩展各种协议的生成能力,并使用“蜜罐数据”(Honey Data)— 定制的数据误导攻击者,从而使其采取对我们有利的行动。
(4)美国陆军研发网络欺骗技术
2018年8月,美国陆军卓越网络中心在一份机构声明中表示,该中心正在测试网络空间欺骗能力,“这种能力可以用来提供早期预警、虚假信息、混淆信息、赛博延迟或以其他方式阻碍赛博攻击者”。美国陆军补充说,通过使用一种基于传感器的人工智能来学习网络架构和相关行为,从而实现拒止、中立、欺骗和重定向网络攻击。该声明强调要使用自主设备实现网络防御能力。
这并不是美国军方首次对欺骗网络攻击者的技术研发工作进行投资。六年多来,美国国防高级研究计划局(DARPA)一直在投资一个项目,该项目通过伪装、隐藏和欺骗攻击者来保护网络系统。其理念是对基础设施和其他企业资源(如交换机、服务器和存储器)进行虚拟复制以混淆敌人视听。诱饵文件系统可以混淆攻击者,从而大大降低他们攻击的成功率。该项目并不是一个独立的系统。它是一个更大的以“移动目标为主题”的情报、军事和安全网络项目的一部分,该主题随时间的推移而不断变化。
(5)IBM推出对抗语音网络钓鱼技术
2019年1月8日,IBM再次以共被授予9,100项专利位居美国年度专利斩获榜首,其中,对抗语音网络钓鱼(vishing)技术尤其突出。语音网络钓鱼攻击中,黑客利用网络电话(VoIP)系统屏蔽掉呼叫源身份以欺骗受害者。IBM已经注册了一个问答系统专利,可以监视并分析通话双方语音交谈,识别其间欺骗尝试。IBM目前正开展网络安全欺骗技术的创新研究,还有多项专利正在申请中。当前普遍应用的传统安全方法存在巨大风险,因为这些方法用默认拒绝策略封堵已确知不希望出现在自己网络上的东西,但弄清自己到底不希望哪些东西出现在自家内网并不是件容易的事。网络安全欺骗技术则是默认放进所有请求,然后用各处安放的陷阱和诱饵作为早期警报系统来检测可疑行为。
五、网络欺骗防御技术的最新理论发展
(1)蜜罐补丁:一种新型软件网络空间欺骗技术
当一个软件安全漏洞被发现时,传统的防御响应是快速修补软件来解决问题。但是,如果补丁具有暴露和突出防御者网络中其他易受攻击漏洞的副作用,这种常规的补救措施可能会适得其反。不幸的是,上述现象很常见。补丁式的修补方式往往使攻击者能具体地推断出哪些系统已被修补,哪些系统未打补丁、易受攻击。由于补丁很少被直接采用,所以存在未打补丁的系统是不可避免的,例如,为确保补丁的兼容性,往往需要进行提前检测。因此,大多数软件安全补丁对新发现的漏洞进行修复的同时,也告知了攻击者该系统仍然易受攻击。这不但形成了一种对抗文化,也使得漏洞探测成为网络空间杀伤链中的关键一环。
蜜罐补丁是一种改变了游戏规则的替代办法,可用来预测和击败这些定向的网络空间攻击。它的目标是通过一种方式来修补新发现的软件安全漏洞,也就是,使未来的攻击者无法再次攻击这些已修补的漏洞,但对攻击者仍然显示漏洞攻击成功。这样就掩饰了已修补的漏洞,防止攻击者轻易地识别出哪些系统是真正未打补丁的,哪些是由打过补丁的系统伪装而成的。所检测到的攻击会被重定向到隔离的、未打补丁的诱饵环境中,受害靶服务器具有完全交互功能,只不过利用“蜂蜜”数据向对手提供假情报,并积极主动地监控对手的行为。
欺骗性的蜜罐补丁能力形成了一种先进的、基于语言的主动防御技术,可以阻止、挫败和误导攻击,并能显著提高攻击者所面临的风险和不确定性。除了有助于保护内部设有蜜罐补丁的网络空间之外,它也有利于公共网络空间的安全。
(2)网络空间抵赖与欺骗
网络空间防御模式从静态、被动的边界防御逐步发展为外向型的主动防御,这种主动防御可以对网络空间攻击进行学习、结合和影响。这种发展在策略、操作和战略的层面为通过网络空间抵赖与欺骗提高网络系统抵御攻击的能力打开了一扇新的大门。网络空间抵赖与欺骗是一种新兴的交叉学科网络空间安全防御体系。
1)网络空间欺骗链
网络空间欺骗链是从网络空间生命周期的角度建立的网络空间抵赖与欺骗操作管理高级元模型。类比于洛克希德·马丁公司提出的“网络空间杀伤链”模型,网络空间欺骗链是从用于策划、准备和执行欺骗操作的流程发展而来的。网络空间欺骗链促进了网络空间抵赖与欺骗、网络空间威胁情报和网络空间运营安全3个系统间的相互融合。网络空间欺骗链一共分为8个阶段,如图1所示。
图1 网络空间欺骗链
制定目标:就是网络空间欺骗的目的,由于网络欺骗的根本目的是为了影响攻击者的行为,网络空间欺骗的目的则要与对攻击者行为影响的预期息息相关。也就是说,欺骗的目的是通过引导攻击者实施或不实施某些操作,来帮助防御方实施网络空间防御。
收集情报:在网络空间欺骗链的第二个阶段中,拒绝与欺骗策划者定义了攻击者在遭到欺骗后的预期行为。从某种程度上说,攻击者预期行为是策划者通过网络空间威胁情报定义的。主要包括攻击者将会观测到什么;攻击者将会如何解读这种观测;攻击者将会如何对观测的结果进行或不进行反馈;以及攻击者的行为如何被防御方监控。
设计故事:所谓“封面故事”是指网络空间抵赖与欺骗策划者想要攻击者探测和相信的信息。拒绝与欺骗策划者会将重要组件的抵赖与欺骗操作考虑在内;评估攻击者观测和分析的能力;虚构令攻击者信服的故事,并利用它“解释”攻击者可观测运营组件的原因;同时误导攻击者对其观测意义和重要性的解读。拒绝与欺骗策划者将决定什么信息必须要被掩盖,什么信息必须被虚构并且曝光。
筹备工具:在这个阶段,网络空间抵赖与欺骗策划者需要分析所要隐藏的真实事件和活动的特征,以支持封面故事的设计;要鉴别攻击者可以观测的相关签名;要计划利用拒绝策略(比如伪装、重组、扰乱和标注等)隐藏来自攻击者的签名。策划者还要分析可用于描绘和观测所支持骗局的名义上的事件与活动的特征;鉴别攻击者可以观测的相关签名;计划使用可以误导攻击者的欺骗性策略。
准备欺骗:在这个阶段,抵赖与欺骗策划者需要对可以使攻击者认知和感知产生影响的欺骗运行进行设计,并探索可用的手段和资源以创造这些影响。
执行欺骗:随着欺骗转变和真实运营准备的同步进行和相互交叉,抵赖与欺骗策划者和网络空间运营安全专家必须协同并控制所有正在进行的相关运营,从而可以在不妨碍和折损真实运营的情况下持续、可靠、有效地支持和实施所设计的骗局。
实施监控:抵赖与欺骗策划者与网络空间威胁情报分析师、网络空间运营安全专家共同对欺骗和真实运营进行监测和控制。这将对友军和敌军的运营准备实施监控;将会密切关注观测通道和信源选择性传播给攻击者的欺骗信息;将会监测攻击者对“表演”,即执行的封面故事的反馈。网络空间抵赖与欺骗操作员必须通过监测攻击者以决定欺骗性运营是否对攻击者行为产生了预期影响。
强化效果:如果网络情报获知欺骗操作没有把封面故事“出售”给攻击者,且并未对攻击者的行为产生预期的影响,那么网络空间抵赖与欺骗策划者就需要通过进一步欺骗、利用其他通道和信源将欺骗运营传递给攻击者以强化封面故事。策划者要重回网络欺骗链的第一步,执行备用欺骗,或者规划其他的运营。
2)网络空间欺骗链与网络空间杀伤链
攻击者在目标网络空间中对有价值的信息实施攻击时都遵从一个通用的行为模式。攻击者通常利用的网络攻击策略,可被网络空间杀伤链或者攻击周期划分为6个阶段。类似于网络空间杀伤链,网络空间欺骗链并非一次入侵。每前进的一步都可能是递归或者不连贯的。网络空间欺骗链同时也可以用于网络空间杀伤链的任何一个阶段,且欺骗操作的目的与杀伤链的每个阶段都息息相关,如图2所示。
图2 创建网络空间欺骗链防御
侦察:如果防御方可以察觉攻击者侦察的力度,就可在传递阶段为攻击者提供为了实现防御目的而设置的一系列角色和Web足迹。值得注意的是,欺骗操作可被用于影响攻击链中攻击者将来的行为。
武器化:让攻击者对企业机构漏洞、防御姿态,以及防御方可抵御攻击武器化荷载的能力产生错觉。如果侦察阶段成功,攻击者将会尝试给一个或多个自以为真实而实则是虚假的人员角色传输武器化载荷。
漏洞利用:识别(攻击者)对漏洞利用的企图,可以让防御方列用蜜罐环境使攻击者进行重定位。所谓蜜罐环境就是看似包含了丰富的漏洞信息的网络组成部分,实则是防御方单独设立,且可以监测的网络区域。其目标就是隐藏所有可能被“发现”或暴露蜜罐的信息,以增加攻击者侦察的时间长度。
控制:当攻击者拥有了唾手可得的接入权限时,通过给攻击者提供由抵赖与欺骗策划者设计的、具有丰富信息的互动型蜜罐,能帮助防御方识别攻击者的动机、意图和能力成熟度。
执行:通过模拟系统中断使攻击者的攻击步伐放缓,以便于收集网络空间情报。
维持:通过适时增加和定期去除虚假人员角色信息以保持高互动性蜜罐环境的真实性,同时还要维持新有人员角色及其他,比如文件、邮件、密码修改记录、登录记录、浏览记录等。
表1 欺骗与杀伤链模型的映射关系
六、网络空间欺骗防御面临的挑战
第一类挑战是如何将用于应用欺骗技术描述的配置规则的语义进行分类。而这些技术与它们属于的网络环境的细节相关。例如,如果检测到可能的攻击活动,则可以无条件地触发网络空间欺骗。然而,如果检测到双重用途网络事件,则必然存在用于触发欺骗防御的附加条件。这种需要附件条件的示例是发起请求DNS传输的网络连接主机的源IP地址。如果请求并非来自预期执行网络管理活动的主机节点,则会触发欺骗防御。
第二类挑战是不同的欺骗技术如何对不同类型的用户产生不同的影响。例如,在网络上呈现虚假服务,虽然从网络管理的角度会存在一些问题,但是对于正常用户没有影响。与此同时,使用诸如伪造密码或者蜂窝对象(例如未使用的数据文件,或者未映射的网页)的欺骗技术来防止对正常用户或者高级用户活动产生任何影响。然而,使用诸如协议模糊的技术则可能严重地影响正常用户的操作,并且当且仅当检测到攻击并识别出攻击者时才能够被直接定向和触发。
第三类挑战是,如果检测到可归属于正常用户操作的活动,但其试图执行超出分配优先范围的动作,则也会触发欺骗防御。例如如果某个主机尝试启用被内部防火墙阻塞的口令,或者看似合法的内部用户尝试访问禁止的网络共享以启动TCP连接等。
未来应对这些挑战,一种可能的替代方法是对高级用户的网络请求/查询采用多因素认证。欺骗活动对正常业务的影响最好通过仔细选择与安全策略相一致的欺骗技术来解决。与此同时,还要注意的是,每个分析的数据包来源必须通过使用欺骗系统本身的能力,或者依靠其他部署的第三方防御检测加以验证。
七、网络欺骗防御技术的发展预测
现有网络欺骗技术没有形成固定且统一的形态,而是随着攻击技术与网络安全需求的变化而演化。尽管有一些网络欺骗技术的理论研究工作,然而更侧重于对网络欺骗效果的分析,没有成体系的理论基础与通用的标准规范。与其他安全防御措施相比,基于欺骗的防御工具需要防止被入侵者发现,这就要求与业务系统具有高度的一致性,现有的欺骗技术在根据业务系统进行动态调整的能力上还有所欠缺,由安全人员开发的欺骗工具与业务环境契合度尚需完善。概括起来,网络欺骗技术未来发展趋势包括:
(1)与威胁情报相结合,一方面利用威胁情报提供的信息完善欺骗策略,另一方面欺骗技术捕获到的信息反过来可以助力威胁情报的生成;
(2)可定制、智能化的网络欺骗技术框架研究与开发,通过机器学习、人工智能等技术根据所部署的业务环境自动生成与业务系统高度一致、具有高保密性的欺骗环境;
(3)研究以SDN、云平台等技术部署的具有伸缩性的网络欺骗工具;
(4)结合认知心理学、军事学等学科关于欺骗的研究成果,进行网络欺骗模型与理论研究。
八、结 语
网络空间防御作为保证网络安全的关键,无论在方法理论、体系构建、还是技术实施等方面都在不断推陈出新。不同于以往“封门堵漏”的被动防御思想,网络空间防御正朝着主动防御的思想策略发展演变。欺骗防御跳出了技术对抗的思路,把关注点从攻击上挪开,进而去关注攻击者本身。即使人类进入量子计算时代,但凡人性的弱点还没有消失,欺骗和防御的故事都会不断上演,而且在未来的信息对抗中将扮演越来越重要的作用。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
