除了常规的防御机制和安全工具之外,组织还可以采取一些特定的措施来提高组织对攻击的觉察能力,进而更加有效地抵御攻击,将其带来的损失与影响降至最低。其中,蜜罐以及虚假账户就是很好的例子,可以有效地帮助组织发现那些常规安全产品无法抵御的入侵攻击或恶意活动。

建造蜜罐系统是一个十分有效的解决方案,蜜罐可以在“诱捕”攻击者的同时监测他们的行为,从而帮助组织在攻击发生之前采取相应的防御措施,减少对外部事件响应公司的依赖。

蜜罐是一种诱饵系统,旨在吸引攻击者,转移其对实际目标的注意力。它们通常被用作一种安全机制,来对攻击者未经授权的恶意访问尝试进行检测、偏移以及研究。一旦攻击者与蜜罐进行交互,系统就可以收集有关攻击者的战术、技术以及过程(TTPs)等重要信息。

在如今这个数字时代,尽管每年分配给安全部门的预算不断增加,但数据泄露事件却并未如预期般减少,反倒是愈加泛滥起来。此时最关键的任务就是要积极采取主动措施来尽量降低数据泄露的影响,而这就要我们来设法扭转攻击者的优势地位,将其引诱到蜜罐中来。

01 若蜜罐是渔网,那么蜜标就是鱼饵

虽然蜜罐是追踪攻击者和防止数据泄露的有效解决方案,但由于设置和维护困难,它们尚未被广泛采用。为了吸引攻击者,蜜罐需要看起来合法,且与真实的生产网络相隔离。对于旨在开发入侵检测能力的蓝队来说,对蜜罐的设置和规模扩展无疑是具有挑战性的。

然而,这并不是全部。发展至今,软件供应链由众多来自不同供应商的第三方组件(例如SaaS工具、API和库等)所构成,结构错综复杂。这些组件被添加到软件构建堆栈的不同层级,对需要进行防御的安全边界概念产生了挑战。在这种由DevOps主导的世界中,内部控制和非内部控制之间的界线不断发生变化,使得蜜罐也逐渐失去其意义。因为如今源代码管理系统和持续集成流水线才是真正能够吸引黑客的诱饵,而传统的蜜罐却无法模仿这些。

为了确保软件供应链的安全性和完整性,组织需要重新寻求合适的解决方案。而蜜标就是一种不错的选择。蜜标与蜜罐的关系就如诱饵与渔网一般。相较于蜜罐,蜜标仅需要最少的资源就能够在攻击检测方面发挥成效。

02 蜜标诱捕

蜜标是蜜罐的一个子集,它通常会“伪装”成一个合法的凭证或机密信息。一旦攻击者使用了蜜标,就会立即触发警报。此时,安全团队就可以根据确切的攻击迹象(例如IP地址(以区分内部和外部的攻击源)、时间戳、用户代理、资源以及在蜜标和相邻系统上执行的所有操作)来迅速采取应对措施。

在使用蜜标时,凭证就扮演者“诱饵”的角色。当黑客入侵系统时,首先要做的就是识别出较为脆弱的目标来作为突破点,从而得以在系统内部进行移动、提升权限或窃取数据。在这种情况下,像云API密钥这样的编程凭证就是黑客扫描的理想目标,因为它们具有可识别的模式,并且通常会包含对攻击者有用的信息。反过来站在防御的视角,它们也是安全团队最常使用的诱饵,可以放置在云资产、内部服务器、第三方SaaS工具以及工作站或文件上。

使用传统方式来识别数据泄露事件,平均需要花费327天。而通过在多个地方传播蜜标,安全团队在短短几分钟内就可以检测到入侵行为,以增强软件交付流程的安全性,防范潜在的入侵事件。蜜标的简单性是一个显著的优势,使组织无需花费大量的时间和资源来开发和维护一个完整的欺骗系统。组织可以轻松地在企业规模上创建、部署和管理蜜标,从而同时对数千个代码存储库进行保护。

03 入侵检测的未来

在DevOps主导的世界中,入侵检测一直以来都不怎么受人们的关注。而如今软件供应链逐渐成为了攻击者新的主要目标。因为他们意识到开发和构建环境比生产环境的安全性要低得多。因此,现在最关键的就是要提升蜜罐技术的可获取性并实现自动化的规模化部署。

最近,为了完成这一使命,代码安全平台GitGuardian也推出了蜜标功能。长期以来,该平台一直在强调开发人员和应用程序安全(AppSec)分析师之间共享安全责任的重要性。现在目标就是要通过让更多的组织来生成诱饵凭证,并将其放置在软件开发堆栈的战略位置上,从而在入侵检测方面实现“左移”。这需要为开发人员提供一个专门的工具来帮助其创建蜜标,并将它们放置在代码存储库和软件供应链中。

同时蜜标模块还可以自动检测GitHub上的代码泄漏:当用户在自己的代码中放置蜜标时,GitGuardian就可以确定该代码是否已在公开的GitHub上泄漏,并确定泄露的位置。通过及早发现泄露并采取相应的防范措施,组织能够降低泄露事件对其业务和用户数据的影响。

04 总结

随着软件行业的不断发展,“如何让安全性更易于普及”变得至关重要。蜜标提供了一种简单且主动的解决方案,以尽快检测到软件供应链中的入侵行为。无论组织的技术栈或使用的工具有多么复杂(例如源代码管理系统、持续集成持续部署(水线和软件构件注册表等),蜜标都能帮助各种规模的公司保护其系统安全。

通过其零设置和易于使用的方法,GitGuardian 正致力于集成这项技术,旨在帮助组织在更大的企业规模上创建、部署和管理蜜标,以减少潜在数据泄露的影响。

如此看来,蜜标正是下一代入侵检测的可见未来。

数世咨询点评

随着恶意攻击的不断升级和软件供应链的日益复杂化,传统的入侵检测方式早已破绽百出,如今防御者必须转变思维,转被动为主动,同样是基于主动防御思想,蜜标相对于完整的蜜罐系统来说更容易部署和管理,所需的资源也大大降低。但相应地,比起蜜罐能够提供详细的攻击数据和行为分析来说,蜜标的检测范围有限,只能监测特定的诱饵信息,而无法提供完整的攻击行为和情报。

总的来说,蜜罐重在全面性,而蜜标则注重精确和快速。不仅仅是蜜罐和蜜标,还有蜜饵、蜜点、蜜罐、蜜标、蜜网、蜜场和蜜境等,它们都各自具有其独特的优势和局限,组织实际要选择哪种技术则需要具体考虑其安全需求、资源限制和预期的监测结果等,同时检测的持续性也是需要考虑的方面。

* 本文为茉泠编译,原文地址:https://thehackernews.com/2023/05/why-honeytokens-are-future-of-intrusion.html

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。