沙箱、蜜罐和欺騙防禦的區別
網路、網路攻擊,以及用於阻止網路攻擊的策略,一直在進化發展。欺騙防禦(Deception)是令研究人員和資訊保安人員得以觀察攻擊者行為的新興網路防禦戰術,能讓攻擊者在“自以為是”的公司網路中表現出各種惡意行為。
“欺騙防禦”這個術語從去年開始才逐漸流傳開來,所以很難講清這些解決方案與其他試圖誘騙攻擊者的工具——比如沙箱和蜜罐,到底有什麼區別。與其他戰術一樣,網路欺騙技術誘騙攻擊者和惡意應用暴露自身,以便研究人員能夠設計出有效防護措施。但網路欺騙防禦更依賴於自動化和規模化,無需太多專業知識和技能來設定並管理。這三種技術都有各自獨特的需求和理想用例,要想切實理解,需更仔細地深入瞭解其中每一種技術。
沙箱
幾乎自網路和第三方程式出現起,對網路流量和程式的分析需求就一直存在。上世紀70年代,為測試人工智慧應用程式而引入的沙箱技術,能令惡意軟體在一個封閉的環境中安裝並執行,令研究人員得以觀測惡意軟體的行為,識別潛在風險,開發應對措施。
當前的有效沙箱基本都是在專用虛擬機器上執行。這麼做可以在與網路隔離的主機上用多種作業系統安全地測試惡意軟體。安全研究人員會在分析惡意軟體時採用沙箱技術,很多高階反惡意軟體產品也用沙箱來根據可疑檔案的行為確定其是否真的是惡意軟體。因為現代惡意軟體大多經過模糊處理以規避基於特徵碼的殺軟,此類基於行為分析的反惡意軟體解決方案就變得越來越重要了。
大多數公司企業無法像專業研究人員或供應商一樣以一定的專業技術水平執行惡意軟體分析。小公司通常會選擇部署沙箱即服務,從已經實現了自動化整個沙箱檢測過程的供應商那裡收穫沙箱技術的各種益處。
蜜罐
蜜罐和蜜網就是為誘捕攻擊者而專門設定的脆弱系統。蜜罐是誘使攻擊者盜取有價值資料或進一步探測目標網路的單個主機。
1999年開始出現的蜜網,則是為了探清攻擊者所用攻擊過程和策略。蜜網由多個蜜罐構成,常被配置成模擬一個實際的網路——有檔案伺服器、Web伺服器等等,目的是讓攻擊者誤以為自己成功滲透進了網路。但實際上,他們進入的是一個隔離環境,頭上還高懸著研究人員的顯微鏡。
蜜罐可以讓研究人員觀測真實的攻擊者是怎麼動作的,而沙箱僅揭示惡意軟體的行為。安全研究人員和分析師通常就是出於觀測攻擊者行動的目的而使用蜜罐和蜜網。關注防禦的研究人員和IT及安全人員可以運用此資訊,通過注意新攻擊方法和實現新防禦加以應對,來改善自家企業或組織機構的安全狀況。蜜網還能浪費攻擊者的時間,讓他們因毫無所獲而放棄攻擊。
經常受到黑客攻擊的政府機構和金融公司可以從蜜網中收穫良多,但蜜網技術同樣適用於中大型公司企業。根據業務模型和安全狀況,一些中小型企業也可以從中獲益,但今天的大多數中小企業尚不具備能夠設定或維護蜜罐蜜網的安全專家。
網路欺騙(Cyber Deception)
網路欺騙的核心概念最早是普渡大學的 Gene Spafford 於1989年提出的。有些人認為這一概念或多或少指的就是現代動態蜜罐和蜜網,基本上,他們的理解是正確的。
欺騙防禦則是一個新的術語,其定義尚未定型,但基本指的是一系列更高階的蜜罐和蜜網產品,能夠基於所捕獲的資料為檢測和防禦實現提供更高的自動化程度。
需要指出的是,欺騙技術分不同層次。有些類似高階版的蜜罐,有些具備真實網路的所有特徵,包括真正的資料和裝置。這種欺騙技術可以模仿並分析不同型別的流量,提供對賬戶和檔案的虛假訪問,更為神似模仿內部網路。有些安全欺騙產品還可以自動部署,讓攻擊者被耍得團團轉,陷入無窮無盡地追逐更多資訊的迴圈中,令使用者能更具體更真實地響應攻擊者。欺騙防禦產品按既定意圖運作時,黑客會真的相信自己已經滲透到受限網路中,正在收集關鍵資料。沒錯,他們確實在訪問資料,但這些資料只是使用者想要他們看到的那部分。
欺騙防禦尚處於發展初期,與大多數新生安全技術一樣,其初始用例是大企業才用的小眾工具,隨後才會逐漸在市場上鋪開。目前,這些工具對政府設施、金融機構和研究公司之類引人注目的目標尤其有用。公司企業仍需安全分析師來解析安全欺騙工具收集的資料,所以沒有專業安全員工的小公司通常無法享受到欺騙防禦工具的好處。儘管如此,中小企業可以簽約提供分析與防護即服務的安全供應商,以委託的方式從這種新興技術中獲益。
以上三種安全技術在預防與分析領域各司其職。從較高層次上看,沙箱允許惡意軟體安裝並執行以供觀察其惡意行為;蜜罐和蜜網關注分析黑客會在自以為已被滲透的網路上幹些什麼;欺騙防禦則是更新的高階入侵檢測及預防設想。欺騙技術提供更為真實的蜜網,易於部署且能給使用者提供更多資訊,但需要更多的預算和更高的專業技能要求,通常只能在大企業中應用,至少現在其用例還僅限制在大企業裡。
相關閱讀
ofollow,noindex">蜜罐新技術:高保真自適應欺騙模擬系統