蜜罐如何在攻防演練中戰(zhàn)術(shù)部防？

蜜罐是一種軟件應(yīng)用系統(tǒng)，用來(lái)稱(chēng)當(dāng)入侵誘餌，引誘黑客前來(lái)攻擊。攻擊者入侵后，通過(guò)監(jiān)測(cè)與分析，就可以知道他是如何入侵的，隨時(shí)了解針對(duì)組織服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。

在開(kāi)始閱讀這篇文章之前，請(qǐng)先仔細(xì)看看以下幾個(gè)問(wèn)題，如果它們剛好是你關(guān)心的，請(qǐng)繼續(xù)下面的文章內(nèi)容。

你是否除了需要知道是否有入侵，還需要知道對(duì)方的目標(biāo)是什么?軌跡是什么?行為是什么?工具是什么? 比較而言，攻防演練快速反應(yīng)場(chǎng)景下，你是更希望得到“大而全的數(shù)據(jù)”，還是“對(duì)的數(shù)據(jù)”? 傳統(tǒng)攻防中，防守者要100%聚精會(huì)神，而攻擊者只需要幸運(yùn)一次……你希望延續(xù)這個(gè)局面，還是反轉(zhuǎn)這個(gè)局面? 你是否直覺(jué)上認(rèn)可蜜罐的價(jià)值，然而卻依然覺(jué)得其歷史和復(fù)雜性有那么一丟丟讓你猶豫，而保持觀望態(tài)度? 正文

 

網(wǎng)絡(luò)攻防演練活動(dòng)以模擬真實(shí)攻擊為重要標(biāo)準(zhǔn)，對(duì)參與演練單位的各類(lèi)系統(tǒng)進(jìn)行滲透，通過(guò)設(shè)定演練規(guī)則，根據(jù)統(tǒng)計(jì)攻擊和防守方得失分情況，判定防守方防護(hù)能力水平。在這個(gè)過(guò)程中，防守方對(duì)攻擊方是誰(shuí)、從哪里發(fā)動(dòng)攻擊、用何種手段均一無(wú)所知，處于“攻防不對(duì)稱(chēng)”下的天然劣勢(shì)。

本次我們將以某個(gè)行業(yè)開(kāi)展的攻防演練活動(dòng)為示例，從防守方的視角，看其怎樣利用欺騙偽裝技術(shù)，實(shí)現(xiàn)主動(dòng)對(duì)抗，及時(shí)誘捕、發(fā)現(xiàn)、處置、溯源，甚至反制攻擊者。

在該次攻防演練活動(dòng)中，十?dāng)?shù)支攻擊隊(duì)伍組成藍(lán)軍，對(duì)全國(guó)分支機(jī)構(gòu)和直屬單位的互聯(lián)網(wǎng)信息系統(tǒng)進(jìn)行模擬攻擊。本次由藍(lán)軍對(duì)參與演練單位的各類(lèi)系統(tǒng)發(fā)起挑戰(zhàn)，不限制攻擊路徑。

戰(zhàn)術(shù)1——知己知彼

 

分析攻擊者的攻擊路徑，制定戰(zhàn)術(shù)布防策略。

通常情況下，攻擊者會(huì)在攻擊前期對(duì)目標(biāo)信息系統(tǒng)進(jìn)行全面的信息收集，以期望找到處于嚴(yán)控防護(hù)手段之外的站點(diǎn)或路徑，利用漏洞獲取Web服務(wù)器權(quán)限，或者采用0day攻擊、社會(huì)工程學(xué)、物理入侵等手段突破或繞過(guò)邊界防護(hù)，進(jìn)入內(nèi)網(wǎng)。

攻擊者常利用的突破口多為對(duì)外開(kāi)放的站點(diǎn)、服務(wù)上存在的漏洞、未經(jīng)嚴(yán)格控制而開(kāi)放的測(cè)試站點(diǎn)等。防守方應(yīng)當(dāng)提前分析自身網(wǎng)絡(luò)特性，找到攻擊者最可能“光顧”的區(qū)域，加強(qiáng)防護(hù)的同時(shí)，在相應(yīng)區(qū)域內(nèi)的關(guān)鍵信息節(jié)點(diǎn)部署蜜罐，使攻擊者在信息收集階段受到干擾，進(jìn)而誘導(dǎo)攻擊者對(duì)蜜罐發(fā)動(dòng)攻擊。

根據(jù)分析，該行業(yè)的互聯(lián)網(wǎng)應(yīng)用均部署在互聯(lián)網(wǎng)大區(qū)中，攻擊者從互聯(lián)網(wǎng)應(yīng)用突破的路徑在該區(qū)域。因此，偽裝欺騙系統(tǒng)最終決定部署在該區(qū)域中。

戰(zhàn)術(shù)2——監(jiān)察敵情

 

網(wǎng)絡(luò)異常行為監(jiān)測(cè)，分析攻擊者攻擊意圖。

攻擊者在進(jìn)行信息收集時(shí)，會(huì)借用各類(lèi)掃描工具向目標(biāo)資產(chǎn)發(fā)送探測(cè)請(qǐng)求，進(jìn)行信息收集。這些由探測(cè)工具發(fā)送的各類(lèi)探測(cè)包，屬于異常網(wǎng)絡(luò)行為，這些探測(cè)行為背后，醞釀著各類(lèi)可能發(fā)生的攻擊動(dòng)作。因此，防守方應(yīng)監(jiān)測(cè)網(wǎng)絡(luò)中的異常網(wǎng)絡(luò)行為，包括任意端口探測(cè)、Ping探測(cè)、ARP探測(cè)等。

蜜罐進(jìn)程級(jí)的監(jiān)控能力，能夠監(jiān)控和記錄攻擊者進(jìn)入蜜罐后的所有動(dòng)作進(jìn)行。Web類(lèi)的蜜罐還可識(shí)別和記錄攻擊者使用的攻擊方法和攻擊載荷，可作為判斷攻擊者意圖的重要依據(jù)。

防守方將由蜜罐收集的信息匯總至欺騙偽裝平臺(tái)，由平臺(tái)進(jìn)行統(tǒng)一分析，根據(jù)攻擊者的攻擊意圖戰(zhàn)略調(diào)整監(jiān)控防御節(jié)點(diǎn)，做到因“敵“制宜。

戰(zhàn)術(shù)3——誘敵深入

 

蜜罐高度模擬真實(shí)資產(chǎn)，誘導(dǎo)攻擊者進(jìn)入欺騙偽裝系統(tǒng)。

對(duì)于防守方，如何在敵暗我明的情況下盡量爭(zhēng)取主動(dòng)權(quán)，搶占先機(jī)呢?答案是采用主動(dòng)誘捕戰(zhàn)術(shù)。

主動(dòng)誘捕主要作用于演練活動(dòng)啟動(dòng)前2-3天內(nèi)，此時(shí)攻擊方正廣泛收集目標(biāo)資產(chǎn)信息，防守方的目標(biāo)是污染攻擊方掌握的資產(chǎn)情報(bào)，并誘導(dǎo)攻擊者優(yōu)先訪問(wèn)偽裝探針節(jié)點(diǎn)。

探針節(jié)點(diǎn)的作用包括兩部分，首先是監(jiān)測(cè)探針?biāo)渴鹁W(wǎng)絡(luò)中的掃描探測(cè)行為，其次是通過(guò)綁定蜜罐將蜜罐服務(wù)映射至所部署網(wǎng)絡(luò)中。因此，探針節(jié)點(diǎn)應(yīng)盡可能覆蓋核心區(qū)域的C類(lèi)網(wǎng)段或VLANs，可部署在虛擬機(jī)或?qū)Ｓ糜布O(shè)備中。

主要戰(zhàn)術(shù)動(dòng)作有：

(1) 制作具有真實(shí)性和迷惑性的Web蜜罐。

(2) 將仿真Web蜜罐、通用Web蜜罐綁定至若干探針節(jié)點(diǎn)，通過(guò)地址轉(zhuǎn)換、域名綁定等措施將探針節(jié)點(diǎn)發(fā)布至互聯(lián)網(wǎng)。

通過(guò)地址轉(zhuǎn)換(NAT)設(shè)備，將探針節(jié)點(diǎn)服務(wù)映射到公網(wǎng)。 通過(guò)四層和七層協(xié)議的負(fù)載均衡設(shè)備，通過(guò)端口映射或反向代理將探針節(jié)點(diǎn)服務(wù)發(fā)布到公網(wǎng)。

(3) 在代碼平臺(tái)、文庫(kù)、安全論壇、社交網(wǎng)絡(luò)分撒探針節(jié)點(diǎn)的互聯(lián)網(wǎng)地址作為誘餌。

主動(dòng)誘捕戰(zhàn)術(shù)執(zhí)行時(shí)應(yīng)注意以下幾點(diǎn)：

防守方應(yīng)早于演練啟動(dòng)前，發(fā)布互聯(lián)網(wǎng)探針節(jié)點(diǎn)，并進(jìn)行充分測(cè)試。 仿真蜜罐應(yīng)保證真實(shí)性和誘惑性。 為提升真實(shí)性，應(yīng)避免使用系統(tǒng)服務(wù)和缺陷偽裝服務(wù)蜜罐。 蜜罐被觸發(fā)后，應(yīng)及時(shí)處理告警信息，并根據(jù)攻擊方動(dòng)態(tài)調(diào)整蜜罐配置，必要時(shí)下線蜜罐，避免攻擊者發(fā)現(xiàn)蜜罐后，為掩蓋自己身份，將蜜罐地址隨意分發(fā)，誘導(dǎo)無(wú)關(guān)人員訪問(wèn)，污染蜜罐告警數(shù)據(jù)。 戰(zhàn)術(shù)4——強(qiáng)強(qiáng)聯(lián)合

 

將WAF識(shí)別的可疑信息聯(lián)動(dòng)至蜜罐，由欺騙偽裝平臺(tái)實(shí)現(xiàn)分析研判。

攻防演練中WAF作為Web應(yīng)用的重要防線，能夠識(shí)別出大部分攻擊行為，為獲取更多攻擊者信息，本次演練中，防守方設(shè)定WAF與欺騙偽裝平臺(tái)進(jìn)行聯(lián)動(dòng)，將可疑訪問(wèn)轉(zhuǎn)發(fā)至蜜罐中，采集攻擊者信息。

戰(zhàn)術(shù)動(dòng)作如下：

WAF應(yīng)具備自定義攔截頁(yè)面和重定向能力。 WAF檢測(cè)策略應(yīng)進(jìn)行優(yōu)化，盡可能消除誤報(bào)，避免將正常請(qǐng)求重定向至蜜罐。 攻擊者觸發(fā)WAF攔截策略后，將被重定向至攔截頁(yè)面，攔截頁(yè)面具備溯源能力，攻擊者信息會(huì)傳遞至欺騙偽裝平臺(tái)后臺(tái)。

WAF聯(lián)動(dòng)戰(zhàn)術(shù)執(zhí)行時(shí)應(yīng)注意以下幾點(diǎn)：

WAF檢測(cè)策略應(yīng)能保證較低的誤報(bào)率。 避免在訪問(wèn)量較大的系統(tǒng)使用該戰(zhàn)術(shù)。 戰(zhàn)術(shù)5——定位溯源

 

欺騙偽裝平臺(tái)收集匯總信息，分析繪制攻擊者畫(huà)像。

攻防演練活動(dòng)中，防守方對(duì)攻擊方行為、遺留文件、身份信息等進(jìn)行分析和判斷，并向指揮部報(bào)告，可獲得加分。因此，防守方在發(fā)現(xiàn)和研判攻擊事件時(shí)，應(yīng)能采集和記錄攻擊行為和身份信息。

在經(jīng)過(guò)主動(dòng)誘捕和WAF聯(lián)動(dòng)戰(zhàn)術(shù)的后，已基本完成攻擊者的信息采集，收集到的信息可支撐對(duì)攻擊者的追蹤和溯源，從而對(duì)攻擊態(tài)勢(shì)進(jìn)行研判。該戰(zhàn)術(shù)依賴(lài)情報(bào)的完善程度，根據(jù)獲取到的攻擊者信息不同，追蹤溯源動(dòng)作包括IP信息溯源和社交信息溯源。

(1) IP信息溯源

欺騙偽裝平臺(tái)獲得攻擊者IP后，可從以下幾個(gè)方面對(duì)攻擊者進(jìn)行畫(huà)像：

根據(jù)上述查詢(xún)方法，可以對(duì)某個(gè)IP進(jìn)行多維度的信息查詢(xún)，通過(guò)關(guān)聯(lián)人員、地址、注冊(cè)單位、郵件、域名關(guān)鍵字等信息，可對(duì)攻擊IP進(jìn)行畫(huà)像，進(jìn)而參考社交信息溯源進(jìn)一步管理分析，可將攻擊者定位至自然人、單位組織。

(2) 社交信息溯源

欺騙偽裝平臺(tái)能夠抓取攻擊者社交賬戶(hù)信息，下面介紹一種基于已知社交身份信息進(jìn)行信息關(guān)聯(lián)查詢(xún)和整合分析的方法，僅限于攻防演練中防守戰(zhàn)術(shù)使用，不得違反相關(guān)法律規(guī)定，危害公民隱私信息。

常見(jiàn)社交賬戶(hù)信息包括以下內(nèi)容：

關(guān)聯(lián)查詢(xún)方法包括：

訪問(wèn)其社交網(wǎng)站，檢測(cè)有無(wú)個(gè)人信息泄露。 利用支付平臺(tái)，查詢(xún)其真實(shí)姓名。 利用通信平臺(tái)，添加好友，套取信息。 利用其注冊(cè)昵稱(chēng)，查詢(xún)?cè)谄渌军c(diǎn)同名注冊(cè)者。 將各平臺(tái)獲取的信息整合，完整拼湊出自然人畫(huà)像。 戰(zhàn)術(shù)6——乘勝追擊

 

通過(guò)對(duì)攻擊者行為日志的紀(jì)錄，定位敵人實(shí)現(xiàn)技術(shù)反制。

此戰(zhàn)術(shù)僅限在攻防演練活動(dòng)中使用，不得違反相關(guān)法律規(guī)定對(duì)未授權(quán)目標(biāo)進(jìn)行探測(cè)和掃描。

技術(shù)反制措施包括反向掃描攻擊IP、利用蜜罐服務(wù)定向魚(yú)叉攻擊入侵攻擊者，最終實(shí)現(xiàn)對(duì)其技術(shù)反制的目標(biāo)。參考戰(zhàn)術(shù)動(dòng)作如下：

(1) 反向掃描：

防守方發(fā)現(xiàn)攻擊IP后，通過(guò)IP查詢(xún)確定其是否為惡意IP，使用掃描器對(duì)目標(biāo)進(jìn)行探測(cè)，判斷攻擊IP下的資產(chǎn)類(lèi)型，若發(fā)現(xiàn)目標(biāo)存在漏洞且具備肉雞特征，可上報(bào)裁判組并報(bào)警處置。

(2) 反向魚(yú)叉：

防守方在主動(dòng)誘捕階段，通過(guò)在虛擬專(zhuān)用網(wǎng)蜜罐、郵箱蜜罐中放置包含木馬程序的文件或可執(zhí)行程序，通過(guò)提示下載、包含敏感信息等模式誘導(dǎo)攻擊者下載，若攻擊者在本地環(huán)境運(yùn)行該文件后，防守方可對(duì)攻擊方本地信息進(jìn)行收集，上報(bào)裁判組并模擬報(bào)警處置。

總結(jié)

 

盡管欺騙偽裝類(lèi)產(chǎn)品，目前依然存在不能覆蓋全網(wǎng)架構(gòu)和部分內(nèi)部員工熟悉內(nèi)部環(huán)境等局限性，但在日常安全運(yùn)維中，如果你面臨安全人手不足的情況，它是一個(gè)和其他安全產(chǎn)品形成互補(bǔ)的很好的選項(xiàng);尤其中小企業(yè)中，蜜罐產(chǎn)品應(yīng)成為主要的一個(gè)安全防護(hù)工具，它可以幫助你記錄很多有價(jià)值的數(shù)據(jù)和高質(zhì)量的預(yù)警。

原文地址：https://www.freebuf.com/articles/network/267528.html

新聞標(biāo)題：蜜罐如何在攻防演練中戰(zhàn)術(shù)部防？
本文URL：http://bm7419.com/news/204737.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站制作、企業(yè)建站、網(wǎng)站改版、品牌網(wǎng)站設(shè)計(jì)、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)