蜜罐如何在攻防演練中戰(zhàn)術(shù)部防？

蜜罐是一種軟件應(yīng)用系統(tǒng)，用來稱當(dāng)入侵誘餌，引誘黑客前來攻擊。攻擊者入侵后，通過監(jiān)測與分析，就可以知道他是如何入侵的，隨時了解針對組織服務(wù)器發(fā)動的最新的攻擊和漏洞。

在開始閱讀這篇文章之前，請先仔細看看以下幾個問題，如果它們剛好是你關(guān)心的，請繼續(xù)下面的文章內(nèi)容。

你是否除了需要知道是否有入侵，還需要知道對方的目標是什么?軌跡是什么?行為是什么?工具是什么? 比較而言，攻防演練快速反應(yīng)場景下，你是更希望得到“大而全的數(shù)據(jù)”，還是“對的數(shù)據(jù)”? 傳統(tǒng)攻防中，防守者要100%聚精會神，而攻擊者只需要幸運一次……你希望延續(xù)這個局面，還是反轉(zhuǎn)這個局面? 你是否直覺上認可蜜罐的價值，然而卻依然覺得其歷史和復(fù)雜性有那么一丟丟讓你猶豫，而保持觀望態(tài)度? 正文

 

網(wǎng)絡(luò)攻防演練活動以模擬真實攻擊為重要標準，對參與演練單位的各類系統(tǒng)進行滲透，通過設(shè)定演練規(guī)則，根據(jù)統(tǒng)計攻擊和防守方得失分情況，判定防守方防護能力水平。在這個過程中，防守方對攻擊方是誰、從哪里發(fā)動攻擊、用何種手段均一無所知，處于“攻防不對稱”下的天然劣勢。

本次我們將以某個行業(yè)開展的攻防演練活動為示例，從防守方的視角，看其怎樣利用欺騙偽裝技術(shù)，實現(xiàn)主動對抗，及時誘捕、發(fā)現(xiàn)、處置、溯源，甚至反制攻擊者。

在該次攻防演練活動中，十?dāng)?shù)支攻擊隊伍組成藍軍，對全國分支機構(gòu)和直屬單位的互聯(lián)網(wǎng)信息系統(tǒng)進行模擬攻擊。本次由藍軍對參與演練單位的各類系統(tǒng)發(fā)起挑戰(zhàn)，不限制攻擊路徑。

戰(zhàn)術(shù)1——知己知彼

 

分析攻擊者的攻擊路徑，制定戰(zhàn)術(shù)布防策略。

通常情況下，攻擊者會在攻擊前期對目標信息系統(tǒng)進行全面的信息收集，以期望找到處于嚴控防護手段之外的站點或路徑，利用漏洞獲取Web服務(wù)器權(quán)限，或者采用0day攻擊、社會工程學(xué)、物理入侵等手段突破或繞過邊界防護，進入內(nèi)網(wǎng)。

攻擊者常利用的突破口多為對外開放的站點、服務(wù)上存在的漏洞、未經(jīng)嚴格控制而開放的測試站點等。防守方應(yīng)當(dāng)提前分析自身網(wǎng)絡(luò)特性，找到攻擊者最可能“光顧”的區(qū)域，加強防護的同時，在相應(yīng)區(qū)域內(nèi)的關(guān)鍵信息節(jié)點部署蜜罐，使攻擊者在信息收集階段受到干擾，進而誘導(dǎo)攻擊者對蜜罐發(fā)動攻擊。

根據(jù)分析，該行業(yè)的互聯(lián)網(wǎng)應(yīng)用均部署在互聯(lián)網(wǎng)大區(qū)中，攻擊者從互聯(lián)網(wǎng)應(yīng)用突破的路徑在該區(qū)域。因此，偽裝欺騙系統(tǒng)最終決定部署在該區(qū)域中。

戰(zhàn)術(shù)2——監(jiān)察敵情

 

網(wǎng)絡(luò)異常行為監(jiān)測，分析攻擊者攻擊意圖。

攻擊者在進行信息收集時，會借用各類掃描工具向目標資產(chǎn)發(fā)送探測請求，進行信息收集。這些由探測工具發(fā)送的各類探測包，屬于異常網(wǎng)絡(luò)行為，這些探測行為背后，醞釀著各類可能發(fā)生的攻擊動作。因此，防守方應(yīng)監(jiān)測網(wǎng)絡(luò)中的異常網(wǎng)絡(luò)行為，包括任意端口探測、Ping探測、ARP探測等。

蜜罐進程級的監(jiān)控能力，能夠監(jiān)控和記錄攻擊者進入蜜罐后的所有動作進行。Web類的蜜罐還可識別和記錄攻擊者使用的攻擊方法和攻擊載荷，可作為判斷攻擊者意圖的重要依據(jù)。

防守方將由蜜罐收集的信息匯總至欺騙偽裝平臺，由平臺進行統(tǒng)一分析，根據(jù)攻擊者的攻擊意圖戰(zhàn)略調(diào)整監(jiān)控防御節(jié)點，做到因“敵“制宜。

戰(zhàn)術(shù)3——誘敵深入

 

蜜罐高度模擬真實資產(chǎn)，誘導(dǎo)攻擊者進入欺騙偽裝系統(tǒng)。

對于防守方，如何在敵暗我明的情況下盡量爭取主動權(quán)，搶占先機呢?答案是采用主動誘捕戰(zhàn)術(shù)。

主動誘捕主要作用于演練活動啟動前2-3天內(nèi)，此時攻擊方正廣泛收集目標資產(chǎn)信息，防守方的目標是污染攻擊方掌握的資產(chǎn)情報，并誘導(dǎo)攻擊者優(yōu)先訪問偽裝探針節(jié)點。

探針節(jié)點的作用包括兩部分，首先是監(jiān)測探針所部署網(wǎng)絡(luò)中的掃描探測行為，其次是通過綁定蜜罐將蜜罐服務(wù)映射至所部署網(wǎng)絡(luò)中。因此，探針節(jié)點應(yīng)盡可能覆蓋核心區(qū)域的C類網(wǎng)段或VLANs，可部署在虛擬機或?qū)Ｓ糜布O(shè)備中。

主要戰(zhàn)術(shù)動作有：

(1) 制作具有真實性和迷惑性的Web蜜罐。

(2) 將仿真Web蜜罐、通用Web蜜罐綁定至若干探針節(jié)點，通過地址轉(zhuǎn)換、域名綁定等措施將探針節(jié)點發(fā)布至互聯(lián)網(wǎng)。

通過地址轉(zhuǎn)換(NAT)設(shè)備，將探針節(jié)點服務(wù)映射到公網(wǎng)。 通過四層和七層協(xié)議的負載均衡設(shè)備，通過端口映射或反向代理將探針節(jié)點服務(wù)發(fā)布到公網(wǎng)。

(3) 在代碼平臺、文庫、安全論壇、社交網(wǎng)絡(luò)分撒探針節(jié)點的互聯(lián)網(wǎng)地址作為誘餌。

主動誘捕戰(zhàn)術(shù)執(zhí)行時應(yīng)注意以下幾點：

防守方應(yīng)早于演練啟動前，發(fā)布互聯(lián)網(wǎng)探針節(jié)點，并進行充分測試。 仿真蜜罐應(yīng)保證真實性和誘惑性。 為提升真實性，應(yīng)避免使用系統(tǒng)服務(wù)和缺陷偽裝服務(wù)蜜罐。 蜜罐被觸發(fā)后，應(yīng)及時處理告警信息，并根據(jù)攻擊方動態(tài)調(diào)整蜜罐配置，必要時下線蜜罐，避免攻擊者發(fā)現(xiàn)蜜罐后，為掩蓋自己身份，將蜜罐地址隨意分發(fā)，誘導(dǎo)無關(guān)人員訪問，污染蜜罐告警數(shù)據(jù)。 戰(zhàn)術(shù)4——強強聯(lián)合

 

將WAF識別的可疑信息聯(lián)動至蜜罐，由欺騙偽裝平臺實現(xiàn)分析研判。

攻防演練中WAF作為Web應(yīng)用的重要防線，能夠識別出大部分攻擊行為，為獲取更多攻擊者信息，本次演練中，防守方設(shè)定WAF與欺騙偽裝平臺進行聯(lián)動，將可疑訪問轉(zhuǎn)發(fā)至蜜罐中，采集攻擊者信息。

戰(zhàn)術(shù)動作如下：

WAF應(yīng)具備自定義攔截頁面和重定向能力。 WAF檢測策略應(yīng)進行優(yōu)化，盡可能消除誤報，避免將正常請求重定向至蜜罐。 攻擊者觸發(fā)WAF攔截策略后，將被重定向至攔截頁面，攔截頁面具備溯源能力，攻擊者信息會傳遞至欺騙偽裝平臺后臺。

WAF聯(lián)動戰(zhàn)術(shù)執(zhí)行時應(yīng)注意以下幾點：

WAF檢測策略應(yīng)能保證較低的誤報率。 避免在訪問量較大的系統(tǒng)使用該戰(zhàn)術(shù)。 戰(zhàn)術(shù)5——定位溯源

 

欺騙偽裝平臺收集匯總信息，分析繪制攻擊者畫像。

攻防演練活動中，防守方對攻擊方行為、遺留文件、身份信息等進行分析和判斷，并向指揮部報告，可獲得加分。因此，防守方在發(fā)現(xiàn)和研判攻擊事件時，應(yīng)能采集和記錄攻擊行為和身份信息。

在經(jīng)過主動誘捕和WAF聯(lián)動戰(zhàn)術(shù)的后，已基本完成攻擊者的信息采集，收集到的信息可支撐對攻擊者的追蹤和溯源，從而對攻擊態(tài)勢進行研判。該戰(zhàn)術(shù)依賴情報的完善程度，根據(jù)獲取到的攻擊者信息不同，追蹤溯源動作包括IP信息溯源和社交信息溯源。

(1) IP信息溯源

欺騙偽裝平臺獲得攻擊者IP后，可從以下幾個方面對攻擊者進行畫像：

根據(jù)上述查詢方法，可以對某個IP進行多維度的信息查詢，通過關(guān)聯(lián)人員、地址、注冊單位、郵件、域名關(guān)鍵字等信息，可對攻擊IP進行畫像，進而參考社交信息溯源進一步管理分析，可將攻擊者定位至自然人、單位組織。

(2) 社交信息溯源

欺騙偽裝平臺能夠抓取攻擊者社交賬戶信息，下面介紹一種基于已知社交身份信息進行信息關(guān)聯(lián)查詢和整合分析的方法，僅限于攻防演練中防守戰(zhàn)術(shù)使用，不得違反相關(guān)法律規(guī)定，危害公民隱私信息。

常見社交賬戶信息包括以下內(nèi)容：

關(guān)聯(lián)查詢方法包括：

訪問其社交網(wǎng)站，檢測有無個人信息泄露。 利用支付平臺，查詢其真實姓名。 利用通信平臺，添加好友，套取信息。 利用其注冊昵稱，查詢在其他站點同名注冊者。 將各平臺獲取的信息整合，完整拼湊出自然人畫像。 戰(zhàn)術(shù)6——乘勝追擊

 

通過對攻擊者行為日志的紀錄，定位敵人實現(xiàn)技術(shù)反制。

此戰(zhàn)術(shù)僅限在攻防演練活動中使用，不得違反相關(guān)法律規(guī)定對未授權(quán)目標進行探測和掃描。

技術(shù)反制措施包括反向掃描攻擊IP、利用蜜罐服務(wù)定向魚叉攻擊入侵攻擊者，最終實現(xiàn)對其技術(shù)反制的目標。參考戰(zhàn)術(shù)動作如下：

(1) 反向掃描：

防守方發(fā)現(xiàn)攻擊IP后，通過IP查詢確定其是否為惡意IP，使用掃描器對目標進行探測，判斷攻擊IP下的資產(chǎn)類型，若發(fā)現(xiàn)目標存在漏洞且具備肉雞特征，可上報裁判組并報警處置。

(2) 反向魚叉：

防守方在主動誘捕階段，通過在虛擬專用網(wǎng)蜜罐、郵箱蜜罐中放置包含木馬程序的文件或可執(zhí)行程序，通過提示下載、包含敏感信息等模式誘導(dǎo)攻擊者下載，若攻擊者在本地環(huán)境運行該文件后，防守方可對攻擊方本地信息進行收集，上報裁判組并模擬報警處置。

總結(jié)

 

盡管欺騙偽裝類產(chǎn)品，目前依然存在不能覆蓋全網(wǎng)架構(gòu)和部分內(nèi)部員工熟悉內(nèi)部環(huán)境等局限性，但在日常安全運維中，如果你面臨安全人手不足的情況，它是一個和其他安全產(chǎn)品形成互補的很好的選項;尤其中小企業(yè)中，蜜罐產(chǎn)品應(yīng)成為主要的一個安全防護工具，它可以幫助你記錄很多有價值的數(shù)據(jù)和高質(zhì)量的預(yù)警。

原文地址：https://www.freebuf.com/articles/network/267528.html

本文題目：蜜罐如何在攻防演練中戰(zhàn)術(shù)部防？
本文地址：http://www.bm7419.com/news37/204737.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計、品牌網(wǎng)站制作、網(wǎng)站排名、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站維護、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)