蜜罐技术介绍

蜜罐技术介绍

蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征,蜜罐的价值在于被探测、攻陷。其在本质上来说,是一个与攻击者进行攻防博弈的过程。

蜜罐提供服务,攻击者提供访问,通过蜜罐对攻击者的吸引,攻击者对蜜罐进行攻击,在攻击的过程中,有经验的攻击者也可能识别出目标是一个蜜罐。为此,为更好的吸引攻击者,蜜罐也需要提供强悍的攻击诱骗能力。

诱饵的作用

诱饵,指用于迷惑攻击者的数据,包括文件、数据库、旗标、代码等信息,诱使攻击者对蜜罐实施攻击。

如同猎人布置陷阱,猎人在诱饵制作和投放过程中,都存在一定的技巧。在网络中实际布置一个有效的欺骗伪装系统,通常也需要考虑很多问题。

攻击者的手段虽然在不断升级,但总体来讲有迹可循,想要使用诱饵吸引和欺骗攻击者,就要先了解其攻击思路和心理,在关键攻击路径上确定诱饵投放的位置、内容和尺度,往往能达到事半功倍的效果。

针对信息收集

在信息收集阶段,诱饵的作用是混淆视线,在攻击者经常使用的信息源中,掺杂由蜜罐技术实现的伪装信息,诱导攻击者在该阶段收集到错误信息,将“枪口”对准蜜罐。

路径分析:攻击者通常会利用信息公开如GitHub、码云、百度网盘、网络空间搜索引擎等互联网入口,并尝试利用信息挖掘脆弱点

应对策略:

构建陷阱:通过构造含有敏感词、非关键源代码、系统配置文件等信息的蜜罐系统作为吸引攻击者访问的陷阱。

投放诱饵:在投递诱饵信息的时候,考虑到通过浏览器ID进行溯源成功概率更高,可更多的将诱饵投递到相关信息共享平台上。

在软件或者项目管理平台故意暴露代码信息,并“忘记”做脱敏处理,暴露出一些配置信息。比如账号设置、维护记录、名称设置方法和关键字匹配等,甚至是邮箱的用户名和密码,也是很好的“原料”。

在攻击者做子域名爆破时设计和投放域名诱饵,想办法保证域名不被搜索引擎抓取,但可以被基于字典的子域名爆破工具发现。

在某些公开位置放置名称和内容与企业的某业务系统(蜜罐)相关的文档,在文档中“无意间”暴露若干“有价值”的信息,也能实现扰乱视线的效果。

针对系统踩点

在此阶段,攻击者的目的是尽可能全面的分析收集到的资产,从而快速找到突破口,信息越全面,对之后的“渗透”帮助越大。此时,要做的是利用蜜罐充当短板,将蜜罐暴露在攻击者面前,吸引攻击者分析蜜罐,同时在蜜罐中放置诱饵牵制攻击者,使其无法逃出由蜜罐组成的蜜网。

路径分析:攻击者通过信息收集获取到目标资产信息或账号信息,会选择熟悉系统踩点找寻脆弱点

应对策略:

此时,蜜罐之间可以通过诱饵相互关联,形成紧密相关的蜜网。比如在企业邮箱蜜罐中可以暴露其他业务系统(蜜罐)的运维记录文档、升级文档等,将攻击者的攻击视线转移到其他蜜罐;比如设置蜜罐的数据库配置文件,通过文件路径指向和连接记录伪造来误导和牵制攻击者。

高度仿真重点系统:围绕攻击者重点关注的企业真实业务系统仿真,可将已下线的历史业务系统重新上线至蜜罐系统当中,诱导攻击者停留

模拟定制高仿真场景:结合人工维护的方式对这些域名网站进行如添加交互页面、定期发布集团公告信息、定期后台登录及管理等方式来构建高仿真场景

针对内网横向攻击

针对这种情况,诱饵需要提前投放到在部分真实资产中,比如制造一些连接到其他蜜罐的历史操作指令、放置SSH连接蜜罐过程中的公钥记录等。

路径分析:预设攻击方通过0day等方式可以进入内网,由于攻击过程中获取路径是非常重要,路径摸排、内网横向攻击往往是渗透必经的攻击过程。

应对策略:

及时攻击感知:内网尽可能多部署感知蜜罐,可通过trunk的方式进行空闲IP绑定,以此覆盖内网所有区域进行攻击感知。

关键点部署蜜罐:为防止攻击者通过主机访问日志直接摸到真实的主机或运维终端,应将关键节点处的主机上开放部分端口绑定至蜜罐。

敏感信息诱导攻击:可伪造登录域凭据、RDP连接记录、运维日志、用户文件夹、浏览器浏览记录及相关敏感信息内容来诱惑攻击者进行攻击。

蜜罐需要配合诱饵使用:在诱饵指向的蜜罐上开放有利用价值的端口,在攻击者做资产嗅探时,可以吸引其入侵并进入蜜罐;再比如,攻击者偏爱OA、邮件等用户量大的系统,可以在重点区域部署此类蜜罐,并通过在真实服务器伪造虚假的连接记录诱导攻击者掉入陷阱。

针对实时攻击

攻击分析:攻击者发动实时攻击,防守者需要阻断攻击,记录攻击信息,分析攻击路径,溯源对手信息。这些绝非单纯的数据信息可以胜任的,必须依托于自身产品的攻击感知、记录的能力,还需要扩展其与安全产品的协同防御能力、结合安全大数据的溯源反制、人物画像能力。

应对策略:攻击重定向

网络攻击检测:蜜罐实时监测网络环境有无攻击流量。

攻击流重定向:将攻击流重定向引入至部署蜜罐系统当中,实现攻击活动与客户网络环境的安全隔离,确保客户网络环境安全性。

针对攻击分析

应用分析:掌握了攻击者攻击信息,还要对攻击者的攻击工具、路径、意图等进行进一步分析才可以寻找自身系统及防御漏洞,针对性查漏补缺。

应对策略:漏洞仿真

仿真场景升级:基于国内最大最丰富的漏洞知识库Seebug,定期通过POC对蜜罐设备中的仿真场景进行升级。

仿真漏洞设置:蜜罐系统可注入带有较新漏洞、贴合业务服务及应用需求的仿真场景引诱入侵者对蜜罐进行探测并延长停留时间,精准捕获高风险黑客攻击,保护客户的业务系统。

针对攻击溯源:

应用分析:蜜罐在安全防守中应用的最大优势是以攻为守,溯源攻击。

应对策略:攻击实时取证

获取虚拟身份:获取攻击行为数据进行分类溯源处理,实现深度溯源与反渗透,可获取攻击者包括社交媒体身份IP、IM通讯工具ID等更多个人信息。

关联威胁情报:攻击者常使用VPN/代理等手段发起访问请求,蜜罐可通过其集成的丰富溯源插件获取攻击者的真实IP。蜜罐对每个攻击源IP会建立唯一指纹进行标注,即使攻击者篡改IP也可通过指纹有效关联分析其攻击行为,并将此阶段获取到的信息同步到微步在线、腾讯威胁情报等大数据平台,构建出准确、全面的威胁情报。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值