3.15 打假,企业如何识破网络中“伪装者”?

0  

今天是3.15消费者权益保护日,近两年随着免费WiFi安全隐患、诈骗短信等被曝光,网络安全领域也逐渐引起人们的关注。对于企业网络安全部门来说,“打假”最重要的是在众多合法用户中甄别出攻击者。

伪装,是这个世界上成本最小、收益最大的攻击。

1940年夏天,28岁的“间谍王子”哈罗德•金•菲尔比在克格勃的指示下,加入了英国秘密情报局。凭着自己的聪明才智和出色表现,他很快升任军情五处处长。1949年,菲尔比被英国政府派往华盛顿,成为英美情报交流系统的首脑人物,同美国中央情报局往来密切。罗斯福、丘吉尔、杜鲁门等人都曾给予他高度评价。

与此同时,大批情报被菲尔比源源不断地送往苏联。1963年7月,菲尔比回到了莫斯科,他的叛逃轰动了整个世界,更让英美情报机构丢尽了面子。

image001

近年来,网络世界里的攻击者也越来越频繁地使用伪装的方式,窃取企业的敏感数据。他们往往通过各种社工手段获取企业信息,伪装成合法用户绕过企业的边界防御体系,直接进入企业内网,窃取企业核心信息资产。

传统的安全防护手段没有识别这些伪装的“合法用户”的能力,而蜜罐技术则是安全人员基于攻击者视角提出的主动防御的解决方案,蜜罐最大的一个优点是可以利用兵不厌诈的思路在企业内网“围剿”那些绕过传统防护手段的攻击者。

1)高识别率,低误报率

基本上每个攻击者在使用他们的恶意软件进行攻击之前,都会对常见的安全防护方式进行测试。据统计,仅仅通过检测是否能够通过防病毒木马扫描器,攻击者们就能够骗过80%的企业安全防护系统。

锦行科技首席技术官Jannock说:“很多传统的防御手段在防御高级攻击者方面没有多大的用处。因为在发起攻击之前,攻击者就能够保证他们的攻击手段可以绕过这些防御。”

然而,攻击者们却很难预估企业网络系统是否使用了蜜罐,也就不存在绕过蜜罐的可能性。正常的企业网络都会存在这样那样的漏洞,甚至有很多低级的漏洞。所以,攻击者并不会对蜜罐陷阱产生怀疑。另外,我们知道一般企业会在哪些地方存在疏忽和漏洞,所以我们展现给攻击者的,都是在攻击者看来再正常不过的漏洞。攻击者是无法远程验证他所入侵的系统究竟是不是企业的真实系统。无痕蜜罐技术可以在攻击者不知情的情况下,记录攻击者的一切访问和攻击行为,准确识别非法访问行为;同时由于正常用户不会进入蜜罐系统,因此它还具有低误报率的优势。

蜜罐可以通过检测异常行为来区分正常用户和攻击者。在锦行科技部署的蜜场环境中,就曾记录到一个合法用户的异常行为,该用户不下10次尝试登录3389服务,密码都错误。另外,单个主机的日志记录分析难以发现攻击者的异常行为,可是如果把攻击者在整个蜜场环境中进行渗透的行为进行关联分析,就很容易可以发现攻击者的异常行为,例如某个在短时间内尝试访问了多台机器的多个服务等异常行为。

2有效转移网络威胁,实时攻击告警

在真实的网络中部署的监控类安全产品,可能会影响业务系统的正常运行,还有就是由于不了解攻击者的攻击水平,一旦攻击者进入网络系统中,企业无法预估其对真实网络系统造成的破坏性的。蜜罐最大的优势是可以吸引那些已经进入公司网络的“合法用户”攻击者去攻击虚拟的网络系统,以减少他们攻击真正有价值的资产的机会,并长时间将攻击者隔离在蜜罐中。这样做就相当于把对于真实资产的威胁转移给了蜜罐中的虚假资产,同时蜜罐还可以发出实时告警。一旦检测到攻击行为,第一时间将内网威胁通知企业,为企业争取应急响应时间。

实际上,对于今天的企业网络安全工作来说,结合传统的网络安全防御设备和最新的攻击欺骗技术是化解网络威胁的关键。