扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
本篇文章主要探讨j蜜罐这个主动防御技术。内容较为全面,有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。
创新互联建站于2013年开始,先为沂源等服务建站,沂源等地企业,进行企业商务咨询服务。为沂源企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。
持续3周的HW总算是结束了,HW行动中红蓝双方使出浑身解数,开展***与反***的终极大战。作为一名蓝方人员,不仅看到了传统防御技术在这次HW中的精彩表现,更感受到了主动防御技术在HW中发挥的巨大作用,在我看来最典型的莫过于蜜罐了,红方人员误入蜜罐,被蓝方人员捕捉到并进行身份画像,那我们就来聊聊蜜罐为何这么diao。
从被动防御到主动防御
一直以来,被动防御是通过面向已知特征的威胁,基于特征库精确匹配来发现可疑行为,将目标程序与特征库进行逐一比对,实现对异常行为进行监控和阻断,这些特征库是建立在已经发生的基础之上,这就很好的解释了为什么被动防御是一种“事后”的行为。典型的技术有防火墙、***检测等。但是对于未知的***如0day,依赖于特征库匹配的防御是无法有效应对的,为了应对这种***不对等的格局,主动防御技术出现了,典型的技术有网络空间拟态防御等。
引入主动防御策略
随着***技术的进一步提高,越来越多的方法可以绕过传统的被动防御技术来对目标系统发动***,传统的被动防御技术也引进了主动防御策略,如各大厂商推出的智能防火墙,思科的下一代防火墙、山石网科的智能防火墙,将人工智能技术引入防火墙来主动发现恶意行为。除此之外,也有新型的主动防御技术如沙箱、蜜罐等相继出现,进一步弥补了***不对称的局面。这类技术主要解决“已知的未知威胁”,例如,蜜罐通过构建伪装的业务主动引诱***者,从而捕获行为。在HW期间,就存在将蜜罐伪装成某服的×××映射在外网引诱***者***,从而迷惑***者,通过捕获IP进行封堵来提高***者的时间成本,也可对***者进行溯源,但是蜜罐技术还是无法应对0day。
沙箱技术
沙箱技术源于软件错误隔离技术(software-based fault isolation,SFI)。SFI主要思想是隔离。沙箱通过采用虚拟化等技术构造一个隔离的运行环境,并且为其中运行的程序提供基本的计算资源抽象,通过对目标程序进行检测分析,准确发现程序中的恶意代码等,进而达到保护宿主机的目的。如默安的架构采用kvm,长亭采用的是docker。
由于沙箱具有隔离性,恶意程序不会影响到沙箱隔离外的系统,而且沙箱还具有检测分析的功能,来分析程序是否为恶意程序。但是还存在隐患,沙箱只监控常见的操作系统应用接口程序,使得一些恶意代码能够轻松绕过从而***宿主外的环境。基于虚拟机的沙箱为不可信资源提供了虚拟化的运行环境,保证原功能的同时提供了相应的安全防护,对宿主机不会造成影响。基于虚拟机的沙箱采用虚拟化和恶意行为检测两种技术,恶意行为检测技术方法采用了特征码检测法和行为检测法来进行检测,特征码检测对检测0day无能为力,行为检测可以检测0day,但误报率高。
蜜罐技术
蜜罐技术起源于20世纪90年代,它通过部署一套模拟真实的网络系统来引诱***者***,进而在预设的环境中对***行为进行检测、分析,还原***者的***途径、方法、过程等,并将获取的信息用于保护真实的系统。广泛应用于恶意代码检测与样本捕获、***检测与***特征提取、网络***取证、僵尸网络追踪等。
蜜罐之所以称为蜜罐,是因为设计之初就是为了***者量身定做包含大量漏洞的系统,是用于诱捕***者的一个陷阱,本质上一种对***者的一种欺骗技术,只有蜜罐在处于不断被扫描、***甚至被攻破的时候,才能体现蜜罐的价值。蜜罐实际不包含任何敏感数据。可以这么说,能够访问蜜罐的,都是可疑行为,都可以确认为***,从而采取下一步动作。
通过以上的分析,推出蜜罐具有三种能力:
伪装,通过模拟各种含有漏洞的应用系统来引诱***者***以减少对实际系统的威胁。
数据诱捕,***者如果攻入蜜罐,那么可以通过蜜罐日志记录来还原***者从进入到离开蜜罐期内的所有活动过程及其他信息。
威胁数据分析,对***者的数据进行分析,还原***者的***手法,并对此进行溯源等。
但同时,蜜罐也具有局限性,他只有***者***时才能发挥它自身的作用,如果***者没有触发蜜罐,那么蜜罐将毫无意义,所以现在我们更要关注如何让***者能有效的触碰到蜜罐,然后利用相关技术对此展开溯源。同样,如果***者识别了该蜜罐,并且成功进入,利用相关逃逸0day对蜜罐展开***(蜜罐记录不到),那么蜜罐将会被当成跳板机对其他真实业务展开***,危害巨大。
蜜罐分类
蜜罐可以分为三类,低交互式蜜罐,中交互式蜜罐,高交互式蜜罐。
低交互式蜜罐:通常是指与操作系统交互程度较低的蜜罐系统,仅开放一些简单的服务或端口,用来检测扫描和连接,这种容易被识别。
中交互式蜜罐:介于低交互式和高交互式之间,能够模拟操作系统更多的服务,让***者看起来更像一个真实的业务,从而对它发动***,这样蜜罐就能获取到更多有价值的信息。
高交互式:指的是与操作系统交互很高的蜜罐,它会提供一个更真实的环境,这样更容易吸引***者,有利于掌握新的***手法和类型,但同样也会存在隐患,会对真实网络造成***。
在这次HW中,相当大一部分蜜罐都部署在内网当中,部署在外网的蜜罐只有极少数,部署在外网的蜜罐可以检测到的东西就多了,尤其绑定域名后,把***者迷惑的分不清东西南北。某厂商的蜜罐可以说在HW中大放光彩,只要***者对该蜜罐进行访问,在很大程度上就能够获取你的社交账号ID,然后根据指纹信息还原***者身份画像,这点我相信很多红方没有料到,从而被社工的很惨。至于用了什么技术我就不写了,怕见不到第二天的太阳。蜜罐不仅能检测***者的***手法,也能够检测到僵尸网络,比如说这次HW中,有很多肉鸡利用weblogic的漏洞自动对外网发起***,然后植入***病毒等。公网蜜罐可以很好的检测这种行为,进而进行信息收集或追踪。
以上就是蜜罐主动防御技术的详细内容了,看完之后是否有所收获呢?如果想了解更多相关内容,欢迎关注创新互联行业资讯!
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流