在不久前結(jié)束的RSAC 2023大會(huì)上����,谷歌云Mandiant首席執(zhí)行官Kevin Mandia回顧了當(dāng)前網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)和挑戰(zhàn)����,他在主題演講中表示:盡管企業(yè)組織每年留給網(wǎng)絡(luò)安全的預(yù)算投入一直在增加,但數(shù)據(jù)泄露的威脅卻越來(lái)越泛濫���,在此背景下���,企業(yè)組織需要轉(zhuǎn)變防護(hù)思路���,化被動(dòng)為主動(dòng)�����。企業(yè)組織除了部署傳統(tǒng)的防范措施和安全工具外�����,還應(yīng)該采取一些創(chuàng)新的措施來(lái)加強(qiáng)防御���,去識(shí)別那些傳統(tǒng)安全產(chǎn)品無(wú)力阻止的入侵或惡意活動(dòng)��。
為此�����,Mandia給企業(yè)提出了7個(gè)改變的建議���,而“建立先進(jìn)的蜜罐防護(hù)體系”正是其中之一。蜜罐是一種誘餌系統(tǒng)��,用來(lái)引誘攻擊者���,將他們對(duì)實(shí)際目標(biāo)的攻擊誘騙轉(zhuǎn)移到特定的分析區(qū)域����。一旦攻擊者與蜜罐進(jìn)行交互,系統(tǒng)就可以收集攻擊和攻擊者采用的戰(zhàn)術(shù)����、技術(shù)和程序(TTP)方面的信息。
(資料圖片僅供參考)
雖然蜜罐系統(tǒng)是一種提前跟蹤攻擊者���、預(yù)防數(shù)據(jù)泄露的主動(dòng)安全解決方案���,但由于其系統(tǒng)設(shè)置和維護(hù)比較困難,目前尚未得到廣泛采用����。為了引誘攻擊者,蜜罐需要做得很逼真�����,并與實(shí)際生產(chǎn)網(wǎng)絡(luò)隔離部署��,這使得希望構(gòu)建主動(dòng)式入侵檢測(cè)能力的安全團(tuán)隊(duì)很難對(duì)其進(jìn)行設(shè)置和應(yīng)用擴(kuò)展����。
在企業(yè)實(shí)際的數(shù)字化環(huán)境中��,會(huì)大量應(yīng)用許多第三方組件(比如SaaS工具、API和代碼庫(kù))工具�����,而這些組件通常來(lái)自不同的開(kāi)發(fā)商和供應(yīng)商����。這些組件很難被添加到欺騙式軟件構(gòu)建堆棧的每一層,這就會(huì)破壞了蜜罐的模擬效果和應(yīng)用目的�����,因?yàn)樵诋?dāng)前盛行DevOps開(kāi)發(fā)模式下��,源代碼管理系統(tǒng)和持續(xù)集成管道同樣是黑客們重點(diǎn)關(guān)注的目標(biāo)和誘餌����,而這卻是傳統(tǒng)蜜罐系統(tǒng)難以模仿的。
為了確保蜜罐系統(tǒng)應(yīng)用的安全性和完整性���,組織需要采用新的方法��,比如新一代的蜜標(biāo)(honeytoken)技術(shù)����。蜜標(biāo)之于蜜罐就如同魚(yú)餌和漁網(wǎng)的關(guān)系。相比于整體的蜜罐系統(tǒng)應(yīng)用��,蜜標(biāo)技術(shù)所需的資源大大降低���,但在入侵檢測(cè)和攻擊分析方面卻同樣非常有效����。
我們可以把新一代蜜標(biāo)技術(shù)理解成是蜜罐系統(tǒng)的一個(gè)子集�,旨在看起來(lái)如同正規(guī)的憑據(jù)或密文。當(dāng)攻擊者觸發(fā)蜜標(biāo)時(shí)�����,會(huì)立即發(fā)起警報(bào)�����。這使得安全分析師可以根據(jù)一些所收集的攻擊指標(biāo)迅速采取行動(dòng)�,比如IP地址(區(qū)分內(nèi)部源頭和外部源頭)、時(shí)間戳��、用戶代理����、起源以及記錄在蜜標(biāo)和相鄰系統(tǒng)上執(zhí)行的所有操作的日志�。
對(duì)蜜標(biāo)而言�,需要虛擬生成大量的憑據(jù)和賬號(hào)作為誘餌。當(dāng)系統(tǒng)被入侵時(shí)�,黑客通常會(huì)尋找容易下手的目標(biāo)來(lái)橫向移動(dòng)���、提升權(quán)限或竊取數(shù)據(jù)�。在這種情況下����,云API密鑰之類的可編程憑據(jù)將是理想的掃描目標(biāo),因?yàn)樗鼈兙哂锌勺R(shí)別的模式���,還常常含有對(duì)攻擊者有用的信息�����。因此�,它們是攻擊者在入侵期間搜索和利用的主要目標(biāo)����。這些可編程憑據(jù)也是安全分析師非常容易傳播的誘餌:可以將它們大量放置在云資產(chǎn)���、內(nèi)部服務(wù)器、第三方SaaS工具以及工作站的文件系統(tǒng)中�����。
Mandia認(rèn)為�����,目前企業(yè)組織在數(shù)據(jù)泄露事件發(fā)生后的實(shí)際發(fā)現(xiàn)時(shí)間平均需要327天�。而通過(guò)在多個(gè)位置布置蜜標(biāo),安全團(tuán)隊(duì)可以在幾分鐘時(shí)間內(nèi)快速檢測(cè)到威脅����,并對(duì)正在發(fā)生入侵進(jìn)行響應(yīng)。簡(jiǎn)單性是蜜標(biāo)技術(shù)應(yīng)用的最大優(yōu)點(diǎn)�����,企業(yè)不需要開(kāi)發(fā)整套的誘騙系統(tǒng)����,就可以輕松創(chuàng)建、部署和管理企業(yè)級(jí)蜜標(biāo)����,實(shí)現(xiàn)對(duì)大量的軟件應(yīng)用系統(tǒng)進(jìn)行主動(dòng)式保護(hù)��。
隨著傳統(tǒng)網(wǎng)絡(luò)邊界的不斷模糊��,傳統(tǒng)入侵檢測(cè)技術(shù)在新一代威脅防護(hù)中的作用已經(jīng)大大減弱�����。但實(shí)際上,提高以蜜標(biāo)為代表的新一代入侵檢測(cè)技術(shù)應(yīng)用普及性至關(guān)重要�,如何使用自動(dòng)化技術(shù)在大規(guī)模環(huán)境下部署這項(xiàng)技術(shù)也很重要。
參考鏈接:
https://thehackernews.com/2023/05/why-honeytokens-are-future-of-intrusion.html
