除了常規的防御機制和安全工具之外,組織還可以采取一些特定的措施來提高組織對攻擊的覺察能力,進而更加有效地抵御攻擊,將其帶來的損失與影響降至最低。其中,蜜罐以及虛假賬戶就是很好的例子,可以有效地幫助組織發現那些常規安全產品無法抵御的入侵攻擊或惡意活動。

建造蜜罐系統是一個十分有效的解決方案,蜜罐可以在“誘捕”攻擊者的同時監測他們的行為,從而幫助組織在攻擊發生之前采取相應的防御措施,減少對外部事件響應公司的依賴。

蜜罐是一種誘餌系統,旨在吸引攻擊者,轉移其對實際目標的注意力。它們通常被用作一種安全機制,來對攻擊者未經授權的惡意訪問嘗試進行檢測、偏移以及研究。一旦攻擊者與蜜罐進行交互,系統就可以收集有關攻擊者的戰術、技術以及過程(TTPs)等重要信息。

在如今這個數字時代,盡管每年分配給安全部門的預算不斷增加,但數據泄露事件卻并未如預期般減少,反倒是愈加泛濫起來。此時最關鍵的任務就是要積極采取主動措施來盡量降低數據泄露的影響,而這就要我們來設法扭轉攻擊者的優勢地位,將其引誘到蜜罐中來。

01

若蜜罐是漁網,那么蜜標就是魚餌

雖然蜜罐是追蹤攻擊者和防止數據泄露的有效解決方案,但由于設置和維護困難,它們尚未被廣泛采用。為了吸引攻擊者,蜜罐需要看起來合法,且與真實的生產網絡相隔離。對于旨在開發入侵檢測能力的藍隊來說,對蜜罐的設置和規模擴展無疑是具有挑戰性的。

然而,這并不是全部。發展至今,軟件供應鏈由眾多來自不同供應商的第三方組件(例如SaaS工具、API和庫等)所構成,結構錯綜復雜。這些組件被添加到軟件構建堆棧的不同層級,對需要進行防御的安全邊界概念產生了挑戰。在這種由DevOps主導的世界中,內部控制和非內部控制之間的界線不斷發生變化,使得蜜罐也逐漸失去其意義。因為如今源代碼管理系統和持續集成流水線才是真正能夠吸引黑客的誘餌,而傳統的蜜罐卻無法模仿這些。

為了確保軟件供應鏈的安全性和完整性,組織需要重新尋求合適的解決方案。而蜜標就是一種不錯的選擇。蜜標與蜜罐的關系就如誘餌與漁網一般。相較于蜜罐,蜜標僅需要最少的資源就能夠在攻擊檢測方面發揮成效。

02

蜜標誘捕

蜜標是蜜罐的一個子集,它通常會“偽裝”成一個合法的憑證或機密信息。一旦攻擊者使用了蜜標,就會立即觸發警報。此時,安全團隊就可以根據確切的攻擊跡象(例如IP地址(以區分內部和外部的攻擊源)、時間戳、用戶代理、資源以及在蜜標和相鄰系統上執行的所有操作)來迅速采取應對措施。

在使用蜜標時,憑證就扮演者“誘餌”的角色。當黑客入侵系統時,首先要做的就是識別出較為脆弱的目標來作為突破點,從而得以在系統內部進行移動、提升權限或竊取數據。在這種情況下,像云API密鑰這樣的編程憑證就是黑客掃描的理想目標,因為它們具有可識別的模式,并且通常會包含對攻擊者有用的信息。反過來站在防御的視角,它們也是安全團隊最常使用的誘餌,可以放置在云資產、內部服務器、第三方SaaS工具以及工作站或文件上。

使用傳統方式來識別數據泄露事件,平均需要花費327天。而通過在多個地方傳播蜜標,安全團隊在短短幾分鐘內就可以檢測到入侵行為,以增強軟件交付流程的安全性,防范潛在的入侵事件。蜜標的簡單性是一個顯著的優勢,使組織無需花費大量的時間和資源來開發和維護一個完整的欺騙系統。組織可以輕松地在企業規模上創建、部署和管理蜜標,從而同時對數千個代碼存儲庫進行保護。

03

入侵檢測的未來

在DevOps主導的世界中,入侵檢測一直以來都不怎么受人們的關注。而如今軟件供應鏈逐漸成為了攻擊者新的主要目標。因為他們意識到開發和構建環境比生產環境的安全性要低得多。因此,現在最關鍵的就是要提升蜜罐技術的可獲取性并實現自動化的規模化部署。

最近,為了完成這一使命,代碼安全平臺GitGuardian也推出了蜜標功能。長期以來,該平臺一直在強調開發人員和應用程序安全(AppSec)分析師之間共享安全責任的重要性。現在目標就是要通過讓更多的組織來生成誘餌憑證,并將其放置在軟件開發堆棧的戰略位置上,從而在入侵檢測方面實現“左移”。這需要為開發人員提供一個專門的工具來幫助其創建蜜標,并將它們放置在代碼存儲庫和軟件供應鏈中。

同時蜜標模塊還可以自動檢測GitHub上的代碼泄漏:當用戶在自己的代碼中放置蜜標時,GitGuardian就可以確定該代碼是否已在公開的GitHub上泄漏,并確定泄露的位置。通過及早發現泄露并采取相應的防范措施,組織能夠降低泄露事件對其業務和用戶數據的影響。

04

總結

隨著軟件行業的不斷發展,“如何讓安全性更易于普及”變得至關重要。蜜標提供了一種簡單且主動的解決方案,以盡快檢測到軟件供應鏈中的入侵行為。無論組織的技術棧或使用的工具有多么復雜(例如源代碼管理系統、持續集成持續部署(水線和軟件構件注冊表等),蜜標都能幫助各種規模的公司保護其系統安全。

通過其零設置和易于使用的方法,GitGuardian 正致力于集成這項技術,旨在幫助組織在更大的企業規模上創建、部署和管理蜜標,以減少潛在數據泄露的影響。

如此看來,蜜標正是下一代入侵檢測的可見未來。

數世咨詢點評

隨著惡意攻擊的不斷升級和軟件供應鏈的日益復雜化,傳統的入侵檢測方式早已破綻百出,如今防御者必須轉變思維,轉被動為主動,同樣是基于主動防御思想,蜜標相對于完整的蜜罐系統來說更容易部署和管理,所需的資源也大大降低。但相應地,比起蜜罐能夠提供詳細的攻擊數據和行為分析來說,蜜標的檢測范圍有限,只能監測特定的誘餌信息,而無法提供完整的攻擊行為和情報。

總的來說,蜜罐重在全面性,而蜜標則注重精確和快速。不僅僅是蜜罐和蜜標,還有蜜餌、蜜點、蜜罐、蜜標、蜜網、蜜場和蜜境等,它們都各自具有其獨特的優勢和局限,組織實際要選擇哪種技術則需要具體考慮其安全需求、資源限制和預期的監測結果等,同時檢測的持續性也是需要考慮的方面。

蜜罐技術 供應鏈 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接