斗象攻防演練寶典之妙手部署“云蜜罐”
網絡安全的本質是對抗,對抗的本質是攻防兩端能力的較量。
攻防演練中,蜜罐的欺騙誘捕技術可以令防守方逆轉被動防御的局面,通過縝密的布防,步步為營、誘敵深入,讓攻擊者深陷其中,攻擊行為暴露無遺。然而在實戰布局中,不同“蜜罐棋手”的效果卻大相徑庭...
蜜罐部署的“俗手”
傳統的蜜罐防御方案以部署仿真的、特定的服務和應用為主,側重于攻擊感知。但往往存在低交互、低仿真、低覆蓋等缺陷,難以在攻防棋局中達到用戶的期望。
蜜罐部署的“本手”
在攻防演練中,傳統蜜罐部署以業務頁面仿真為主、溯源蜜餌為輔,在一定程度上具備迷惑性和基本溯源能力(IP信息等),但也存在一定缺陷,比如:
- 1 溯源能力弱,存在瀏覽器版本限制等問題;
- 2 迷惑性低,未經過攻防誘捕場景設計;
- 3 引誘能力弱,沒有誘餌運營以誘捕攻擊者。
蜜罐部署的“妙手”
在云蜜罐部署的場景下,一般將「驚鴻」服務器直接部署于云端,蜜罐地址以企業的二級域名做映射,將映射的企業二級域名投放到公網環境中。當攻擊者試圖攻擊“偽裝”的域名時,實際已經落入了云上蜜罐的陷阱中。
神劍精心設計出若干與蜜罐關聯的企業域名,并將域名綁定到蜜罐的對外IP,攻擊方可以利用資產探測直接發現蜜罐營造的“偽資產”,繼而落入陷阱。
- 1 靈活使用溯源模塊
靈活配置的溯源模塊,讓攻擊者的IP信息、設備信息、社交信息等處處留痕,身份信息無所遁形;
- 2 精心設計誘捕場景
精心設計攻防場景,在攻擊者常見的攻擊路徑上精巧設計反制誘餌,先讓他們嘗到甜頭,再步步為營,令攻擊者在為其設置好的道路上越陷越深,直至落入套中;
- 3 反制蜜罐用處大
利用攻擊者的客戶端漏洞來反制攻擊者。「驚鴻」云蜜罐系統配套的反制蜜罐能力強,可以反制攻擊者于無形。瀏覽器信息、社交信息、文件信息,均可通過深度溯源得到,是防守隊完善溯源報告的好幫手;
- 4 細心查詢,查缺補漏
任何一點細微信息都可能關聯著攻擊者的身份信息。不放過任何信息,一個小小的IP信息背后也可能溯源出一個完整的攻擊鏈。
反制蜜罐,再顯神威:攻擊者連接了MySQL反制蜜罐,反制蜜罐獲取到攻擊者的瀏覽器記錄信息。經過防守方的抽絲剝繭,精準定位到攻擊者的郵箱、QQ身份信息,為防守隊成功上分。
誘捕場景,精巧布局:在攻擊者的資產探測路徑上,提前精巧布局,靈活散布反制誘餌,攻擊者在精心設計的內容誘導下,誤以為發現了”敏感文件“,下載并執行了內容中的反制誘餌,最終成功反制攻擊隊成員。
根據歷年來國家級攻防演練最終披露的結果來看:絕大部分靶標都會被攻陷,但多數情況下守方對于攻擊者的入侵路徑和內參報告卻并不明朗。在這種環境背景下,防守方想要提升自身的防御體系和溯源反制能力,采用中高交互的蜜罐進行誘捕和攻擊引流是不錯的選擇。
云蜜罐系統部署效率快,成本低,可還原完整的攻擊鏈路,記錄未知攻擊方式、常用工具和目標資產,捕獲攻擊過程中上傳的惡意文件,抓取攻擊者主流社交身份信息,實時告警黑客的網絡入侵行為,使其行蹤完全被企業掌控。在攻防演練中對于金融、政府、運營商、互聯網等包含敏感信息和機密數據的企事業單位的提分效果顯著!
來源:斗象科技
原文鏈接:https://zhuanlan.zhihu.com/p/543960176
