信息化在給人們帶來便利的同時,網絡信息安全問題也日益凸顯。尤其是隨著網絡攻擊由傳統的盲目、直接、粗暴的方式轉變為目前的精確化、持久化、隱匿式的惡意攻擊,攻擊過程中只需發現并利用一個未被修復的漏洞或不安全配置即可擊破邊界防御,試圖將攻擊者拒之門外的安全防護方案在面對攻擊手段的多樣化、復雜化時已經力不從心。
為了應對當前嚴峻的網絡安全態勢和及時發現更具隱蔽性和多樣性的攻擊行為,對企業網絡的安全防御手法上需要有所創新。亟需一種技術手段,能夠主動對抗攻擊行為,擾亂攻擊者認知,主動采取有利于防守者的技術措施和手段,對攻擊者形成有效震懾。
以攻防對抗思路為基礎,讓防守者得以觀察攻擊者行為的新型網絡安全防御戰術——欺騙防御(俗稱蜜罐)技術近幾年有了很大的發展。跟傳統安全模型完全相反,通過欺騙防御,可以有效改變攻防不對稱,變被動為主動,是對傳統防御的有力增強和有益補充。據權威第三方咨詢公司預測,“欺騙防御”等技術未來5-10年將進入主流市場,是對現有安全防護體系產生深遠影響的安全技術發展趨勢。
當前,欺騙防御技術的應用雖然已經在各種攻防演習場合中取得了很大的實踐成果,但對于蜜罐技術的進一步推廣、普及,依然存在著不少應用難題,包括:
1) 部署麻煩
蜜罐的安裝部署是目前制約蜜罐應用的“最后一公里”:蜜罐的部署使用復雜度很高,需要進行現場調研網絡、業務特性,定制化仿真策略,進行現場策略調優,往往需要相當長的時間和很高的技術能力,現場服務成本甚至超過產品價格。并且,隨著客戶網絡、業務的發展,還需要持續的人工維護和升級。
2) 價格高昂
蜜罐應用的資源困境:更好的誘捕能力需要盡可能多的部署仿真效果好的蜜罐,但仿真效果越好(采用高交互仿真)意味著資源占用越多,成本激增。目前很多客戶現場由于受投資影響,蜜罐網絡的規模過小,捕獲效果不佳。
3) 操作復雜
目前,市場上的蜜罐產品,以人工運維為主,操作復雜、技術門檻高,并且應用效果依賴個人經驗,難以進行度量和標準化。
一、什么是孿生誘捕網絡
孿生誘捕網絡是一種創新的欺騙防御智能化應用技術,與網絡空間探測、威脅情報、攻擊面分析、態勢感知、風險評估、XDR、SOAR等新型安全技術進行耦合,采用數字孿生技術、AI技術、NFV技術、SDN技術、模式識別技術,構建智能型仿真、誘捕能力,解決傳統蜜罐的應用難題,實現包括安裝部署、運營使用、擴展升級的蜜網全生命周期免運維能力。
孿生誘捕網絡的生成原理如圖1所示:
圖1 孿生誘捕網絡生成原理
二、孿生誘捕網絡的構成
孿生誘捕網絡由管理中心、誘捕網絡和誘捕探針等部分構成,孿生誘捕網絡架構示意圖如圖2所示:
圖2 孿生誘捕網絡系統架構
管理中心包括仿真模板管理、數據采集引擎、數據分析引擎、模式識別引擎、蜜網評估引擎、蜜網調度引擎、系統管理單元、知識庫等模塊,對接網絡空間探測、攻擊面分析、態勢感知、XDR、威脅情報的數據和能力,提供對誘捕網絡和誘捕探針進行集中調度管理的能力。
仿真節點包括環境仿真、誘捕網絡生成、蜜標誘餌布設監控、流量分析和攻擊行為監控等模塊,根據孿生誘捕網絡策略自動生成各種高交互、中交互、低交互仿真對象并組建誘捕網絡。通過監控插件可以實現對誘捕網絡中高交互仿真對象的細粒度攻擊行為監控。
誘捕探針包括流量轉發、軟件仿真、蜜標誘餌布設監控、攻擊行為記錄等模塊,通過誘捕探針可以主動將攻擊流量牽引到誘捕網絡中,提高誘捕網絡的覆蓋率和誘捕能力。
三、孿生誘捕網絡的關鍵技術
1) 全場景仿真模板
不同用戶、不同行業使用的應用、系統、設備千差萬別,如果蜜罐只能提供相對固定的仿真環境,那就很容易被攻擊者識破,因此好的蜜罐需要具備較強的仿真自定義能力,能夠按需快捷的部署與自身環境貼合度高的蜜罐。
孿生誘捕網絡支持插件化的仿真模板,通過仿真模板將仿真能力和產品基礎能力松耦合,實現包括設備、系統、IoT、數據庫、應用軟件、網絡服務、應用服務、中間件、文件、數據(蜜餌)等實體仿真能力,并結合行業場景特性、業務動態行為特征,快速生成各行業場景仿真模板。模板支持在系統間一鍵分享、一鍵部署,極大提高了仿真能力的部署效率。
同時,孿生誘捕網絡支持可視化仿真編排引擎,通過界面簡單配置即可實現對自有系統、自定義網絡協議、服務或應用的仿真,仿真能力非常方便靈活擴展,大大降低仿真能力開發門檻,不懂編程的用戶也可以快速上手自主配置新的仿真應用或服務。
2) 分布式異構形態蜜網
蜜罐當前使用的仿真技術主要包括軟件仿真技術、容器仿真技術、虛擬機仿真技術等,各種仿真技術各有優劣:
軟件仿真:通過軟件模擬對攻擊請求的應答來實現對協議、服務、應用等進行仿真的技術。采用軟件仿真具有資源占用小,部署簡單、運行高效的優勢。但針對復雜的服務和應用,采用軟件仿真實現高交互難度大,很難提供一個完整的高交互環境,攻擊者較容易察覺到環境的異常。因此,軟件仿真主要應用在較簡單協議、服務和應用的仿真。
容器仿真:容器是操作系統級的虛擬化技術,容器技術為環境仿真提供了一把利器,通過容器技術可以快速、批量的實現對服務、應用的高交互仿真。采用容器仿真技術能夠提供高交互的仿真能力,但部署相對較復雜,運行資源需求較高。主要應用在對客戶應用、中間件、服務的高交互仿真、應用漏洞仿真等場景。
虛擬機仿真:虛擬機是硬件級的虛擬化技術,通過軟件模擬具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統。采用虛擬機仿真能夠仿真完整的設備和系統,可提供高交互的仿真能力。采用虛擬機仿真技術仿真度高,但部署周期更長,資源需求高,環境準備時間較長;目前主要應用在設備、操作系統級別的仿真,系統漏洞仿真等場景。
孿生誘捕網絡支持虛擬機仿真、容器仿真、軟件仿真等多種仿真技術,支持各種高交互、中交互、低交互仿真對象異構組網,在蜜網內可以相互通信。孿生誘捕網絡可以根據仿真的業務對象的不同類型選擇最匹配的仿真技術手段,達到資源利用率和誘捕能力的綜合效益最大化。針對規模大的誘捕網絡,支持分布式部署來組建大型異構形態蜜網。
3) 業務網絡數字孿生
針對業務網絡的孿生誘捕網絡不是面向整個業務網絡的數字孿生,而是面向內部、外部攻擊面的數字孿生,可以根據仿真業務對象不同特點自動選擇最優的仿真手段,對于相同的網絡仿真范圍,在確保誘捕能力的前提下,需要的硬件資源遠小于真實業務網絡的資源消耗。
對業務網絡進行數字孿生,由網絡空間探測設備或工具對業務網絡進行測繪,測繪內容包括網絡、資產設備信息、業務系統信息、流量行為信息、系統、應用服務、網絡服務、數據庫、中間件、漏洞、終端信息、文件信息等,測繪結果送入模式識別引擎,使用模式識別技術、AI技術,基于仿真模板對測繪信息進行擬合,生成最優的孿生誘捕網絡模型,然后使用網絡鏡像、終端克隆、系統克隆等多種方式快速生成業務系統的運行鏡像,使用數字孿生技術、NFV技術、SDN技術等創建數字孿生網絡,最終實現基于業務系統特性的孿生誘捕網絡快速虛擬創建。同時,孿生誘捕網絡支持可視化拓撲編輯,可以直觀看到網絡結構及屬性,并支持人工交互編輯、優化。孿生誘捕網絡具有動態自適應調整能力,當業務網絡、業務系統變更、升級時,支持動態自適應調整。
4) 誘捕網絡智能調度
基于業務網絡孿生的誘捕網絡,具備了業務網絡的高仿真特性,在此基礎上,通過攻擊面分析/漏洞掃描/風險評估等系統對業務網絡進行網絡威脅內部、外部攻擊面、攻擊路徑探測,將探測結果送蜜網評估引擎進行分析生成孿生誘捕網絡誘捕模型,通過調度引擎調度,對仿真對象、蜜網組件、誘捕探針、對外暴露策略等進行動態配置,使孿生誘捕網絡不僅從網絡結構上和真實業務網絡高度仿真,從攻擊面視角和真實業務網絡也保存一致,同時,提供可視化編輯界面,支持人工編輯對誘捕策略進行優化調整。
同時,蜜網評估引擎設計蜜網有效性度量模型,基于威脅情報、態勢感知、XDR等獲取業務網絡的安全狀態信息,結合蜜網檢測結果,采用AI智能算法進行蜜網的檢測績效評估,給出蜜網最優績效調整方案,發送給蜜網調度引擎進行蜜網各單元的動態調整;對于高風險、重點業務增加、升級高交互單元數量,對于非重點場景降級采用中、低交互能力的低資源占用單元,實現硬件資源的最優化應用,系統整體效能最優化;同時,支持發生攻擊風暴時實現蜜網擴展,自動進行硬件資源擴容。
四、孿生誘捕網絡的能力體系
孿生誘捕網絡包含六大能力域,分別是:仿真能力、誘捕能力、檢測分析能力、溯源反制能力、響應能力、集中管控能力。
1) 仿真能力:孿生誘捕網絡支持全場景實體仿真能力,結合行業場景特性、業務動態行為特征,生成各行業場景仿真模板;同時,創新實現了分布式異構形態蜜網,實現硬件資源的最優化應用。
2) 誘捕能力:孿生誘捕網絡實現了基于業務系統特性與攻擊面的動態自適應調度能力,創新實現了蜜網的有效性度量,并通過AI智能調度,使蜜網系統效能最優化。
3) 檢測分析能力:孿生誘捕網絡基于ATT&CK模型,對攻擊階段及攻擊技術進行識別,進行攻擊鏈繪制,實現攻擊過程的還原和多維度的攻擊者畫像展示。
4) 溯源反制能力:孿生誘捕網絡具有更高的仿真度,通過在孿生誘捕網絡里的攻擊路徑上預設WEB反制、掃描反制、蜜標反制等反制手段,主動獲取攻擊者主機或者網絡的信息,支持更準確的定位攻擊者的身份,實現更精準的溯源。
5) 響應能力:孿生誘捕網絡支持標準格式威脅情報生產、威脅狩獵、威脅調查、正向攻擊模型生產,支持聯動網關設備、XDR、SOAR、態勢感知等平臺,實現自動化響應能力,快速對攻擊進行響應,降低攻擊對真實資產可能造成的影響。
6) 集中管控能力:管理中心支持對孿生誘捕網絡的網絡結構、仿真對象、運行狀態等進行可視化管理和實時監控;支持對攻擊行為進行綜合分析和可視化展示;支持采用標準協議與外部平臺進行數據交互。
五、孿生誘捕網絡的應用價值
1) 打通蜜罐應用的“最后一公里”
目前,傳統蜜罐的現場部署使用復雜度很高,需要進行現場調研網絡、業務特性,人工定制化仿真策略,進行現場調優,往往需要相當長的時間和很高的技術能力,現場服務成本甚至超過產品價格,并且,隨著客戶網絡、業務發展,還需要持續的人工維護、升級。孿生誘捕網絡聯動網絡空間探測設備/攻擊面管理設備,采用數字孿生技術、模式識別技術、NFV技術、SDN技術,擬合仿真模板,實現基于業務系統特性、價值、全網攻擊面的蜜網快速自動化部署、場景適配。同時,蜜網系統支持人工交互優化,并具有動態自適應調整能力,當網絡、業務系統變更、升級時,支持動態自適應調整。孿生誘捕網絡與傳統蜜罐相比,部署、應用效率提升超過300%,有效解決蜜罐應用“最后一公里”的困局。
2) 實現安全投資最優性價比
傳統蜜罐的誘捕能力需要盡可能多的部署仿真節點,并且仿真效果越好(采用高交互仿真)意味著資源占用越多,成本激增??蛻衄F場由于受投資影響,往往蜜罐網絡的規模過小,捕獲效果不佳。孿生誘捕網絡的構建,首先是基于客戶網絡業務特點及內部、外部攻擊面、攻擊路徑進行,與傳統蜜罐直接基于網絡構建相比,在不降低仿真績效的情況下大幅縮減了仿真對象資源占用;其次,孿生誘捕網絡聯動威脅情報、態勢感知、攻擊面分析、XDR等系統獲取用戶網絡的安全狀態信息,進行用戶網絡動態風險評估,結合蜜網檢測結果,對蜜網各單元進行動態調整,對于高風險、重點業務增加、升級業務仿真單元,對于非重點場景降級采用中、低交互、蜜餌等低資源占用的蜜網單元,實現硬件資源的最優化應用,蜜網系統綜合效能最優化。孿生誘捕網絡與傳統蜜罐相比,同效能情況下價格對比低1/3。
3) 大幅提升運維效率
孿生誘捕網絡創新實現包括安裝部署、運營使用、擴展升級的蜜網全生命周期免運維技術。在蜜網系統的初始化配置階段實現業務網絡數字孿生,并支持可視化圖形交互界面編輯;在蜜網系統的運營階段,實現標準格式威脅情報生產、IDS、APT等檢測設備規則生產及聯動應用、FW、WAF、EDR、ZTNA等防護策略生產及聯動防御、攻擊模型生產及態勢感知AI模型應用;在用戶網絡、業務系統變更、升級情況下,支持動態自適應調整。孿生誘捕網絡與傳統蜜罐相比,運維效率提升超過200%,能夠大幅提升安全運營體系檢測準確度及運維效率。
目前,蜜罐技術已經完成了從技術工具向產品化的轉變,但目前市場上,蜜罐產品的應用受限于依賴大量人工操作、依賴大量硬件資源,實際應用成本過高,推廣嚴重受限;孿生誘捕網絡基于AI技術,在產品配置及運維智能化、自動化方面作出了一些積極的探索與應用,同時積極地推進與目前安全運營體系融合,擺脫主動防御體系只能作為一個安全運營體系的外掛技術的尷尬局面;未來主動防御體系將成為安全運營體系的核心支撐技術之一,在威脅情報應用、排除誤報、實時響應、AI分析等關鍵安全運營環節,發揮重大作用。
關于吉沃科技
北京吉沃科技有限公司是一家專注于網絡安全仿真誘捕領域創新研發的國家高新技術企業,公司自主研發有基于孿生誘捕網絡技術的 “DecoyPro?攻擊誘捕防御與溯源系統”、“DecoyMeta?網絡空間安全仿真平臺”等產品及“DecoyMini?社群驅動的攻擊誘捕防御平臺”等解決方案。產品已服務于交通、能源、運營商、教育等行業的眾多客戶,廣泛應用在互聯網攻擊誘捕分析、內網橫向攻擊監測預警、網絡攻防對抗演習監測分析、網絡空間安全能力驗證等場景。公司致力于改變網絡安全攻防不對稱的現狀,為客戶提供多樣化的仿真誘捕產品和服務,提升客戶網絡安全的主動防御能力。