随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。
蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。
国家《网络安全法》正式发布,对于安全监测、关键信息基础设施安全保护的特别要求。其中第二节关键信息基础设施的运行安全(31-36条,38条),第五章监测预警与应急处置(51,52,55,56)中
建立统一的监测预警、信息通报和应急处置制度和体系;
建立健全网络安全风险评估和应急工作机制;
建立各领域的网络安全监测预警、信息通报和应急处置制度和体系;
网络安全信息的监测、分析和预警;
网络安全事件的应急处置。
《十三五国家信息化规划》中,重点强调了网络安全攻防的全面性和对动态网络安全的全天候全方位的态势感知能力,也是对习总书记在4.19会议上的讲话呼应。
公安部发布《等保2.0》、关键信息基础设施防护体系,作为两大抓手,并扩展到受监管的政府部委、央企能源等部门。
重点监管部门的“关键信息基础设施监测与防护体系”的建立;
强调对网络空间的整体监控。
蜜罐技术采取主动的方式,用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法,是对国家网络安全要求的重要保障手段。
蜜罐具有以下功能:
1. 威胁检测:在黑客必经之路上设置各种诱饵,通过蜜罐、诱饵、伪装代理,业务仿真等结合多种检测手段有效地发现攻击行为,对网络威胁进行检测,将攻击引诱至蜜罐。
2. 隔离攻击:混淆黑客发攻击目标,为应急响应争取宝贵时间,树立企业安全的威慑力。
3. 威胁溯源:具备多种捕获入侵者虚拟身份的技术,还原攻击过程,攻击手法,攻击路径。溯源追踪攻击者身份,形成黑客画像,从根源上找到威胁。
4. 入侵取证:永久记录保存入侵操作行为的技术,防止黑客清除记录,可作为入侵证据。
5. 态势感知:通过对整体安全状态的感知和分析,提早发现威胁,提早预防。风险可视化。
6. 事件审计:支持对时间过程和结果的统计分析,并支持日志联动和报表通解导出,管理高效便捷。
① 诱骗服务(deception service)
诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。
② 弱化系统(weakened system)
只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统,系统可以收集有效的攻击数据,缺点是“高维护低收益”。
③ 强化系统(hardened system)
强化系统同弱化系统一样,提供一个真实的环境。当攻击者闯入时,蜜罐就开始收集信息,它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术,那么,他很可能取代管理员对系统的控制,从而对其它系统进行攻击。
④用户模式服务器(user mode server)
用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个真实的服务器。在真实主机中,每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中,当INTERNET用户向用户模式服务器的IP地址发送请求,主机将接受请求并且转发到用户模式服务器上。
当我们察觉到攻击者已经进入蜜罐的时候,接下来的任务就是数据的收集了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除,所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。(务必同时监控日志服务器。如果攻击者用新手法闯入了服务器,那么蜜罐无疑会证明其价值。)蜜罐还可以与攻击溯源相结合。
场景一:对抗场景
1、蜜罐可在互联网散布诱饵诱使攻击者获取虚假信息,迷惑攻击者的攻击导向,将流量引入到伪装环境,可实现威胁情报和攻击者相关信息获取。
2、当攻击者对员工、客服等相关人员进行社会工程学攻击时,蜜罐可以向攻击者提供虚假信息(虚假VPN账号密码、虚假跳板机和登录IP等),诱导其利用该信息进一步攻击时进入伪装环境,实现威胁情报和攻击者相关信息获取。
3、若真人社工环节攻击者得逞,获取了相关人员的设备权限并企图利用其获取更多信息进行扩散攻击时,蜜罐可通过在各办公网终端放置不同文件诱饵,引向不同虚假业务,虚假业务具有真人溯源能力,同时通过捕获被登录业务类别反推定位其登录终端,实现失陷终端的感知、定位以及真人溯源。
场景二:APT威胁溯源场景
通过蜜罐系统实现入侵行为的实时感知:利用攻击欺骗技术将攻击者引入虚假环境,流量一旦进入后无法逃逸,降低真实业务被攻击的风险,实现攻击者行为入侵检测与威胁溯源,可有效发现APT攻击行为,保护客户网络免遭0day攻击。
场景三:勒索病毒场景
1、通过蜜罐伪装端口、服务感知功能,实现病毒、伪装操作系统、业务框架感知病毒探测,感知勒索病毒的扩散行为。
2、对于已经被感染并进行扩散探测的主机,蜜罐感知其探测和扩散行为后,可将其相关IP信息提供给威胁情报平台或行为控制等设备,第一时间感知并告警相关行为,为应急响应争取时间,从而降低损失。
场景四:威胁情报场景
针对网络监管机构、网络安全性要求高的行业或者面向公网开放的系统,通过蜜罐能够更早的感知到潜在攻击者的探测行为,对捕获的各类攻击行为和攻击事件数据进行关联分析和研究,并输出威胁情报,能够及时掌握当前互联网攻击态势,对后续网络安全防护工作的规划提供重要依据。