一、
引 言
2019年4月9日,Carbon Black發布最新報告指出:“攻擊者潛蹤匿跡的手段更為豐富,駐留受害者網絡的時間增長。剛剛過去的3個月里,攻擊者反擊安全工具和管理員的行為有5%的上升。不只是入侵,攻擊者傾向于更長久地潛藏在網絡中,已成為攻擊者大政方針的一部分。”
事實上,內部有潛伏者已成常態,漏洞也成了備受歡迎的“硬通貨”。面對新的境況,尤其是當防御者在利用云計算IaaS、PaaS、SaaS架構來探索構建“海、網、云”協同防御體系時,黑客已經公然推出了HaaS(HackerasaService,黑客即服務)的創新模式,悄悄踏上了攻擊服務化的快車道。漏洞是挖不完的,黑客威脅永遠存在,這也決定了沒有一勞永逸的防御方法,攻防競賽永遠存在。要想改變攻防對抗的不對稱格局,只有改變防御的游戲規則。
網絡欺騙防御一開始就是建立在內部有潛伏者的理念上并以此為基礎而設計的。不同于以往追求構建完美無瑕的系統以抵御攻擊的思路,網絡欺騙防御是一種通過不斷變換系統特性、限制脆弱性暴露、欺騙攻擊視圖、增加攻擊成本等方法,以提升防御有效性的主動防御新技術。網絡欺騙防御已成為移動目標防御(MTD)的重要技術手段和工具。“欺騙防御”的本意,并非戲弄攻擊者或激怒攻擊者,其最重要的價值在于為MTD系統提供增加攻擊面轉換空間的手段,提高MTD的防御熵,也是更高層次上的防御智能化的核心。
隨著人工智能、博弈論等理論體系的完善,以及軟件定義網絡(SDN)、云計算、虛擬化等新技術的成熟,“欺騙防御”已經遠遠超越了蜜罐的概念,取得了新的發展。
二、
網絡欺騙技術的定義及發展
(1)網絡欺騙技術的定義
從網絡安全防護角度來看,網絡欺騙防御技術作為一種主動式安全防御手段,可以有效對抗網絡攻擊。全球最具權威的IT研究與顧問咨詢公司Gartner從2015年起連續四年將攻擊欺騙列為最具有潛力的安全技術。同時給出了對網絡欺騙技術的描述:“欺騙技術被定義為使用騙局或者假動作來阻撓或者推翻攻擊者的認知過程,擾亂攻擊者的自動化工具,延遲或阻斷攻擊者的活動,通過使用虛假的響應、有意的混淆、以及假動作、誤導等偽造信息達到‘欺騙’的目的”。
通過上述描述可以看出,網絡欺騙是欺騙技術在網絡防御中的應用,通過有意誤導對手的決策從而使得對手以有利用于防御方的形式行動或者不行動,在檢測、防護、響應方面均能起到作用,能夠實現發現攻擊、延緩攻擊以及抵御攻擊的作用。(1)發現網絡攻擊:通過在網絡中部署大量誘餌,并組合應用多種欺騙手段引誘攻擊者,一旦攻擊者觸碰這些誘餌,則表明系統正在受到攻擊,防御者就可以迅速響應,并定位溯源攻擊者;(2)延緩網絡攻擊:由于網絡中存在大量誘餌,攻擊者將陷入真假難辨的網絡世界,攻擊者需要花費大量的時間來分辨信息的真實性,從而延緩了攻擊者的網絡攻擊,給予防御者更多的響應時間,降低攻擊者對真實系統攻擊的可能性;(3)抵御網絡攻擊:網絡欺騙防御技術使用了與真實環境相同的網絡環境,攻擊者無法分辨真假,因此會對誘餌目標發起攻擊,采用大量攻擊手段、工具和技巧,而防御方可以記錄攻擊者的行為,從而為防御提供參考。
與傳統安全技術相比,網絡欺騙不是著眼于攻擊特征而是攻擊者本身,可以扭轉攻擊者與防御者之間的攻防不對稱:(1)通過網絡欺騙技術可以打破網絡系統的確定性、靜態性與同構性,使攻擊者無法獲取準確的環境信息;(2)通過網絡欺騙技術將攻擊者引入一個“偽造”的環境中,使攻擊者無法判斷攻擊是否成功,同時通過對攻擊者攻擊活動的記錄和分析,防御方可以獲取更多攻擊者的信息;(3)網絡欺騙系統與業務環境相融合,攻擊者探測到的并不是準確的業務環境,也就無法構建同樣的環境進行武器實驗;(4)通過在業務系統中布置偽造的數據,即使攻擊者成功竊取了數據,也會因為虛假數據的存在而降低了所竊取數據的總體價值。
(2)網絡欺騙技術的發展
網絡欺騙技術是一種積極主動的防御策略。一方面,通過構造一系列虛假信息和環境誤導攻擊者的判斷,使得攻擊者做出錯誤的動作,將攻擊者引向陷阱的方式可消耗攻擊者的時間、精力,增加入侵的復雜度和不確定性;另一方面,更加容易監控攻擊行為、采集攻擊數據,部署相關反制措施,對攻擊者進行溯源追蹤和技術反制。網絡欺騙技術的發展可以概括為開創階段、蜜罐階段、欺騙防御階段三個階段。
開創階段:網絡欺騙技術的起源可以追溯到上世紀八十年代末期。1992年,AT&T貝爾實驗的Cheswick在一篇文章中討論了如何用虛假的信息誘惑黑客,以追蹤該黑客和了解其技術。由此可見,網絡欺騙技術早期主要是為了對抗人工攻擊。1998年,第一款采用欺騙技術進行計算機防御的開源工具DTK發布。DTK使用Perl腳本實現,綁定系統上未使用的端口,接收攻擊者的輸入并給出存在漏洞的響應。DTK不會被攻陷,因而可以部署在實際的業務系統中,使得攻擊者在入侵系統時需要做更多的選擇,以此提前發現攻擊和浪費攻擊者的時間。
這一時期互聯網與計算機的應用主要在政府、軍隊和高校等科研機構,以數據共享為主。網絡入侵的攻擊者多由專業技術人員手工發起,以竊取數據為目標,網絡攻擊范圍有限。網絡欺騙技術僅僅被部分安全管理人員部署在業務系統中用于檢測入侵,主要形式是在業務系統中插入虛假數據或開啟虛假服務。為了防止這一思路暴露后引起攻擊者的警覺,部分安全人員盡管采用了網絡欺騙技術,卻沒有公開描述。
蜜罐階段:2000年左右,蠕蟲漸成為互聯網的主要威脅之一。蠕蟲可以通過共享文件夾、電子郵件、系統漏洞等方式進行傳播,互聯網的發展使得蠕蟲可以在極短時間內蔓延全球,蠕蟲的早期檢測對蠕蟲的防范至關重要。逐漸的,蜜罐的思路開始形成。蜜罐被定義為一類安全資源,其價值在于未授權的利用,通過在業務網絡中部署一系列沒有真實的業務系統或資源形成陷阱,這些陷阱被訪問則代表攻擊的出現,以此檢測攻擊。蜜罐因捕獲數據價值高、幾乎沒有誤報、能夠檢測Oday攻擊,且只要蜜罐系統能夠覆蓋網絡的一小部分IP地址,就可以在早期檢測到蠕蟲的爆發,因此受到重視。
2005年以后,僵尸網絡逐漸興起,隨著新惡意代碼產生率的增高,迫切需要自動化的方式來采集惡意代碼以便及時發現僵尸網絡。隨著針對各種網絡應用及非PC設備進行傳播的惡意代碼增多,也出現了相應的蜜罐,如Web應用蜜罐、SSH應用蜜罐、SCADA蜜罐、VoIP蜜罐、藍牙蜜罐、USB蜜罐、工控蜜罐、電話蜜罐、數據庫蜜罐等。在這一時期,自動化傳播的惡意代碼成為主流攻擊方式,蜜罐技術對惡意代碼的發現與樣本收集具有其他防御技術無可比擬的優勢。
欺騙防御階段:2010年至今,隨著震網(Stuxnet)、Duqu、火焰(Flame)等高級持續性威脅(APT)出現,傳統安全機制無法很好的應對此類威脅。基于網絡欺騙的安全防御方案得到了越來越多的安全研究人員的重視,它和已有安全防御體系相互補充,能夠更加有效的發現和抵御高級持續性攻擊,網絡欺騙技術因其自身的優勢而受到了安全防御人員的關注。
根據全球第二大市場研究咨詢公司根據Markets and Markets 發布的一項最新的市場研究報告《2021年全球的欺騙防御技術市場前瞻》,在2021年欺騙防御技術的市場規模將從現在的10.4億美元增長到20.9億美元,復合年增長率(CAGR)約為15.1%。據預測,北美市場份額最大,亞太市場增長最快。亞太地區的欺騙防御技術市場具有極大的增長潛力,該地區廣泛存在的中小企業正在尋求高級網絡欺騙防御方案來對抗高級持續性威脅。銀行、金融服務和保險垂直行業預計為欺騙防御市場貢獻最大的份額。
目前,國外欺騙防御技術的主要供應商包括:Rapid7(美國),LogRhythm(美國),TrapX安全(美國),Attivo網絡(美國),Attivo Networks(以色列),Cymmetria(以色列),GuardiCore(以色列),Allure Security Technology (美國),vArmour(美國),Smokescreen Technologies(印度)。網絡欺騙產品頗具代表性的有:以色列公司illusice的Deceptions Everywhere、Cymmetria的MazeRunner,美國公司TrapX的DeceptionGrid Platform、Attivo公司的ThreatMatrix Platform等。國內公司也緊跟業界步伐,代表性的產品有綠盟科技異常行為誘捕系統(微蜜罐),長亭科技公司的諦聽威脅感知系統,默安科技的幻陣系統(云密網),錦行科技的幻云系統等。
在學術界,2017年Springer出版社出版了《Cyber Deception》一書,本書的作者就是全球首本《移動目標防御》的作者。這是第一本專門介紹網絡欺騙研究的著作,匯集了最新的網絡欺騙技術相關的研究成果;近年來,CCS、NDSS、USENIXSecurity等國際安全會議上也有相關學術論文發表。在政府方面,美國海軍和國防高級研究計劃局(DARPA)進行了網絡欺騙技術應對網絡恐怖主義的研宄以及網絡欺騙技術的探索。
網絡欺騙作為一種對抗性技術思路,從誕生開始就受到了學術界和產業界的關注,并涌現出一系列研究成果和工具。然而現有研究工作仍然存在一些不足:盡管有一些網絡欺騙技術的理論研究工作,當前研究更側重于對欺騙工具的開發與網絡欺騙效果的分析,沒有成體系的理論基礎研究;高交互蜜罐系統能夠發現針對未知漏洞的攻擊,但是僅限于攻擊者利用的漏洞存在于構建蜜罐時所用的應用程序,這限制了蜜罐的捕獲范圍;當前基于欺騙技術的工具對于攻擊信息的收集限于源IP、源端口、使用的攻擊樣本等,而忽視對攻擊者身份信息的收集;現有基于欺騙的安全工具在部署時往往與真實業務系統差別較大,容易被攻擊者所識別,且在部署上往往是隔離的,缺乏與已有安全機制的聯動。因此,深入理解網絡欺騙技術,總結其特性與演化規律,對于學術研究和工程實踐均具有重要意義。
三、
網絡欺騙技術分類
網絡欺騙本質是通過布設騙局從而干擾攻擊者的認知過程,欺騙環境的構建機制是其實施的關鍵。本文從欺騙環境構建的角度討論網絡欺騙技術的分類,這也是大多數網絡欺騙研究采用的分類方式。
蜜罐技術中有多種分類方式。根據欺騙環境提供的交互程度將其分為低交互蜜罐、中交互蜜罐、高交互蜜罐:低交互蜜罐往往采用軟件模擬的方式實現,而高交互蜜罐則采用真實系統構建,中交互蜜罐采用功能受限的系統來部署,交互性介于兩者之間。根據作為誘餌的資源是不是計算機將其分為蜜罐與蜜標:作為誘餌的資源是計算機時稱為蜜罐,非計算機的誘餌資源稱為蜜標。根據蜜罐獲取代碼的方式分為被動蜜罐與主動蜜罐:被動蜜罐對外暴露漏洞,被動等待惡意代碼發現和攻擊,有時也稱為服務器蜜罐,主動蜜罐通過內部構造漏洞,主動訪問惡意代碼宿主(如惡意網頁),從宿主上下載惡意代碼,也稱為客戶端蜜罐。根據蜜罐的目的分為研究型蜜罐和應用型蜜罐:研究型蜜罐一般用于科學研究,而應用型蜜罐則用于商業用途。然而,蜜罐技術僅僅是網絡欺騙技術的一種,這一分類方法并不適用于所有的網絡欺騙技術,例如操作系統混淆、蜜標、偽蜜罐等也是網絡欺騙技術的應用,卻不適合采用此類分類方法。
按照欺騙環境的構建方式將網絡欺騙技術可以分為四類:掩蓋、混淆、偽造、模仿。
(1)掩蓋欺騙通過消除特征來隱藏真實的資源,防止被攻擊者發現。典型工作如網絡地址變換,通過周期性的重新映射網絡地址和系統之間的綁定改變組織網絡的外形。Antonatos等人使用動態主機配置協議給每個主機重新分配網絡地址,用來對抗帶有目標列表的蠕蟲。MUTE使用隨機地址跳變技術為主機重新分配與真實IP地址相獨立的隨機虛擬IP地址,以限制攻擊者掃描、發現、識別和定位網絡目標的能力。
(2)混淆欺騙通過更改系統資源的特征使得系統資源看上去像另外的資源,從而挫敗攻擊者的攻擊企圖。典型工作如偽蜜罐,通過使真實系統具有蜜罐的特征從而嚇阻攻擊者。而通過采用計算機操作系統混淆,使得受保護的操作系統對遠程探測工具表現出其他操作系統的特性,可以挫敗攻擊者的探測企圖。
(3)偽造欺騙通過采用真實系統或者資源構建欺騙環境,通過偽造的資源吸引攻擊者的注意力從而發現攻擊或者消耗攻擊者的時間。典型的工作就是高交互蜜罐以及蜜標技術,如蜜網、Honeybow、honeyfile等。此類技術特點是機密性好,但是維護與部署代價較高。
(4)模擬欺騙則是采用軟件實現的方式構造出資源的特征。典型工作如Deception ToolKit(DTK),DTK綁定系統未使用的端口,被動的等待連接。如果攻擊者訪問了這些端口,DTK就會記錄訪問信息。此類欺騙機密性較低,適用于攻擊檢測與惡意代碼收集,不適合對攻擊者行為的長期觀察。但是因為所占資源小而且幾乎不會帶來風險,因此可以部署于業務主機之上,檢測范圍大,使用靈活。
四、
近年來網絡欺騙技術的研發及應用
(1)Acalvio公司推出下一代分布式欺騙解決方案ShadowPlex
2017年4月,安全公司Acalvio正式推出ShadowPlex欺騙技術平臺,并進入RSA 2018大會的創新沙盒角色,也體現了業界在該領域的創新程度。該平臺實現了其承諾的新型安全防御技術——流欺騙。任何欺騙技術背后的基本思想,都是提供某種形式的虛假前端,誘使攻擊者以為自己在對真實的用戶的基礎設施進行漏洞利用。
傳統蜜罐一般只是一個虛假的主機,安全研究員觀察惡意樣本在蜜罐中的行為,并沒有蜜罐被攻破后攻擊者的進一步行為分析和防護。與之相比,ShadowPlex是下一代分布式欺騙解決方案,提供了面向企業環境的自動化欺騙方法,可動態構建各種交互度的虛假網絡和主機系統。此外,ShadowPlex定位從檢測、分析到響應的全生命周期的高級威脅防護。(1)在檢測階段:ShadowPlex可精確和快速地檢測高級、多階段的攻擊;(2)在分析(Engage)階段:在受控的影子網絡(Shadow Network)中欺騙攻擊者,理解其攻擊模式,同時延誤對于真實資產的影響;(3)在響應階段:識別攻擊者軌跡和網絡中潛在的脆弱點,生成可表示攻擊者特征的IoC(Indicator of Compromise)。
該產品與業界的方案相比有四方面的創新:第一,將敏捷開發DevOps應用于欺騙技術:已有的欺騙方案需要大量的人工調查和分析,費時費力,因而欺騙系統的部署和維護成本很高。而本產品通過DevOps使得欺騙自動化,極大減少了人工成本;第二,流式欺騙(Fluid Deception):已有的欺騙方案面臨一個難題–規模化(低交互)vs.深度(高交互)。ShadowPlex結合了全面的動態欺騙從而提高了效率和效果;第三,攻擊者行為分析:ShadowPlex通過探針采集其他企業安全系統(如SIEM、EDR等)的數據來生成威脅情報和提供全面的攻擊行為分析;第四,欺騙農場(Deception Farm):可以部署在私有云和公有云(Azure、AWS等)上。
從部署角度看,Acalvio的ShadowPlex技術會在客戶網絡中安裝一個小小的代理,構建一個安全隧道,并將IP地址投射到本地網絡(如果不用ShadowPlex技術,誘餌就必須部署在本地網絡了)。ShadowPlex的后端架構,是虛擬機和Docker容器的組合。虛擬機被用于模擬網絡中的主機,容器則負責應用和服務。
ShadowPlex平臺的核心元素,是對手行為分析(ABA)功能。ABA提供對手行為上下文,以回顧并確定攻擊者侵入網絡的路徑。ABA幫助確定攻擊發生的根源分析。此外,ShadowPlex中還有一個威脅分析引擎,會嘗試理解給定攻擊中發生的事情。最終目的,是要進一步以新增的能力和洞見,強化威脅分析。
(2)安全公司 Illusive Networks推出欺騙防御技術新功能及幻影網絡3.0
2017年,以色列安全公司 Illusive Networks 利用郵件數據欺騙功能,植入虛假信息誘騙捕獲攻擊者,反轉攻防形勢。Illusive Networks 的核心技術,是其欺騙平臺,提供不同類型的誤導網絡和應用路徑與信息,以期檢測到惡意攻擊者。郵件是非常豐富的信息來源,可以幫助攻擊者弄清公司運作模式。Illusive用郵件欺騙所做的,就是在郵件層誘騙攻擊者,當攻擊者檢查公司郵件收件箱時,只能獲得錯誤的路徑。Illusive郵件數據欺騙可被植入成貌似微軟Exchange郵件服務器和本地用戶收件箱信息的樣子,不會影響正常郵件操作。該解決方案的過人之處在于,只有攻擊者能看到誘騙信息,而真實的終端用戶看不到。因而,終端用戶不會被騙,也不會產生誤報,看到欺騙信息的唯一人員只能是攻擊者。此外,Illusive正在研發專注欺騙的額外金融服務,被稱為 SWIFT Guard 的欺騙平臺旨在幫助銀行對抗欺詐轉賬。
Illusive network推出其“幻影平臺”3.0版。幻影的目標是提供給用戶以攻擊者的視角幫助組織機構理解風險并防御攻擊,幻影網絡包括一個管理服務器能夠定義攻擊欺騙的策略,并通過鑒定去捕捉攻擊者威脅網絡的行為。這個平臺比“蜜罐”在捕獲攻擊者方面具備更多的優勢。幻影3.0技術使用自身從網絡中學習到的信息去創造“攻擊者視角”,“幻影”的攻擊者視角并不是尋找軟件的缺陷,而是去嘗試確定攻擊載體。
(3)美空軍研發網絡欺騙系統
2017年,美國空軍研究實驗室(AFRL)投資75萬美元開發網絡欺騙系統,該系統是一個生成流量的誤導系統,為了生成流量,系統會觀察本地流量,然后生成與現有流量無法區分的流量,但會經過細微修改滿足管理員的目標。附加的信息能被用來將對手引向假工作站或服務器,和/或將他們的注意力從真正的檢索術詞或操作優先項轉移開來,從而誤導滲透進網絡的攻擊者,使其懷疑獲取的信息,或誤導他們犯錯,盡快暴露,以大大降低攻擊者滲透網絡的能力。該項目共分為兩個階段,第一階段重點研究如何根據對本地流量的觀察生成高度真實的流量。第二階段將集中擴展各種協議的生成能力,并使用“蜜罐數據”(Honey Data)— 定制的數據誤導攻擊者,從而使其采取對我們有利的行動。
(4)美國陸軍研發網絡欺騙技術
2018年8月,美國陸軍卓越網絡中心在一份機構聲明中表示,該中心正在測試網絡空間欺騙能力,“這種能力可以用來提供早期預警、虛假信息、混淆信息、賽博延遲或以其他方式阻礙賽博攻擊者”。美國陸軍補充說,通過使用一種基于傳感器的人工智能來學習網絡架構和相關行為,從而實現拒止、中立、欺騙和重定向網絡攻擊。該聲明強調要使用自主設備實現網絡防御能力。
這并不是美國軍方首次對欺騙網絡攻擊者的技術研發工作進行投資。六年多來,美國國防高級研究計劃局(DARPA)一直在投資一個項目,該項目通過偽裝、隱藏和欺騙攻擊者來保護網絡系統。其理念是對基礎設施和其他企業資源(如交換機、服務器和存儲器)進行虛擬復制以混淆敵人視聽。誘餌文件系統可以混淆攻擊者,從而大大降低他們攻擊的成功率。該項目并不是一個獨立的系統。它是一個更大的以“移動目標為主題”的情報、軍事和安全網絡項目的一部分,該主題隨時間的推移而不斷變化。
(5)IBM推出對抗語音網絡釣魚技術
2019年1月8日,IBM再次以共被授予9,100項專利位居美國年度專利斬獲榜首,其中,對抗語音網絡釣魚(vishing)技術尤其突出。語音網絡釣魚攻擊中,黑客利用網絡電話(VoIP)系統屏蔽掉呼叫源身份以欺騙受害者。IBM已經注冊了一個問答系統專利,可以監視并分析通話雙方語音交談,識別其間欺騙嘗試。IBM目前正開展網絡安全欺騙技術的創新研究,還有多項專利正在申請中。當前普遍應用的傳統安全方法存在巨大風險,因為這些方法用默認拒絕策略封堵已確知不希望出現在自己網絡上的東西,但弄清自己到底不希望哪些東西出現在自家內網并不是件容易的事。網絡安全欺騙技術則是默認放進所有請求,然后用各處安放的陷阱和誘餌作為早期警報系統來檢測可疑行為。
五、
網絡欺騙防御技術的最新理論發展
(1)蜜罐補丁:一種新型軟件網絡空間欺騙技術
當一個軟件安全漏洞被發現時,傳統的防御響應是快速修補軟件來解決問題。但是,如果補丁具有暴露和突出防御者網絡中其他易受攻擊漏洞的副作用,這種常規的補救措施可能會適得其反。不幸的是,上述現象很常見。補丁式的修補方式往往使攻擊者能具體地推斷出哪些系統已被修補,哪些系統未打補丁、易受攻擊。由于補丁很少被直接采用,所以存在未打補丁的系統是不可避免的,例如,為確保補丁的兼容性,往往需要進行提前檢測。因此,大多數軟件安全補丁對新發現的漏洞進行修復的同時,也告知了攻擊者該系統仍然易受攻擊。這不但形成了一種對抗文化,也使得漏洞探測成為網絡空間殺傷鏈中的關鍵一環。
蜜罐補丁是一種改變了游戲規則的替代辦法,可用來預測和擊敗這些定向的網絡空間攻擊。它的目標是通過一種方式來修補新發現的軟件安全漏洞,也就是,使未來的攻擊者無法再次攻擊這些已修補的漏洞,但對攻擊者仍然顯示漏洞攻擊成功。這樣就掩飾了已修補的漏洞,防止攻擊者輕易地識別出哪些系統是真正未打補丁的,哪些是由打過補丁的系統偽裝而成的。所檢測到的攻擊會被重定向到隔離的、未打補丁的誘餌環境中,受害靶服務器具有完全交互功能,只不過利用“蜂蜜”數據向對手提供假情報,并積極主動地監控對手的行為。
欺騙性的蜜罐補丁能力形成了一種先進的、基于語言的主動防御技術,可以阻止、挫敗和誤導攻擊,并能顯著提高攻擊者所面臨的風險和不確定性。除了有助于保護內部設有蜜罐補丁的網絡空間之外,它也有利于公共網絡空間的安全。
(2)網絡空間抵賴與欺騙
網絡空間防御模式從靜態、被動的邊界防御逐步發展為外向型的主動防御,這種主動防御可以對網絡空間攻擊進行學習、結合和影響。這種發展在策略、操作和戰略的層面為通過網絡空間抵賴與欺騙提高網絡系統抵御攻擊的能力打開了一扇新的大門。網絡空間抵賴與欺騙是一種新興的交叉學科網絡空間安全防御體系。
1)網絡空間欺騙鏈
網絡空間欺騙鏈是從網絡空間生命周期的角度建立的網絡空間抵賴與欺騙操作管理高級元模型。類比于洛克希德·馬丁公司提出的“網絡空間殺傷鏈”模型,網絡空間欺騙鏈是從用于策劃、準備和執行欺騙操作的流程發展而來的。網絡空間欺騙鏈促進了網絡空間抵賴與欺騙、網絡空間威脅情報和網絡空間運營安全3個系統間的相互融合。網絡空間欺騙鏈一共分為8個階段,如圖1所示。
圖1 網絡空間欺騙鏈
制定目標:就是網絡空間欺騙的目的,由于網絡欺騙的根本目的是為了影響攻擊者的行為,網絡空間欺騙的目的則要與對攻擊者行為影響的預期息息相關。也就是說,欺騙的目的是通過引導攻擊者實施或不實施某些操作,來幫助防御方實施網絡空間防御。
收集情報:在網絡空間欺騙鏈的第二個階段中,拒絕與欺騙策劃者定義了攻擊者在遭到欺騙后的預期行為。從某種程度上說,攻擊者預期行為是策劃者通過網絡空間威脅情報定義的。主要包括攻擊者將會觀測到什么;攻擊者將會如何解讀這種觀測;攻擊者將會如何對觀測的結果進行或不進行反饋;以及攻擊者的行為如何被防御方監控。
設計故事:所謂“封面故事”是指網絡空間抵賴與欺騙策劃者想要攻擊者探測和相信的信息。拒絕與欺騙策劃者會將重要組件的抵賴與欺騙操作考慮在內;評估攻擊者觀測和分析的能力;虛構令攻擊者信服的故事,并利用它“解釋”攻擊者可觀測運營組件的原因;同時誤導攻擊者對其觀測意義和重要性的解讀。拒絕與欺騙策劃者將決定什么信息必須要被掩蓋,什么信息必須被虛構并且曝光。
籌備工具:在這個階段,網絡空間抵賴與欺騙策劃者需要分析所要隱藏的真實事件和活動的特征,以支持封面故事的設計;要鑒別攻擊者可以觀測的相關簽名;要計劃利用拒絕策略(比如偽裝、重組、擾亂和標注等)隱藏來自攻擊者的簽名。策劃者還要分析可用于描繪和觀測所支持騙局的名義上的事件與活動的特征;鑒別攻擊者可以觀測的相關簽名;計劃使用可以誤導攻擊者的欺騙性策略。
準備欺騙:在這個階段,抵賴與欺騙策劃者需要對可以使攻擊者認知和感知產生影響的欺騙運行進行設計,并探索可用的手段和資源以創造這些影響。
執行欺騙:隨著欺騙轉變和真實運營準備的同步進行和相互交叉,抵賴與欺騙策劃者和網絡空間運營安全專家必須協同并控制所有正在進行的相關運營,從而可以在不妨礙和折損真實運營的情況下持續、可靠、有效地支持和實施所設計的騙局。
實施監控:抵賴與欺騙策劃者與網絡空間威脅情報分析師、網絡空間運營安全專家共同對欺騙和真實運營進行監測和控制。這將對友軍和敵軍的運營準備實施監控;將會密切關注觀測通道和信源選擇性傳播給攻擊者的欺騙信息;將會監測攻擊者對“表演”,即執行的封面故事的反饋。網絡空間抵賴與欺騙操作員必須通過監測攻擊者以決定欺騙性運營是否對攻擊者行為產生了預期影響。
強化效果:如果網絡情報獲知欺騙操作沒有把封面故事“出售”給攻擊者,且并未對攻擊者的行為產生預期的影響,那么網絡空間抵賴與欺騙策劃者就需要通過進一步欺騙、利用其他通道和信源將欺騙運營傳遞給攻擊者以強化封面故事。策劃者要重回網絡欺騙鏈的第一步,執行備用欺騙,或者規劃其他的運營。
2)網絡空間欺騙鏈與網絡空間殺傷鏈
攻擊者在目標網絡空間中對有價值的信息實施攻擊時都遵從一個通用的行為模式。攻擊者通常利用的網絡攻擊策略,可被網絡空間殺傷鏈或者攻擊周期劃分為6個階段。類似于網絡空間殺傷鏈,網絡空間欺騙鏈并非一次入侵。每前進的一步都可能是遞歸或者不連貫的。網絡空間欺騙鏈同時也可以用于網絡空間殺傷鏈的任何一個階段,且欺騙操作的目的與殺傷鏈的每個階段都息息相關,如圖2所示。
圖2 創建網絡空間欺騙鏈防御
偵察:如果防御方可以察覺攻擊者偵察的力度,就可在傳遞階段為攻擊者提供為了實現防御目的而設置的一系列角色和Web足跡。值得注意的是,欺騙操作可被用于影響攻擊鏈中攻擊者將來的行為。
武器化:讓攻擊者對企業機構漏洞、防御姿態,以及防御方可抵御攻擊武器化荷載的能力產生錯覺。如果偵察階段成功,攻擊者將會嘗試給一個或多個自以為真實而實則是虛假的人員角色傳輸武器化載荷。
漏洞利用:識別(攻擊者)對漏洞利用的企圖,可以讓防御方列用蜜罐環境使攻擊者進行重定位。所謂蜜罐環境就是看似包含了豐富的漏洞信息的網絡組成部分,實則是防御方單獨設立,且可以監測的網絡區域。其目標就是隱藏所有可能被“發現”或暴露蜜罐的信息,以增加攻擊者偵察的時間長度。
控制:當攻擊者擁有了唾手可得的接入權限時,通過給攻擊者提供由抵賴與欺騙策劃者設計的、具有豐富信息的互動型蜜罐,能幫助防御方識別攻擊者的動機、意圖和能力成熟度。
執行:通過模擬系統中斷使攻擊者的攻擊步伐放緩,以便于收集網絡空間情報。
維持:通過適時增加和定期去除虛假人員角色信息以保持高互動性蜜罐環境的真實性,同時還要維持新有人員角色及其他,比如文件、郵件、密碼修改記錄、登錄記錄、瀏覽記錄等。
表1 欺騙與殺傷鏈模型的映射關系
六、
網絡空間欺騙防御面臨的挑戰
第一類挑戰是如何將用于應用欺騙技術描述的配置規則的語義進行分類。而這些技術與它們屬于的網絡環境的細節相關。例如,如果檢測到可能的攻擊活動,則可以無條件地觸發網絡空間欺騙。然而,如果檢測到雙重用途網絡事件,則必然存在用于觸發欺騙防御的附加條件。這種需要附件條件的示例是發起請求DNS傳輸的網絡連接主機的源IP地址。如果請求并非來自預期執行網絡管理活動的主機節點,則會觸發欺騙防御。
第二類挑戰是不同的欺騙技術如何對不同類型的用戶產生不同的影響。例如,在網絡上呈現虛假服務,雖然從網絡管理的角度會存在一些問題,但是對于正常用戶沒有影響。與此同時,使用諸如偽造密碼或者蜂窩對象(例如未使用的數據文件,或者未映射的網頁)的欺騙技術來防止對正常用戶或者高級用戶活動產生任何影響。然而,使用諸如協議模糊的技術則可能嚴重地影響正常用戶的操作,并且當且僅當檢測到攻擊并識別出攻擊者時才能夠被直接定向和觸發。
第三類挑戰是,如果檢測到可歸屬于正常用戶操作的活動,但其試圖執行超出分配優先范圍的動作,則也會觸發欺騙防御。例如如果某個主機嘗試啟用被內部防火墻阻塞的口令,或者看似合法的內部用戶嘗試訪問禁止的網絡共享以啟動TCP連接等。
未來應對這些挑戰,一種可能的替代方法是對高級用戶的網絡請求/查詢采用多因素認證。欺騙活動對正常業務的影響最好通過仔細選擇與安全策略相一致的欺騙技術來解決。與此同時,還要注意的是,每個分析的數據包來源必須通過使用欺騙系統本身的能力,或者依靠其他部署的第三方防御檢測加以驗證。
七、
網絡欺騙防御技術的發展預測
現有網絡欺騙技術沒有形成固定且統一的形態,而是隨著攻擊技術與網絡安全需求的變化而演化。盡管有一些網絡欺騙技術的理論研究工作,然而更側重于對網絡欺騙效果的分析,沒有成體系的理論基礎與通用的標準規范。與其他安全防御措施相比,基于欺騙的防御工具需要防止被入侵者發現,這就要求與業務系統具有高度的一致性,現有的欺騙技術在根據業務系統進行動態調整的能力上還有所欠缺,由安全人員開發的欺騙工具與業務環境契合度尚需完善。概括起來,網絡欺騙技術未來發展趨勢包括:
(1)與威脅情報相結合,一方面利用威脅情報提供的信息完善欺騙策略,另一方面欺騙技術捕獲到的信息反過來可以助力威脅情報的生成;
(2)可定制、智能化的網絡欺騙技術框架研究與開發,通過機器學習、人工智能等技術根據所部署的業務環境自動生成與業務系統高度一致、具有高保密性的欺騙環境;
(3)研究以SDN、云平臺等技術部署的具有伸縮性的網絡欺騙工具;
(4)結合認知心理學、軍事學等學科關于欺騙的研究成果,進行網絡欺騙模型與理論研究。
八、
結 語
網絡空間防御作為保證網絡安全的關鍵,無論在方法理論、體系構建、還是技術實施等方面都在不斷推陳出新。不同于以往“封門堵漏”的被動防御思想,網絡空間防御正朝著主動防御的思想策略發展演變。欺騙防御跳出了技術對抗的思路,把關注點從攻擊上挪開,進而去關注攻擊者本身。即使人類進入量子計算時代,但凡人性的弱點還沒有消失,欺騙和防御的故事都會不斷上演,而且在未來的信息對抗中將扮演越來越重要的作用。
