目前，針對(duì)國(guó)家重大事件、活動(dòng)的網(wǎng)絡(luò)安全保障屢見(jiàn)不鮮，同時(shí)也是保障各應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)、企業(yè)、行業(yè)在特殊時(shí)期安全、可靠、穩(wěn)定、健康運(yùn)行的重要舉措。


在目前的各種網(wǎng)絡(luò)安全保障中可能會(huì)出現(xiàn)兩種角色，一是紅隊(duì)安全檢測(cè)方，另一方面則是藍(lán)隊(duì)防御用戶方，對(duì)于用戶側(cè)的藍(lán)隊(duì)防御方來(lái)說(shuō)往往要長(zhǎng)期經(jīng)受來(lái)自紅方安全檢測(cè)各方面的自動(dòng)化安全檢測(cè)與手工安全滲透測(cè)試，從而來(lái)驗(yàn)證用戶系統(tǒng)安全策略和防護(hù)措施的有效性。


威脅誘捕（威脅感知）技術(shù)是一種基于應(yīng)用蜜罐、虛擬系統(tǒng)、虛擬網(wǎng)絡(luò)等多種方式的主動(dòng)、積極、欺騙性質(zhì)的網(wǎng)絡(luò)安全檢測(cè)技術(shù)，正是由于這種誘捕特性使得使用該技術(shù)的安全檢測(cè)產(chǎn)品具有極高準(zhǔn)確的事件的檢出效率，并且檢出事件極具價(jià)值。根據(jù)在網(wǎng)絡(luò)安全保障過(guò)程中藍(lán)隊(duì)防御用戶方承擔(dān)的監(jiān)測(cè)、檢測(cè)、防御的職能，燈塔實(shí)驗(yàn)室認(rèn)為威脅誘捕（威脅感知）技術(shù)可廣泛應(yīng)用在網(wǎng)絡(luò)安全保障與藍(lán)隊(duì)防御過(guò)程中，該技術(shù)可以幫助藍(lán)隊(duì)防御用戶方：

              

一、網(wǎng)絡(luò)安全保障和紅隊(duì)常見(jiàn)滲透測(cè)試手段

燈塔實(shí)驗(yàn)室認(rèn)為站在紅隊(duì)的角度來(lái)說(shuō)，任何網(wǎng)絡(luò)安全保障任務(wù)都會(huì)通過(guò)安全檢測(cè)的技術(shù)手段從尋找問(wèn)題的角度出發(fā)，發(fā)現(xiàn)系統(tǒng)安全漏洞，尋找系統(tǒng)、網(wǎng)絡(luò)存在的短板缺陷。紅隊(duì)安全檢測(cè)方會(huì)通過(guò)使用多種檢測(cè)與掃描工具，對(duì)藍(lán)方目標(biāo)網(wǎng)絡(luò)展開(kāi)信息收集、漏洞測(cè)試、漏洞驗(yàn)證。尤其是在面向規(guī)模型企業(yè)時(shí)，更會(huì)通過(guò)大規(guī)模目標(biāo)偵查等快速手段發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題，其主要流程如下：


大規(guī)模目標(biāo)偵查

紅方為了快速了解藍(lán)方用戶系統(tǒng)的類型、設(shè)備類型、版本、開(kāi)放服務(wù)類型、端口信息，確定系統(tǒng)和網(wǎng)絡(luò)邊界范圍，將會(huì)通過(guò)Nmap、端口掃描與服務(wù)識(shí)別工具，甚至是使用ZMap、MASScan等大規(guī)?？焖賯刹楣ぞ吡私庥脩艟W(wǎng)絡(luò)規(guī)模、整體服務(wù)開(kāi)放情況等基礎(chǔ)信息，以便展開(kāi)更有針對(duì)性的測(cè)試。


口令與常用漏洞測(cè)試

紅方掌握藍(lán)方用戶網(wǎng)絡(luò)規(guī)模、主機(jī)系統(tǒng)類型、服務(wù)開(kāi)放情況后，將會(huì)使用Metasploit或手工等方式展開(kāi)針對(duì)性的攻擊與漏洞測(cè)試，其中包含：各種Web應(yīng)用系統(tǒng)漏洞，中間件漏洞，系統(tǒng)、應(yīng)用、組件遠(yuǎn)程代碼執(zhí)行漏等，同時(shí)也會(huì)使用Hydra等工具對(duì)各種服務(wù)、中間件、系統(tǒng)的口令進(jìn)行常用弱口令測(cè)試，最終通過(guò)技術(shù)手段獲得主機(jī)系統(tǒng)或組件權(quán)限。


權(quán)限獲取與橫向移動(dòng)

紅方通過(guò)系統(tǒng)漏洞或弱口令等方式獲取到特定目標(biāo)權(quán)限后，利用該主機(jī)系統(tǒng)權(quán)限、網(wǎng)絡(luò)可達(dá)條件進(jìn)行橫向移動(dòng)，擴(kuò)大戰(zhàn)果控制關(guān)鍵數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備，利用收集到的足夠信息，最終控制核心系統(tǒng)、獲取核心數(shù)據(jù)等，以證明目前系統(tǒng)安全保障的缺失。


二、威脅誘捕（威脅感知）技術(shù)應(yīng)對(duì)方式

威脅誘捕（威脅感知）技術(shù)主要利用VM、Docker、軟件定義網(wǎng)絡(luò)（SDN）等虛擬化應(yīng)用、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)的方式實(shí)現(xiàn)虛擬的應(yīng)用、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)相關(guān)功能的模擬，并且可以牽引攻擊行為與重定向攻擊流量達(dá)到逼真迷惑攻擊者和深入行為分析。威脅誘捕（威脅感知）技術(shù)是一種高準(zhǔn)確度的網(wǎng)絡(luò)安全檢測(cè)技術(shù)，區(qū)別于一般監(jiān)測(cè)類手段，威脅誘捕（威脅感知）同時(shí)還具有一定的積極防御特性，除能夠準(zhǔn)確無(wú)誤檢出攻擊事件外，也可誤導(dǎo)與迷惑攻擊者，增加攻擊時(shí)效。目前威脅誘捕（威脅感知）類型的系統(tǒng)應(yīng)對(duì)紅隊(duì)的滲透測(cè)試、安全檢測(cè)手段主要體現(xiàn)在以下方面，燈塔實(shí)驗(yàn)室主要挑四個(gè)方面進(jìn)行分析：


網(wǎng)絡(luò)掃描行為與異常行為監(jiān)控

一般情況下威脅誘捕（威脅感知）系統(tǒng)會(huì)為測(cè)試者設(shè)置一個(gè)、多個(gè)或海量虛擬構(gòu)成的虛擬應(yīng)用、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)。當(dāng)紅隊(duì)在進(jìn)行網(wǎng)絡(luò)偵查與網(wǎng)絡(luò)掃描時(shí)，如果網(wǎng)絡(luò)可達(dá)，將可能會(huì)命中在網(wǎng)絡(luò)中的些虛擬主機(jī)系統(tǒng)資產(chǎn)，根據(jù)異常連接分析機(jī)制和連接行為分析，識(shí)別出掃描和異常行為的類型，攻擊源IP將會(huì)被第一時(shí)間告警。


網(wǎng)絡(luò)掃描防護(hù)與服務(wù)欺騙

威脅誘捕（威脅感知）類型的系統(tǒng)在應(yīng)對(duì)紅隊(duì)類型掃描情況時(shí)，將可以為紅隊(duì)Nmap、ZMap、Masscan等端口掃描與服務(wù)識(shí)別工具提供虛假的端口和服務(wù)開(kāi)放結(jié)果，甚至包括一定比例的端口全開(kāi)的虛假端口開(kāi)放和服務(wù)開(kāi)放結(jié)果，這將極大增加紅方掃描器運(yùn)行的時(shí)間，增加紅隊(duì)驗(yàn)證、分析服務(wù)和主機(jī)應(yīng)用的時(shí)間，最終達(dá)到隱藏真實(shí)系統(tǒng)的目的，使其知難而退。


攻擊行為牽引與重定向

對(duì)于已經(jīng)突破網(wǎng)絡(luò)的紅方，威脅誘捕（威脅感知）類系統(tǒng)可以在虛擬主機(jī)系統(tǒng)中設(shè)置不同比例、不同類型、不同業(yè)務(wù)、不同漏洞的虛擬主機(jī)系統(tǒng)，誘導(dǎo)捕獲紅隊(duì)深入攻擊行為，并且將流量牽引與重定向到指定的容器、系統(tǒng)、網(wǎng)絡(luò)環(huán)境內(nèi)，使其進(jìn)入“網(wǎng)絡(luò)黑洞”，增加攻擊時(shí)效，并持續(xù)牽引轉(zhuǎn)移紅隊(duì)專注方向。


攻擊行為分析與反制

正常情況下，當(dāng)已經(jīng)有掃描行為或異常連接行為時(shí)威脅誘捕（威脅感知）系統(tǒng)就已經(jīng)會(huì)第一時(shí)間生成安全攻擊事件，利用網(wǎng)絡(luò)掃描防護(hù)與服務(wù)欺騙、重定向等特性將可一定程度延緩攻擊時(shí)效，同時(shí)當(dāng)生成安全攻擊事件時(shí)，威脅誘捕（威脅感知）系統(tǒng)也可以將攻擊源IP推送至安全防護(hù)產(chǎn)品進(jìn)行聯(lián)動(dòng)封堵，全程留存的行為日志也可分析網(wǎng)絡(luò)是否真實(shí)被紅方突破，并且突破者是否為已授權(quán)紅方，了解并掌握未授權(quán)測(cè)試與攻擊行為。


三、與常見(jiàn)網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)的差異

數(shù)據(jù)分析途徑不一樣

威脅誘捕（威脅感知）系統(tǒng)僅會(huì)對(duì)生成的虛擬主機(jī)、系統(tǒng)、網(wǎng)絡(luò)節(jié)點(diǎn)的流量和行為進(jìn)行分析，無(wú)需對(duì)全網(wǎng)流量進(jìn)行分析，從流量和行為分析方面不會(huì)受到用戶系統(tǒng)的影響或者因?yàn)榄h(huán)境差異而導(dǎo)致分析結(jié)果存在出入的情況。


數(shù)據(jù)分析對(duì)“內(nèi)”與“外”的方式不一樣

威脅誘捕（威脅感知）系統(tǒng)對(duì)與數(shù)據(jù)分析不用像常見(jiàn)網(wǎng)絡(luò)安全監(jiān)測(cè)產(chǎn)品那樣，需要區(qū)分業(yè)務(wù)區(qū)域和安全域，威脅誘捕（威脅感知）系統(tǒng)對(duì)于“內(nèi)”“外”沒(méi)有區(qū)分，也沒(méi)有安全區(qū)域的概念，而對(duì)于虛擬的虛擬主機(jī)、系統(tǒng)、網(wǎng)絡(luò)節(jié)點(diǎn)外的任何資產(chǎn)均可以理解為存在潛在風(fēng)險(xiǎn)的資產(chǎn)，在數(shù)據(jù)分析和檢測(cè)不會(huì)因?yàn)?ldquo;內(nèi)”“外”部網(wǎng)絡(luò)存在可信的情況而漏檢安全攻擊事件，不會(huì)因?yàn)閮?nèi)部某項(xiàng)資產(chǎn)所出的安全區(qū)域與安全策略的而漏報(bào)安全攻擊事件。


判斷異常和攻擊行為方式不一樣

威脅誘捕（威脅感知）系統(tǒng)生成的虛擬主機(jī)、系統(tǒng)、網(wǎng)絡(luò)節(jié)點(diǎn)一般認(rèn)為滿足一定連接頻次、指定層次的網(wǎng)絡(luò)行為、均是違規(guī)的、異常的（因?yàn)檎＿B接關(guān)系情況下并不會(huì)連接和訪問(wèn)威脅誘捕系統(tǒng)虛擬的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)，一是用戶業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)環(huán)境相對(duì)固定，二是非攻擊行為下異常行為不會(huì)主動(dòng)發(fā)起），該分析方式相較入侵檢測(cè)（IDS）產(chǎn)品、網(wǎng)絡(luò)安全審計(jì)產(chǎn)品不過(guò)與依賴已定義的檢測(cè)規(guī)則和自定義的規(guī)則，相比IDS、審計(jì)產(chǎn)品減少和杜絕了誤報(bào)問(wèn)題。

以上內(nèi)容由四川無(wú)國(guó)界(www.warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。