目前，針對國家重大事件、活動的網(wǎng)絡(luò)安全保障屢見不鮮，同時也是保障各應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)、企業(yè)、行業(yè)在特殊時期安全、可靠、穩(wěn)定、健康運行的重要舉措。


在目前的各種網(wǎng)絡(luò)安全保障中可能會出現(xiàn)兩種角色，一是紅隊安全檢測方，另一方面則是藍隊防御用戶方，對于用戶側(cè)的藍隊防御方來說往往要長期經(jīng)受來自紅方安全檢測各方面的自動化安全檢測與手工安全滲透測試，從而來驗證用戶系統(tǒng)安全策略和防護措施的有效性。


威脅誘捕（威脅感知）技術(shù)是一種基于應(yīng)用蜜罐、虛擬系統(tǒng)、虛擬網(wǎng)絡(luò)等多種方式的主動、積極、欺騙性質(zhì)的網(wǎng)絡(luò)安全檢測技術(shù)，正是由于這種誘捕特性使得使用該技術(shù)的安全檢測產(chǎn)品具有極高準(zhǔn)確的事件的檢出效率，并且檢出事件極具價值。根據(jù)在網(wǎng)絡(luò)安全保障過程中藍隊防御用戶方承擔(dān)的監(jiān)測、檢測、防御的職能，燈塔實驗室認為威脅誘捕（威脅感知）技術(shù)可廣泛應(yīng)用在網(wǎng)絡(luò)安全保障與藍隊防御過程中，該技術(shù)可以幫助藍隊防御用戶方：

              

一、網(wǎng)絡(luò)安全保障和紅隊常見滲透測試手段

燈塔實驗室認為站在紅隊的角度來說，任何網(wǎng)絡(luò)安全保障任務(wù)都會通過安全檢測的技術(shù)手段從尋找問題的角度出發(fā)，發(fā)現(xiàn)系統(tǒng)安全漏洞，尋找系統(tǒng)、網(wǎng)絡(luò)存在的短板缺陷。紅隊安全檢測方會通過使用多種檢測與掃描工具，對藍方目標(biāo)網(wǎng)絡(luò)展開信息收集、漏洞測試、漏洞驗證。尤其是在面向規(guī)模型企業(yè)時，更會通過大規(guī)模目標(biāo)偵查等快速手段發(fā)現(xiàn)系統(tǒng)存在的安全問題，其主要流程如下：


大規(guī)模目標(biāo)偵查

紅方為了快速了解藍方用戶系統(tǒng)的類型、設(shè)備類型、版本、開放服務(wù)類型、端口信息，確定系統(tǒng)和網(wǎng)絡(luò)邊界范圍，將會通過Nmap、端口掃描與服務(wù)識別工具，甚至是使用ZMap、MASScan等大規(guī)?？焖賯刹楣ぞ吡私庥脩艟W(wǎng)絡(luò)規(guī)模、整體服務(wù)開放情況等基礎(chǔ)信息，以便展開更有針對性的測試。


口令與常用漏洞測試

紅方掌握藍方用戶網(wǎng)絡(luò)規(guī)模、主機系統(tǒng)類型、服務(wù)開放情況后，將會使用Metasploit或手工等方式展開針對性的攻擊與漏洞測試，其中包含：各種Web應(yīng)用系統(tǒng)漏洞，中間件漏洞，系統(tǒng)、應(yīng)用、組件遠程代碼執(zhí)行漏等，同時也會使用Hydra等工具對各種服務(wù)、中間件、系統(tǒng)的口令進行常用弱口令測試，最終通過技術(shù)手段獲得主機系統(tǒng)或組件權(quán)限。


權(quán)限獲取與橫向移動

紅方通過系統(tǒng)漏洞或弱口令等方式獲取到特定目標(biāo)權(quán)限后，利用該主機系統(tǒng)權(quán)限、網(wǎng)絡(luò)可達條件進行橫向移動，擴大戰(zhàn)果控制關(guān)鍵數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備，利用收集到的足夠信息，最終控制核心系統(tǒng)、獲取核心數(shù)據(jù)等，以證明目前系統(tǒng)安全保障的缺失。


二、威脅誘捕（威脅感知）技術(shù)應(yīng)對方式

威脅誘捕（威脅感知）技術(shù)主要利用VM、Docker、軟件定義網(wǎng)絡(luò)（SDN）等虛擬化應(yīng)用、主機、系統(tǒng)、網(wǎng)絡(luò)的方式實現(xiàn)虛擬的應(yīng)用、主機、系統(tǒng)、網(wǎng)絡(luò)相關(guān)功能的模擬，并且可以牽引攻擊行為與重定向攻擊流量達到逼真迷惑攻擊者和深入行為分析。威脅誘捕（威脅感知）技術(shù)是一種高準(zhǔn)確度的網(wǎng)絡(luò)安全檢測技術(shù)，區(qū)別于一般監(jiān)測類手段，威脅誘捕（威脅感知）同時還具有一定的積極防御特性，除能夠準(zhǔn)確無誤檢出攻擊事件外，也可誤導(dǎo)與迷惑攻擊者，增加攻擊時效。目前威脅誘捕（威脅感知）類型的系統(tǒng)應(yīng)對紅隊的滲透測試、安全檢測手段主要體現(xiàn)在以下方面，燈塔實驗室主要挑四個方面進行分析：


網(wǎng)絡(luò)掃描行為與異常行為監(jiān)控

一般情況下威脅誘捕（威脅感知）系統(tǒng)會為測試者設(shè)置一個、多個或海量虛擬構(gòu)成的虛擬應(yīng)用、主機、系統(tǒng)、網(wǎng)絡(luò)。當(dāng)紅隊在進行網(wǎng)絡(luò)偵查與網(wǎng)絡(luò)掃描時，如果網(wǎng)絡(luò)可達，將可能會命中在網(wǎng)絡(luò)中的些虛擬主機系統(tǒng)資產(chǎn)，根據(jù)異常連接分析機制和連接行為分析，識別出掃描和異常行為的類型，攻擊源IP將會被第一時間告警。


網(wǎng)絡(luò)掃描防護與服務(wù)欺騙

威脅誘捕（威脅感知）類型的系統(tǒng)在應(yīng)對紅隊類型掃描情況時，將可以為紅隊Nmap、ZMap、Masscan等端口掃描與服務(wù)識別工具提供虛假的端口和服務(wù)開放結(jié)果，甚至包括一定比例的端口全開的虛假端口開放和服務(wù)開放結(jié)果，這將極大增加紅方掃描器運行的時間，增加紅隊驗證、分析服務(wù)和主機應(yīng)用的時間，最終達到隱藏真實系統(tǒng)的目的，使其知難而退。


攻擊行為牽引與重定向

對于已經(jīng)突破網(wǎng)絡(luò)的紅方，威脅誘捕（威脅感知）類系統(tǒng)可以在虛擬主機系統(tǒng)中設(shè)置不同比例、不同類型、不同業(yè)務(wù)、不同漏洞的虛擬主機系統(tǒng)，誘導(dǎo)捕獲紅隊深入攻擊行為，并且將流量牽引與重定向到指定的容器、系統(tǒng)、網(wǎng)絡(luò)環(huán)境內(nèi)，使其進入“網(wǎng)絡(luò)黑洞”，增加攻擊時效，并持續(xù)牽引轉(zhuǎn)移紅隊專注方向。


攻擊行為分析與反制

正常情況下，當(dāng)已經(jīng)有掃描行為或異常連接行為時威脅誘捕（威脅感知）系統(tǒng)就已經(jīng)會第一時間生成安全攻擊事件，利用網(wǎng)絡(luò)掃描防護與服務(wù)欺騙、重定向等特性將可一定程度延緩攻擊時效，同時當(dāng)生成安全攻擊事件時，威脅誘捕（威脅感知）系統(tǒng)也可以將攻擊源IP推送至安全防護產(chǎn)品進行聯(lián)動封堵，全程留存的行為日志也可分析網(wǎng)絡(luò)是否真實被紅方突破，并且突破者是否為已授權(quán)紅方，了解并掌握未授權(quán)測試與攻擊行為。


三、與常見網(wǎng)絡(luò)安全監(jiān)測技術(shù)的差異

數(shù)據(jù)分析途徑不一樣

威脅誘捕（威脅感知）系統(tǒng)僅會對生成的虛擬主機、系統(tǒng)、網(wǎng)絡(luò)節(jié)點的流量和行為進行分析，無需對全網(wǎng)流量進行分析，從流量和行為分析方面不會受到用戶系統(tǒng)的影響或者因為環(huán)境差異而導(dǎo)致分析結(jié)果存在出入的情況。


數(shù)據(jù)分析對“內(nèi)”與“外”的方式不一樣

威脅誘捕（威脅感知）系統(tǒng)對與數(shù)據(jù)分析不用像常見網(wǎng)絡(luò)安全監(jiān)測產(chǎn)品那樣，需要區(qū)分業(yè)務(wù)區(qū)域和安全域，威脅誘捕（威脅感知）系統(tǒng)對于“內(nèi)”“外”沒有區(qū)分，也沒有安全區(qū)域的概念，而對于虛擬的虛擬主機、系統(tǒng)、網(wǎng)絡(luò)節(jié)點外的任何資產(chǎn)均可以理解為存在潛在風(fēng)險的資產(chǎn)，在數(shù)據(jù)分析和檢測不會因為“內(nèi)”“外”部網(wǎng)絡(luò)存在可信的情況而漏檢安全攻擊事件，不會因為內(nèi)部某項資產(chǎn)所出的安全區(qū)域與安全策略的而漏報安全攻擊事件。


判斷異常和攻擊行為方式不一樣

威脅誘捕（威脅感知）系統(tǒng)生成的虛擬主機、系統(tǒng)、網(wǎng)絡(luò)節(jié)點一般認為滿足一定連接頻次、指定層次的網(wǎng)絡(luò)行為、均是違規(guī)的、異常的（因為正常連接關(guān)系情況下并不會連接和訪問威脅誘捕系統(tǒng)虛擬的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)，一是用戶業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)環(huán)境相對固定，二是非攻擊行為下異常行為不會主動發(fā)起），該分析方式相較入侵檢測（IDS）產(chǎn)品、網(wǎng)絡(luò)安全審計產(chǎn)品不過與依賴已定義的檢測規(guī)則和自定義的規(guī)則，相比IDS、審計產(chǎn)品減少和杜絕了誤報問題。

以上內(nèi)容由四川無國界(mqptxio.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險管理咨詢服務(wù)。