与业务共生 默安科技下一代欺骗防御体系重磅发布
2022-04-15
随着各行业数字化转型的深入发展,网络架构和业务应用方式也在发生变革,网络安全形势愈发严峻,安全防护因此更强调攻防对抗背景下的安全有效性。而从往年攻防实战中的情况看,攻击方在各方面都相对有较大的优势。作为防守方,如何有效在尽可能早的时间里,获得真实有效的情报,并根据情报针对攻击者做出及时有效的处置,抵御攻击,是各行业都十分重视的问题。
基于这一点,默安科技开始了对欺骗防御的探索:通过在攻击者常用的攻击路径上,构造黑客感兴趣的虚假系统或者信息,利用信息不对称设下的情报感知点,攻击者很大概率会踩中。一旦攻击者访问,即可第一时间感知,并将攻击者拖延在其仿真环境之内,实现攻击隔离,同时还可根据攻击者相关信息生成精准溯源情报。
2020~2022 默安科技欺骗防御体系的两年
在3月31日举行的2022春季发布会上,默安科技安全研究院院长——程进讲述了默安欺骗防御体系近两年的成果。
程进|默安科技安全研究院院长 演讲◁
2016年,默安科技发布了首个欺骗防御安全产品,开创了国内欺骗防御的先河;2020年首次发布欺骗防御体系,通过两个核心技术——旁路流量分发技术和虚拟大量欺骗节点,对网络攻击进行干扰,消耗攻击者在密网中的时间,不仅实现了更敏捷的攻击感知能力,更解决了欺骗防御覆盖度与成本的问题,欺骗防御得以大规模部署,默安科技因此积累了大量的攻击者数据,至今两年时间,默安欺骗防御体系各方面的能力已发展得十分成熟。
下一步 欺骗防御日常化场景转型的困境
程进指出,一直以来,欺骗防御大多用于攻防对抗场景,而如何将其转化成日常化安全运营场景中不可或缺的一环,是默安科技一直在思考的问题。场景转型所面临的困境有以下几个方面:
1、欺骗方案增加了人工成本
欺骗防御的成功应用,需要合理的部署方案,所部署的沙箱需要与客户真实环境类似,所投放的诱饵,需与真实数据相近,才能起到最大程度迷惑攻击者的效果,因此需要大量的人工部署运营工作。
2、内置沙箱少,不够灵活
业界欺骗防御产品,内置的沙箱和服务,往往都比较固定,或者提供少量的自定义能力,但是对用户来说远远不够,内置沙箱数量少,无法适应大量的应用场景。
3、蜜罐位置被标记
很多企业蜜罐发布后,很长一段时间不会去调整部署策略,因此被攻击者发现一次蜜罐后,即被标记,蜜罐就失去了作用。
4、响应敏捷度不够
厂商提供的沙箱类型和场景往往是固定的,沙箱类型的更新速度赶不上业界的漏洞和手法更新速度,对欺骗防御场景的更新、敏捷度不够。
5、常态化后的逃逸风险
即便容器逃逸的几率非常小,各厂商也有对应防逃逸手段,但对于客户来说,依然对逃逸风险有所顾虑。
在欺骗防御为广大政企客户构建起主动安全防护体系的同时,也需要有更多的创新和突破,才能以最充分的准备应对日新月异的攻击手段。默安科技作为业界最早落地欺骗防御领域产品的厂家,有义务肩负起国内欺骗防御先行者和领导者的使命,发现问题、解决问题,引领欺骗防御迈向新的阶梯。
与业务共生 默安科技下一代欺骗防御体系
经过长足的思考和研究,默安科技在此次发布会上正式推出“与业务共生·下一代欺骗防御体系”。“共生”,意味着“欺骗方案”与“真实业务”的水乳交融、真假难辨,两者既互不影响,又互相促进,这是默安科技下一代欺骗防御体系的核心理念。
1 、新尝试:增加五大能力
在“与业务共生·下一代欺骗防御体系”中,默安科技实现了五个能力的全新尝试:
(1)智能化蜜网
该体系采用自动化方式,融合了资产梳理、服务识别、数据识别等技术能力,通过自动探测、感知周边环境(服务、版本、账号、数据等),自动模拟最匹配场景的蜜网环境,生成蜜罐服务和投放诱饵建议,实现欺骗防御系统的全自动化部署,全面节省人工运营成本。
(2)乐高式沙箱
针对沙箱种类少的问题,通过将沙箱上的IP、端口、服务资源化,以选择一个服务或多个服务自由组合的方式,使沙箱具备了无数排列组合的可能性,通过对这些资源进行热更新,即便攻击者对沙箱进行标记,也可以对被标记的沙箱进行自动切换IP、端口和服务等,保证欺骗的有效性。
(3)沙箱插件化
业界普遍的欺骗防御产品,其耦合度高,导致蜜罐的更新速度和应急响应速度都比较慢。该体系把沙箱的灵活度做到了极致,通过沙箱插件化,把沙箱和平台完全剥离,用户只需提供轻量级的自定义,便可单独进行沙箱插件的更新。同时,该体系保证新的CVE和攻击手法能够在48小时内更新,将沙箱一键推送并全面覆盖到企业的各个网络区域,实现很大程度的响应及时性。
(4)幻阵云市场
基于沙箱插件化,默安科技亦做了下一代欺骗防御体系中的核心产品——幻阵高级威胁狩猎与溯源系统(以下简称“幻阵”)的云市场,幻阵正式转变成欺骗防御的底座。对此,程进解释道:打个比喻,幻阵产品就像是手机,而手机上的应用好比沙箱,幻阵云市场则相当于手机上的应用商店。当前,幻阵云市场上已上线了200多个沙箱,这些都是公司团队多年来在各大攻防演练场景中不断积累实践,打造出的最受攻击者感兴趣的沙箱类型。
幻阵云市场◁
(5)反制再升级
随着浏览器安全机制的更新,以往的设备指纹技术依然是适用的,但是社交ID的获取难度相应提高了,在溯源时,社交ID的获取成为一种技术对抗,带来了溯源的不稳定性。针对这一点,该体系将反制能力再升级,比起20年只支持Windows的反制,如今,还支持MacOS和Android的反制应用,覆盖更为全面,伪装更为隐蔽。
2、新思考:Deception as a Service
通过对日常运营场景中逃逸风险的思考,该体系采用欺骗防御服务化的方式:把沙箱服务搬到云上,企业内部无需部署幻阵平台,只需轻量级部署流量转发节点(中继节点/伪装代理)、刃甲网络攻击干扰压制系统(以下简称“刃甲”)或剑幕主机安全检测系统(以下简称“剑幕”)。对于攻击者来说,其攻击的是内网资产,但最终攻击却落到了云上,如此就杜绝了逃逸的可能性。这种部署模式能大大降低部署成本,对于中小型企业来说无疑是更好的选择。
欺骗防御服务化◁
3、新突破:黑客情报联动体系
默安科技下一代欺骗防御体系加入集中管理平台和威胁情报中心,无论是以集团为体系还是以行业为体系,都可以实现黑客情报的快速联动。
黑客情报联动体系◁
步履不停,持续发力
总的来说,在默安科技下一代欺骗防御体系中,幻阵是最基础、最核心的产品;在互联网侧,通过流量安全产品-刃甲覆盖;在工作负载侧,通过剑幕覆盖公有云、私有云和数据中心服务器,具备流量层面和主机层面的处置能力;在内网侧,通过中继节点和伪装代理覆盖虚假资产和容器环境。
客户全场景覆盖的欺骗防御全景图 ◁
未来默安科技的欺骗防御还会与容器安全产品相结合,做到云原生场景下的欺骗防御覆盖和自动化处置。默安不会停下脚步,将不断精进自身实力,为欺骗防御创造更多场景下的可能性。
发布会回顾
关注默安科技公众号,在后台回复“下一代欺骗防御体系”,获取《与业务共生-默安科技下一代欺骗防御体系》PPT下载链接。
