「黑客与极客」对抗中的主动防御:攻防演练和小规模网络对抗的战术分析( 四 )
第二、当建立起蜜网后(建议蜜网中蜜罐的数量尽量达到真实业务系统数量的10倍以上) , 对于攻击者来说 , 无疑使其陷入了一个迷宫 , 极大地延缓了攻击进度(理论上攻击时长应会以数量级延长);
第三、高交互和高仿真的蜜罐 , 一方面可以迷惑攻击者 , 使其在蜜罐中停留很长时间 , 极大地消耗他们的时间 , 另一方面可以利用高交互获取更多攻击者的攻击手法、第一手自然人信息(例如真实IP、浏览器信息等等)、甚至是他们使用的一些1day和0day , 使其暴露;
第四、即使蜜罐模仿的业务系统被攻破 , 攻击者也无法获取任何有价值的信息 , 当攻击者90%以上的攻击尝试和努力都是针对蜜罐的 , 将会消耗他们大量的精力 , 打击他们的信心;
诸多好处不一列举 。
本文插图
一个精心布置、能产生对抗效果的蜜罐和蜜网系统 , 应该包含如下能力:
第一、可以快速大量部署 , 并对正常业务不造成影响;
第二、应该是仿真的 , 只有这样才有迷惑效果 , 才能最大化的拖延攻击者 , 并使其难以发现;
第三、应该是高交互的 , 高交互一方面可以消耗攻击者的精力 , 另一方面可能捕获到攻击者的攻击信息 , 甚至是一些自然人信息(例如精心构建的登陆认证、邮件认证等 , 均可以考虑反向钓鱼);
第四、可以保护自身的安全性 , 一方面蜜罐本身可以包含(也可不含)一些精心构建的漏洞 , 另一方面要考虑到如果蜜罐失陷 , 不应使攻击者可以用于跳板或他用;
第五、好的蜜罐应该自带一些1day甚至0day , 用于进行溯源反制 , 这些1day或者0day应该至少包含针对于浏览器、社交平台等方面的 , 而不仅局限在进行攻击规则匹配以及对浏览器、主机信息和攻击日志等进行记录 , 这样才能对溯源到真实的自然人有帮助;
第六、好的蜜罐应尽可能内置或可以与一些外置数据和情报信息进行联动和对接 , 例如:通过获取的一些自然人信息与前文提到的社交网络数据库联合查询以得到攻击者真实自然人身份;通过得到的攻击源信息进行匹配后可以得到跳板范围并进行阻拦等等 , 这将直接达到减少攻击有生力量的效果 。
八、在所有对抗中 , 都要考虑攻击者的实战场景并加以利用 在真实的网络对抗中 , 既然已经明确了以攻击者——“人”为关注点 , 就要从攻击行为、习惯、可能的手段作为出发点进行考虑 , 往往可以事半功倍 。
在“七步网络杀伤链”理论中 , 最有参考价值的是2011年洛克希德马丁发布的网络杀伤链模型 , 在其模型中更为关注“人”的因素 。
由于七步网络杀伤链理论模型相对已经比较完善 , 同时它们也是目前实战派攻击场景中公认最成熟的 , 在此就不进行累述了 , 进行实战方案和操作指南制定时 , 请查阅和参考该模型来制定详细的反制措施 。
下图放上了关于此模型的大致思路 , 但详细细节比这些丰富很多 。 在此需要特别提醒的是 , 仍然需要以“人”作为关注对象 , 无论是攻击者 , 还是受攻击资产 , 还是网络安全设备和策略 , 背后都是“人” , 他们是:黑客、IT管理员、网络安全工程师 。 制定策略要考虑人及其操作的可落实性 。
比如可以利用仿真虚假的业务系统的交互(例如邮件注册或加载插件) , 精心构建针对攻击者进行的鱼叉或水坑攻击 。
本文插图
九、所有安全设备和策略都要用最简单有效的方法进行策略制定
很多方案中会堆叠一系列产品、设备、流程、管理制度等等 , 但是在实战网络对抗中要明确一个宗旨:越简单越有效 。 具体即:非白即黑 。
一切阻断类型的防御手段和策略 , 在使用和操作时 , 都是越直接越好 。
推荐阅读
- 『极客力量』自由聆听新体验 华为Sound X开启音乐社交新潮流
- ■1580枚比特币!欧洲能源巨头EDP集团惨遭黑客勒索
- [极客时间线]实力派无惧考验,苹果iPhone 11防摔手机壳推荐
- 「钛媒体APP」网红如何对抗MCN?
- 『极客公园』罗永浩和刘作虎,一场直播背后的故事与想象
- 极客微视数码说TB@王牌充电组合加持,3999元的OPPO Ace2成硬核玩家首选
- 『极客微视数码说TB』上手体验三界茶具二合一电水壶,颜值超凡,智高一筹
- 「极客时间线」风格各异的一加7T Pro手机壳,带你游走个性时尚前沿
- 『商业经济观察』携手“山寨机之父”开启对抗华为模式,卢伟冰究竟能否成功逆袭?
- 「极客时间线」自带属性的荣耀20S手机壳,彰显你独特品位个性