青藤云安全：一种基于欺骗防御的入侵检测技术研究

1.欺骗防御工具工作原理

欺骗防御平台有一个集中管理系统，用来创建、分发和管理整个欺骗环境以及各个欺骗元素，主要包括工作站、服务器、设备、应用、服务、协议、数据和用户等元素。虽然这些元素都是虚拟出来，但与真实资产几乎一致，因此可被用作诱饵来吸引攻击者。

图1 欺骗防御工具工作原理

1）安全团队

安全团队在整个过程中扮演重要角色，他们需要明确企业组织保护目标，以及监控来自欺骗工具的警报。一些成熟的企业组织除了使用欺骗防御的常规功能以外，已经将其扩展到一些更复杂的场景中，比如生成本地威胁情报、威胁追踪或主动防御等。一旦选择具体的使用场景，欺骗防御技术将会通过设置一些参数来增强整体防御技术，首先可以通过人工生产大量欺骗资产内容；其次设置尽量逼真的环境，提高欺骗的逼真度；最后将欺骗资产陷阱部署到合适位置上。

2）欺骗工具

一旦想清楚需要部署哪种类型的欺骗活动，接下来就是要生产和部署相应的“陷阱”。这些陷阱可以是虚拟“赝品”、诱饵等，常见的欺骗场景类型包括：

（1）圈套：假网络、假VLAN和假子网。

（2）诱饵：假服务器及PC电脑。

（3）蜜罐：伪造数据、文件夹、文件、身份或者用户。

但是每个类型欺骗场景的复杂性是不一样，如下图所示：

图2 不同类型欺骗场景复杂度

为了创建看起来既真实又可信的“假象”，欺骗防御工具将通过检查企业几个信息存储库，如Active、Directory、CMDB数据库等，来了解企业正在使用的命名、拥有资产状况等信息。一旦构建了欺骗使用场景，欺骗防御工具将通过其自带的“管理系统”来管理其部署，比如通过虚拟化部署或者使用云服务方式部署。

3）攻击者

攻击者通常情况会使用洛克希德·马丁定义的“杀伤链”中一种方法进行攻击。在整个攻击过程的一些环节部署欺骗防御产品可以暴露攻击者。这些阶段是：

（1）侦察阶段：攻击者在决定行动之前通常必须接触和调查一个环境。例如，通过ping方式连接服务器，可以轻松发现那些未打补丁的软件版本。但是这种连通，无论它是多么隐蔽，都不应该发生在用来欺骗的资产上。

（2）横向移动：在这个阶段，攻击者从一个资产移动到另外一个资产。同样，如果这个新移动资产和攻击跳板是欺骗防御的一部分，那么攻击者很快就会被发现。

（3）数据收集：在这个阶段，攻击者接近他们的目标。这时候攻击者已经接近那些包含有价值数据的服务器和文件夹。但是这些文件夹和文档都是假的。这时候系统可能已经发送了一个警告，通知安全团队攻击者正在寻找的文件类型。

（4）递送：这个阶段指的是将攻击武器传输到指定位置（例如，通过电子邮件附件、网站或USB驱动器），但是攻击目标却是假资产（例如VLAN中的假服务器）。

2.欺骗防御工具五大实践场景

企业组织应根据其成熟度来确定哪些检测场景与它们相关，如下图所示：

图3 欺骗防御工具实践场景

1)基础威胁检测

欺骗防御最简单使用场景是通过部署简单的触发传感器和正常情况下无人接触的控件来提供基本的威胁检测。

这个场景适用于中小型企业，针对企业中潜伏的威胁提供基本的警报。有的企业可能已经有SIEM产品，在这种情况下欺骗防御工具可向SIEM提供高价值数据信息来补充检测覆盖率。对于还没有部署相关检测工具的企业，欺骗防御工具可能是构建有效的威胁检测功能的第一步。

这类欺骗防御产品虽然是低交互的、可信度也不高，但它们仍然能够有效地检测不成熟的攻击者。这类场景具有以下这些特征：

表一：基础威胁检测实践场景

2)高级威胁检测和响应

随着攻击者手段变得越来越复杂，尽管低交互欺骗防御工具是可以接受的，但不得不说高可信度欺骗工具正变得越来越重要。企业可寻找那些能够与EDR、FW、SOAR厂商的产品进行集成并且可提供高可信度欺骗工具的供应商。

高级威胁检测和响应场景适用于那些希望在企业中启动威胁检测和响应功能的中小企业。中小企业通常没有SIEM、UEBA和安全编排、自动化和响应（SOAR）等安全工具。同时，该场景它也适用于更成熟的企业组织，用来补充他们在当前企业安全检测中不足。

由于欺骗防御工具的误报率非常低，企业可轻松地启用自动化操作来及时阻止攻击。例如，隔离端点或关闭防火墙中的端口，而不必将事件发送到SIEM、SOC进行分类和响应。

提供高级威胁检测和响应这类场景具有以下这些特征：

表二：高级威胁检测和响应实践场景

3)输出IoC和MRTI

在这个场景中，将通过仔细观察攻击者来了解他们的操作方式和情报，为企业提供有价值的本地威胁情报信息。该场景更适合成熟企业机构，这些机构通常已经拥有了一个威胁情报分析小组。

这类成熟企业组织，可寻找那些能够提供高交互和高可信度的欺骗工具，此外他们还需寻找那些能过用过观察攻击者行为自动或指导生成本地威胁情报的工具。整个过程包括如何组织情报(STIX)，以及情报怎么传输(TAXII)。

这类场景具有以下这些特征：

表三：输出IoC和MRTI实践场景

4)综合主动威胁诱捕

实施先发制人的威胁诱捕通常基于一个需要被证实的假设。例如，“是否有一个攻击者隐藏在这里”，或者“如果我是一个攻击者，我将这样工作”，或者“核实一下攻击者是否已经在自己内网站稳了脚跟。”

一个有针对性的欺骗活动，可以发现隐藏的攻击者，尤其是当欺骗工具提供一种不可抗拒的诱饵时候。这个场景适合非常成熟的企业组织，这些组织拥有稳定的SOC，并且希望增强安全团队的威胁诱捕能力。

威胁诱捕通常是一种高度互动、高度动态的活动，因此需要尽量减少“猎人”的停机时间。这是一个非常有效的工具，支持持续、主动和非时间敏感的威胁追踪。

这类场景具有以下这些特征：

表四：综合主动威胁诱捕实践场景

5)主动攻击防御

在这个场景中，欺骗工具为防御者构建了一个对他们有利的战场，并将攻击者引向该战场。

此场景仅适合非常成熟的组织使用，这些组织具有强大的SOC，强大的威胁情报和威胁检测功能，以及在渗透测试和其他红蓝对抗方面有丰富经验。实际上，组织中应该可以随时获得构建战场并与攻击者进行实时战争的能力。

在这个场景中，企业寻找提供高交互性和高可信度欺骗工具的供应商。平台的灵活性是关键，API驱动的可编程性也是非常关键。

这类场景具有以下这些特征：

表五：主动攻击防御实践场景

3.欺骗防御技术带来的安全价值

1)没有大数据也能做威胁检测

欺骗防御工具是通过模拟“正确的数据”访问来检测威胁，与SIEM、UEBA或NTA等技术需要从“大数据”中发现威胁大不相同。欺骗工具采用的是正确的数据方法，而不是大数据方法。

到目前为止，威胁检测方法主要依赖于大数据方法。这需要企业从各个角落获得尽可能多的监测数据，并对该数据集进行尽可能的分析，以暴露潜在的威胁。事实证明，这种方法很有价值，但也付出了代价。日志集中、日志存储、日志分析都非常耗费资源。

欺骗防御以不同的方式处理威胁检测问题。欺骗工具将通过伪造或诱饵的形式在整个组织中部署一个欺骗防御系统。一旦攻击者与这些诱饵发生交互，安全人员将会收到相关攻击者的信息。以青藤云安全的微蜜罐为例，就是让主机对各端口进行监听，从而扩大监控范围。通过这样消耗小而覆盖面广的蜜罐配置，发现黑客端攻击行为的概率就会大大提升。

2)让幸运的天平向防守者倾斜

在正常情况之下，防御者需要确保100%正确，而攻击者只需幸运地找到一个漏洞，就能在其他方面保持领先的网络安全态势。而欺骗防御，让防守者更有利。例如，在侦查阶段，即使大部分是离线完成的，攻击者也需要随机地接触一些系统。这些轻量接触行为，并不会触发SIEM、UEBA警报。但是如果所接触的任何系统有一个欺骗防御内容，那么攻击就会被发现。攻击者需要特别幸运才能达到他们的目标。

此外，对于那些尽管已经有了检测解决方案，但仍然担心被攻破的组织来说，欺骗可能是发现攻击者的唯一方法。当检测解决方案无法发现攻击者的操作行为，或者当UEBA将攻击者的行为存在视为正常时，部署欺骗构件可能是捕获攻击者的唯一方法。同样，欺骗会让运气因素向防守方倾斜。

3)减少误报让工作更有效

按照设计，欺骗防御巩固在不被使用时通常是无声的。这与大多数安全解决方案有所不同，它们旨在分析所有活动，而对好活动的任何错误判断都会导致误报。

在极少数有些情况会产生误报，例如，漏洞管理扫描工具可能会偶然发现欺骗系统，触摸它们并产生误报。但这可以通过在扫描工具中添加白名单地址来解决。

总的来说，欺骗工具产生的误报比许多检测方法要少，但代价是不完全覆盖。将欺骗部署到所有地方成本太昂贵且不切实际，因此安全人员需要通过基于覆盖率需求和预算的部署和操作成本来平衡欺骗系统的密度。

结束语：

本文简单介绍了一种基于欺骗防御的入侵检测技术，企业可以将欺骗工具作为常规威胁检测的替代方案，它们可以极大提高告警的质量。选择与其TDR功能成熟度一致的场景，并识别与它们的情况相关的工具特征。

当然，欺骗防御技术自身仍然拥有一些局限性。最主要的就是基础设施覆盖范围。任何没有部署欺骗控件的资产都不会得到对应的防护。这对于那些对环境有了解的恶意内部人员来说，他们可以进行精准的攻击，而不需要进行随机的、危险的侦察阶段。一个组织需要权衡并接受基于可用资源的欺骗覆盖率，特别是当它是部署的唯一威胁检测工具时。