网络安全的本质是攻防对抗,而对抗的本质则是攻防两端能力较量。为了扭转网络安全攻守不对等及被动防御滞后的局势,主动出击、欲擒故纵、诱敌深入的技术正在被大量应用到网络安全防御中,它们被称作欺骗式防御。
欺骗防御技术正当时
当前,多个网络安全趋势和总体IT趋势正汇聚成一场完美风暴,将欺骗防御技术推上网络安全主流位置。具体包括:
• 云计算:欺骗模型需要大量资源用于按需处理和存储容量。欺骗防御技术可能会依托现有安全运营技术以软件即服务(SaaS)或云服务的形式提供。这样一来,欺骗防御技术就将走向大众。
• API连通性:欺骗防御技术也会接入基础设施即服务(IaaS)、资产管理系统(网络资产攻击面管理)、漏洞管理系统、攻击面管理系统、云安全态势管理(CSPM)等。借助这一连通性,欺骗系统可掌握组织混合IT应用与基础设施的全貌。
• 生成式AI:基于大语言模型(LLM),生成式AI能够“生成”逼真的陷阱(例如虚假资产)、诱饵(例如虚假服务)、合成网络流量和“面包屑”(例如放置在真实资产上的虚假资源)。这些欺骗要素可在混合网络中有策略地大量自动部署。
值得一提的是,医疗保健和制造业等行业大量使用无法托管安全代理的OT/IoT技术,欺骗防御技术可以通过模拟OT/IoT设备来保护真正的生产设备。
嘉韦思蜜网欺骗防御系统
嘉韦思推出蜜网欺骗防御系统,是由多套伪装成有漏洞的真实生产环境的蜜罐服务构成,主要用于混淆攻击视线,诱导攻击者转移攻击目标,延缓攻击进程,是为用户争取应急响应时间的一种主动防御型技术产品。
蜜网欺骗防御系统是基于欺骗伪装技术,全面提升内网发现、记录、溯源攻击行为的威胁感知能力的一款产品。从攻击者视角出发,通过在用户内部网络中部署与真实资产相似的“诱惑陷阱”,诱导攻击者进入与真实网络隔离的蜜网。智能算法联结多个高交互蜜罐组成蜜网,诱骗非法渗透内网的攻击者进入蜜网中攻击“假”目标,获取假数据,保护企业内部真实资产,为安全人员争取应急响应时间。
当蜜网内的仿真蜜罐在被攻击时,会通过溯源模块和其他技术手段,主动记录攻击者的完整攻击过程并进行身份溯源,为企业精准定位攻击者提供有利和详尽的数据支持。
蜜网欺骗防御系统特点
反控免杀:采用的Shellcode未进入杀软特征库, 本身具有较好的免杀性。
反沙箱:反制文件采用API flood,建立C2通信隧道行为之前,执行迟滞代码,并对硬件进行检测,判断出是否为沙箱环境。
反虚拟机:自动识别自身内置于虚拟机中,支持识别Vmware、VirtualBox、KVM等主流虚拟机软件,并能够改变操作隐蔽行为。
检测规避:蜜罐系统内置的反制文件能够规避主流反病毒引擎的检测,并对虚拟机和沙箱进行识别从而屏蔽恶意动作,规避检测。
不同于传统蜜罐,新兴欺骗防御技术不需要尖端知识或复杂的设置。虽然某些先进的组织可能会定制自身欺骗网络,但很多公司都会选择默认设置。大多数情况下,基本配置足以迷惑对手。同时,欺骗防御技术还可以帮助组织改进威胁检测和响应方面的安全运营。
嘉韦思蜜网欺骗防御系统,已成功应用于交通、金融、政府、能源、工业系统等领域,并凭借出色的产品表现获得客户的良好反响。未来,嘉韦思将不断提升技术能力和创新能力,护航用户网络安全,助力我国网络安全产业健康与可持续发展!
热门跟贴