【精彩回顾】滴滴安全说:欺骗的艺术——之蜜罐技术专场

阅读量    68899 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

http://p6.qhimg.com/t0121b34f782a08d819.png

活动介绍


随着2017年Wannycay勒索病毒席卷全球,成千上万的计算机遭受了严重影响,网络安全事件频发,严重威胁着我们的上网安全;黑客们隐藏在黑暗中,伺机对他们的“猎物”发起攻击。相对于现实世界,互联网世界的攻击者们更善于隐藏自己,他们往往躲在肉鸡、代理的背后,肆无忌惮的攻击我们的站点,对于这样的坏人,我们只能躲在高墙之后被动防御吗?

http://p5.qhimg.com/t01cd9b94a34322ec01.png

当然不是!因为,有一种神奇的技术叫“蜜罐”!

蜜罐技术本质上是一种对攻击方进行欺骗的技术。它好像是故意让人攻击的目标,引诱黑客前来攻击。当攻击者入侵后,你就像是开了上帝视角,可以随时了解针对服务器发动的最新的攻击和漏洞。甚至还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

http://p6.qhimg.com/t01c1e23f5412b45d59.png

对于当前层出不穷的网络攻击来说,蜜罐技术能够更快速度发现安全问题,从而起到更快、更好的防御效果。

滴滴出行安全说第5期-蜜罐技术专场,我们邀请到了默安科技CTO云舒、360公司内部无线安全负责人柴坤哲,两位专家将从不同角度,带你们领略欺骗的艺术——蜜罐技术!

安全说介绍


滴滴信息安全部DSRC推出安全说(Information Security Talkshow)系列活动,希望为广大安全从业者打造一个“与国内外顶级安全专家和白帽黑客的分享交流平台”。

该活动致力于向安全行业贡献顶级技术干货,从而提升参会者的“安全视野”与“技术水平”;从2017年至今,安全说已成功举办4场,获得了业内的一致好评。


精彩回顾

这是一个最好的时代。

万物互联的不断加深使人们的生活更加便利,大数据技术的应用让社会发展更加高效……

但,这也是一个最坏的时代。

随着万物之间的连接逐渐增多,网络安全问题也日趋严重。随着2017年Wannycay勒索病毒席卷全球,成千上万的计算机遭受了严重影响,网络安全事件频发,严重威胁着个人、企业乃至国家安全。

如今我们所面临的网络威胁不再是简单的木马病毒,而是0Day、APT、社工、潜伏等攻击手段,面对这些新兴的攻击,传统的防御体系已很难达到效果,容易产生很多漏报、误报等问题。

针对这些新兴威胁,本期滴滴安全说我们请来了默安科技CTO云舒以及360无线电安全研究部天马安全团队负责人柴坤哲。

http://p2.qhimg.com/t01838321aca534218d.png

两位大咖分别从《企业内部的欺骗防御体系》及《看得见的无线安全》的议题为我们带来了分享,讲述企业应该如何突破正面防御框架,通过欺骗、引诱的方式,以退为进,更柔性地从业务层面发现入侵行为并溯源。

http://p5.qhimg.com/t012093e79c181adcce.png

对于目前的网络安全态势及攻击手段,两位大大在演讲中都认为:在目前的网络安全形势下,大企业被入侵是不可避免的,所以企业要随时做好被入侵的觉悟与准备。然而企业所要做的就是在被入侵后,以欺骗性的方式给予攻击者虚假的情报,让攻击者一步步步入我们所好设置的陷阱中,并通过某些手段阻断信息的对外传输,甚至是通过一些反攻击手段获取到攻击者的个人信息,以便于溯源出攻击者。

防守中的反击 追源溯本吓退攻击者

柴坤哲在演讲中提到,对于企业无线安全的建设中我们首先要想清楚几个问题:攻击者有没有突破边界?是通过什么手段突破的边界的?他们想做什么?想要什么?利用了哪些工具?且攻击者又是谁?

http://p4.qhimg.com/t012a49bd953e16eb23.png

针对这几个问题,柴坤哲认为在企业级的无线防御中,虽然部分厂商已经推出基于空口抓包的WIPS(无线入侵防御系统),但光是依靠现有的WIPS是不够的。企业还需利用无线网络的特性,在无线边界处制造无线蜜罐来进行欺骗性防御,利用Windows/Linux高交互式蜜罐拖延攻击者时间并捕获样本,且在安全防御中可以加入如水坑攻击的手段,在诱导黑客攻击蜜罐机的同时设置陷阱,获取黑客个人信息、样本信息并联动威胁情报,才能让黑客无所遁形。

http://p6.qhimg.com/t0145b55a06ff6144b6.png

对于企业无线安全全局建设来说,首先就是要全面杜绝公司内部中私建热点、私接路由的行为,并成立相应的无线安全工作流程,对于内部的WiFi热点要做到全局掌控,且杜绝弱密码;同时,无线安全产品也需要与公司内部的其他安全防御产品进行协同的联动防御,才能在攻击者到来时保障企业无线网络的牢固防线。

虚假情报部署 让攻击者晕头转向

而在云舒的演讲部分中他提到,虽然目前有很多IDS/IPS类似的内网产品,但是此类产品都是基于规则或是单纯“技术上”的行为进行防御的判断,且误报与漏报极多。而且对于新兴的攻击手段,传统的防御也很难去发现它们。

http://p2.qhimg.com/t01757cf68a404aac39.png

所以在分析了黑客的攻击行为与手法后,了解到攻击者其实更愿意去攻击企业中比较脆弱的对外部门,例如HR或是客服等。因为他们既不懂技术网络安全风险意识也并没有那么的强。而且因为对外业务的需要,会经常打开邮件中如简历一类的邮件附件,以保证攻击者渗透的成功率。

http://p7.qhimg.com/t0157591e73b0ae93e7.png

所以对于这种情况,我们所需要做的就是在相应业务部门上生成欺骗信息并指向蜜罐或伪装代理。

首先,我们需要在攻击者入侵后所达到的第一层设置及部署虚假情报。因为很多黑客在初步渗透进企业后便会开始收集更多的URL、密码等企业内部情报信息,而我们通过一些虚假的信息可以诱导攻击者产生错误的判断或通过虚假情报将重要信息指向蜜罐或伪装代理,让攻击者误入歧途。

http://p4.qhimg.com/t0119f233d3149ad487.png

其次,我们还需要通过分布式伪装代理等方式将蜜罐的覆盖范围加大,让攻击者根本无法分清到底哪个才是“真正的目标”。在诱导攻击者进入伪装后的“小黑屋”后,我们便可以监控其行为并阻断其对外信息的传输。 

当然,云舒在演讲中也提到其实仅用这种诱导式的欺骗性防御方式并不足以保障企业整体的安全,还需要通过一些其他安全产品及威胁情报来进行配合,以奇取胜,才能达到最佳效果。

最后,我们来看看本次安全说的火爆程度↓↓

http://p4.qhimg.com/t010f5e3e5357a84574.png

往期链接

1、查理•米勒-从攻击者的角度看汽车安全

https://www.ichunqiu.com/course/58447

2、蔺毅翀-安全攻防技术和产品的新趋势

https://www.ichunqiu.com/course/58453

3、Patrick Wardle-聊聊2016年的macOS恶意软件

https://www.ichunqiu.com/open/58721

安全招聘发布请联系安全客 duping@360.cn

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多