中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

2022-10-12    分類(lèi): 網(wǎng)站建設(shè)

蜜罐是一種軟件應(yīng)用系統(tǒng),用來(lái)稱當(dāng)入侵誘餌,引誘黑客前來(lái)攻擊。攻擊者入侵后,通過(guò)監(jiān)測(cè)與分析,就可以知道他是如何入侵的,隨時(shí)了解針對(duì)組織服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

在開(kāi)始閱讀這篇文章之前,請(qǐng)先仔細(xì)看看以下幾個(gè)問(wèn)題,如果它們剛好是你關(guān)心的,請(qǐng)繼續(xù)下面的文章內(nèi)容。

你是否除了需要知道是否有入侵,還需要知道對(duì)方的目標(biāo)是什么?軌跡是什么?行為是什么?工具是什么? 比較而言,攻防演練快速反應(yīng)場(chǎng)景下,你是更希望得到“大而全的數(shù)據(jù)”,還是“對(duì)的數(shù)據(jù)”? 傳統(tǒng)攻防中,防守者要100%聚精會(huì)神,而攻擊者只需要幸運(yùn)一次……你希望延續(xù)這個(gè)局面,還是反轉(zhuǎn)這個(gè)局面? 你是否直覺(jué)上認(rèn)可蜜罐的價(jià)值,然而卻依然覺(jué)得其歷史和復(fù)雜性有那么一丟丟讓你猶豫,而保持觀望態(tài)度? 正文

 

網(wǎng)絡(luò)攻防演練活動(dòng)以模擬真實(shí)攻擊為重要標(biāo)準(zhǔn),對(duì)參與演練單位的各類(lèi)系統(tǒng)進(jìn)行滲透,通過(guò)設(shè)定演練規(guī)則,根據(jù)統(tǒng)計(jì)攻擊和防守方得失分情況,判定防守方防護(hù)能力水平。在這個(gè)過(guò)程中,防守方對(duì)攻擊方是誰(shuí)、從哪里發(fā)動(dòng)攻擊、用何種手段均一無(wú)所知,處于“攻防不對(duì)稱”下的天然劣勢(shì)。

本次我們將以某個(gè)行業(yè)開(kāi)展的攻防演練活動(dòng)為示例,從防守方的視角,看其怎樣利用欺騙偽裝技術(shù),實(shí)現(xiàn)主動(dòng)對(duì)抗,及時(shí)誘捕、發(fā)現(xiàn)、處置、溯源,甚至反制攻擊者。

在該次攻防演練活動(dòng)中,十?dāng)?shù)支攻擊隊(duì)伍組成藍(lán)軍,對(duì)全國(guó)分支機(jī)構(gòu)和直屬單位的互聯(lián)網(wǎng)信息系統(tǒng)進(jìn)行模擬攻擊。本次由藍(lán)軍對(duì)參與演練單位的各類(lèi)系統(tǒng)發(fā)起挑戰(zhàn),不限制攻擊路徑。

戰(zhàn)術(shù)1——知己知彼

 

分析攻擊者的攻擊路徑,制定戰(zhàn)術(shù)布防策略。

通常情況下,攻擊者會(huì)在攻擊前期對(duì)目標(biāo)信息系統(tǒng)進(jìn)行全面的信息收集,以期望找到處于嚴(yán)控防護(hù)手段之外的站點(diǎn)或路徑,利用漏洞獲取Web服務(wù)器權(quán)限,或者采用0day攻擊、社會(huì)工程學(xué)、物理入侵等手段突破或繞過(guò)邊界防護(hù),進(jìn)入內(nèi)網(wǎng)。

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

攻擊者常利用的突破口多為對(duì)外開(kāi)放的站點(diǎn)、服務(wù)上存在的漏洞、未經(jīng)嚴(yán)格控制而開(kāi)放的測(cè)試站點(diǎn)等。防守方應(yīng)當(dāng)提前分析自身網(wǎng)絡(luò)特性,找到攻擊者最可能“光顧”的區(qū)域,加強(qiáng)防護(hù)的同時(shí),在相應(yīng)區(qū)域內(nèi)的關(guān)鍵信息節(jié)點(diǎn)部署蜜罐,使攻擊者在信息收集階段受到干擾,進(jìn)而誘導(dǎo)攻擊者對(duì)蜜罐發(fā)動(dòng)攻擊。

根據(jù)分析,該行業(yè)的互聯(lián)網(wǎng)應(yīng)用均部署在互聯(lián)網(wǎng)大區(qū)中,攻擊者從互聯(lián)網(wǎng)應(yīng)用突破的路徑在該區(qū)域。因此,偽裝欺騙系統(tǒng)最終決定部署在該區(qū)域中。

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

戰(zhàn)術(shù)2——監(jiān)察敵情

 

網(wǎng)絡(luò)異常行為監(jiān)測(cè),分析攻擊者攻擊意圖。

攻擊者在進(jìn)行信息收集時(shí),會(huì)借用各類(lèi)掃描工具向目標(biāo)資產(chǎn)發(fā)送探測(cè)請(qǐng)求,進(jìn)行信息收集。這些由探測(cè)工具發(fā)送的各類(lèi)探測(cè)包,屬于異常網(wǎng)絡(luò)行為,這些探測(cè)行為背后,醞釀著各類(lèi)可能發(fā)生的攻擊動(dòng)作。因此,防守方應(yīng)監(jiān)測(cè)網(wǎng)絡(luò)中的異常網(wǎng)絡(luò)行為,包括任意端口探測(cè)、Ping探測(cè)、ARP探測(cè)等。

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

蜜罐進(jìn)程級(jí)的監(jiān)控能力,能夠監(jiān)控和記錄攻擊者進(jìn)入蜜罐后的所有動(dòng)作進(jìn)行。Web類(lèi)的蜜罐還可識(shí)別和記錄攻擊者使用的攻擊方法和攻擊載荷,可作為判斷攻擊者意圖的重要依據(jù)。

防守方將由蜜罐收集的信息匯總至欺騙偽裝平臺(tái),由平臺(tái)進(jìn)行統(tǒng)一分析,根據(jù)攻擊者的攻擊意圖戰(zhàn)略調(diào)整監(jiān)控防御節(jié)點(diǎn),做到因“敵“制宜。

戰(zhàn)術(shù)3——誘敵深入

 

蜜罐高度模擬真實(shí)資產(chǎn),誘導(dǎo)攻擊者進(jìn)入欺騙偽裝系統(tǒng)。

對(duì)于防守方,如何在敵暗我明的情況下盡量爭(zhēng)取主動(dòng)權(quán),搶占先機(jī)呢?答案是采用主動(dòng)誘捕戰(zhàn)術(shù)。

主動(dòng)誘捕主要作用于演練活動(dòng)啟動(dòng)前2-3天內(nèi),此時(shí)攻擊方正廣泛收集目標(biāo)資產(chǎn)信息,防守方的目標(biāo)是污染攻擊方掌握的資產(chǎn)情報(bào),并誘導(dǎo)攻擊者優(yōu)先訪問(wèn)偽裝探針節(jié)點(diǎn)。

探針節(jié)點(diǎn)的作用包括兩部分,首先是監(jiān)測(cè)探針?biāo)渴鹁W(wǎng)絡(luò)中的掃描探測(cè)行為,其次是通過(guò)綁定蜜罐將蜜罐服務(wù)映射至所部署網(wǎng)絡(luò)中。因此,探針節(jié)點(diǎn)應(yīng)盡可能覆蓋核心區(qū)域的C類(lèi)網(wǎng)段或VLANs,可部署在虛擬機(jī)或?qū)S糜布O(shè)備中。

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

主要戰(zhàn)術(shù)動(dòng)作有:

(1) 制作具有真實(shí)性和迷惑性的Web蜜罐。

(2) 將仿真Web蜜罐、通用Web蜜罐綁定至若干探針節(jié)點(diǎn),通過(guò)地址轉(zhuǎn)換、域名綁定等措施將探針節(jié)點(diǎn)發(fā)布至互聯(lián)網(wǎng)。

通過(guò)地址轉(zhuǎn)換(NAT)設(shè)備,將探針節(jié)點(diǎn)服務(wù)映射到公網(wǎng)。 通過(guò)四層和七層協(xié)議的負(fù)載均衡設(shè)備,通過(guò)端口映射或反向代理將探針節(jié)點(diǎn)服務(wù)發(fā)布到公網(wǎng)。

(3) 在代碼平臺(tái)、文庫(kù)、安全論壇、社交網(wǎng)絡(luò)分撒探針節(jié)點(diǎn)的互聯(lián)網(wǎng)地址作為誘餌。

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

主動(dòng)誘捕戰(zhàn)術(shù)執(zhí)行時(shí)應(yīng)注意以下幾點(diǎn):

防守方應(yīng)早于演練啟動(dòng)前,發(fā)布互聯(lián)網(wǎng)探針節(jié)點(diǎn),并進(jìn)行充分測(cè)試。 仿真蜜罐應(yīng)保證真實(shí)性和誘惑性。 為提升真實(shí)性,應(yīng)避免使用系統(tǒng)服務(wù)和缺陷偽裝服務(wù)蜜罐。 蜜罐被觸發(fā)后,應(yīng)及時(shí)處理告警信息,并根據(jù)攻擊方動(dòng)態(tài)調(diào)整蜜罐配置,必要時(shí)下線蜜罐,避免攻擊者發(fā)現(xiàn)蜜罐后,為掩蓋自己身份,將蜜罐地址隨意分發(fā),誘導(dǎo)無(wú)關(guān)人員訪問(wèn),污染蜜罐告警數(shù)據(jù)。 戰(zhàn)術(shù)4——強(qiáng)強(qiáng)聯(lián)合

 

將WAF識(shí)別的可疑信息聯(lián)動(dòng)至蜜罐,由欺騙偽裝平臺(tái)實(shí)現(xiàn)分析研判。

攻防演練中WAF作為Web應(yīng)用的重要防線,能夠識(shí)別出大部分攻擊行為,為獲取更多攻擊者信息,本次演練中,防守方設(shè)定WAF與欺騙偽裝平臺(tái)進(jìn)行聯(lián)動(dòng),將可疑訪問(wèn)轉(zhuǎn)發(fā)至蜜罐中,采集攻擊者信息。

戰(zhàn)術(shù)動(dòng)作如下:

WAF應(yīng)具備自定義攔截頁(yè)面和重定向能力。 WAF檢測(cè)策略應(yīng)進(jìn)行優(yōu)化,盡可能消除誤報(bào),避免將正常請(qǐng)求重定向至蜜罐。 攻擊者觸發(fā)WAF攔截策略后,將被重定向至攔截頁(yè)面,攔截頁(yè)面具備溯源能力,攻擊者信息會(huì)傳遞至欺騙偽裝平臺(tái)后臺(tái)。

WAF聯(lián)動(dòng)戰(zhàn)術(shù)執(zhí)行時(shí)應(yīng)注意以下幾點(diǎn):

WAF檢測(cè)策略應(yīng)能保證較低的誤報(bào)率。 避免在訪問(wèn)量較大的系統(tǒng)使用該戰(zhàn)術(shù)。 戰(zhàn)術(shù)5——定位溯源

 

欺騙偽裝平臺(tái)收集匯總信息,分析繪制攻擊者畫(huà)像。

攻防演練活動(dòng)中,防守方對(duì)攻擊方行為、遺留文件、身份信息等進(jìn)行分析和判斷,并向指揮部報(bào)告,可獲得加分。因此,防守方在發(fā)現(xiàn)和研判攻擊事件時(shí),應(yīng)能采集和記錄攻擊行為和身份信息。

在經(jīng)過(guò)主動(dòng)誘捕和WAF聯(lián)動(dòng)戰(zhàn)術(shù)的后,已基本完成攻擊者的信息采集,收集到的信息可支撐對(duì)攻擊者的追蹤和溯源,從而對(duì)攻擊態(tài)勢(shì)進(jìn)行研判。該戰(zhàn)術(shù)依賴情報(bào)的完善程度,根據(jù)獲取到的攻擊者信息不同,追蹤溯源動(dòng)作包括IP信息溯源和社交信息溯源。

(1) IP信息溯源

欺騙偽裝平臺(tái)獲得攻擊者IP后,可從以下幾個(gè)方面對(duì)攻擊者進(jìn)行畫(huà)像:

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

根據(jù)上述查詢方法,可以對(duì)某個(gè)IP進(jìn)行多維度的信息查詢,通過(guò)關(guān)聯(lián)人員、地址、注冊(cè)單位、郵件、域名關(guān)鍵字等信息,可對(duì)攻擊IP進(jìn)行畫(huà)像,進(jìn)而參考社交信息溯源進(jìn)一步管理分析,可將攻擊者定位至自然人、單位組織。

(2) 社交信息溯源

欺騙偽裝平臺(tái)能夠抓取攻擊者社交賬戶信息,下面介紹一種基于已知社交身份信息進(jìn)行信息關(guān)聯(lián)查詢和整合分析的方法,僅限于攻防演練中防守戰(zhàn)術(shù)使用,不得違反相關(guān)法律規(guī)定,危害公民隱私信息。

常見(jiàn)社交賬戶信息包括以下內(nèi)容:

蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?

關(guān)聯(lián)查詢方法包括:

訪問(wèn)其社交網(wǎng)站,檢測(cè)有無(wú)個(gè)人信息泄露。 利用支付平臺(tái),查詢其真實(shí)姓名。 利用通信平臺(tái),添加好友,套取信息。 利用其注冊(cè)昵稱,查詢?cè)谄渌军c(diǎn)同名注冊(cè)者。 將各平臺(tái)獲取的信息整合,完整拼湊出自然人畫(huà)像。 戰(zhàn)術(shù)6——乘勝追擊

 

通過(guò)對(duì)攻擊者行為日志的紀(jì)錄,定位敵人實(shí)現(xiàn)技術(shù)反制。

此戰(zhàn)術(shù)僅限在攻防演練活動(dòng)中使用,不得違反相關(guān)法律規(guī)定對(duì)未授權(quán)目標(biāo)進(jìn)行探測(cè)和掃描。

技術(shù)反制措施包括反向掃描攻擊IP、利用蜜罐服務(wù)定向魚(yú)叉攻擊入侵攻擊者,最終實(shí)現(xiàn)對(duì)其技術(shù)反制的目標(biāo)。參考戰(zhàn)術(shù)動(dòng)作如下:

(1) 反向掃描:

防守方發(fā)現(xiàn)攻擊IP后,通過(guò)IP查詢確定其是否為惡意IP,使用掃描器對(duì)目標(biāo)進(jìn)行探測(cè),判斷攻擊IP下的資產(chǎn)類(lèi)型,若發(fā)現(xiàn)目標(biāo)存在漏洞且具備肉雞特征,可上報(bào)裁判組并報(bào)警處置。

(2) 反向魚(yú)叉:

防守方在主動(dòng)誘捕階段,通過(guò)在虛擬專(zhuān)用網(wǎng)蜜罐、郵箱蜜罐中放置包含木馬程序的文件或可執(zhí)行程序,通過(guò)提示下載、包含敏感信息等模式誘導(dǎo)攻擊者下載,若攻擊者在本地環(huán)境運(yùn)行該文件后,防守方可對(duì)攻擊方本地信息進(jìn)行收集,上報(bào)裁判組并模擬報(bào)警處置。

總結(jié)

 

盡管欺騙偽裝類(lèi)產(chǎn)品,目前依然存在不能覆蓋全網(wǎng)架構(gòu)和部分內(nèi)部員工熟悉內(nèi)部環(huán)境等局限性,但在日常安全運(yùn)維中,如果你面臨安全人手不足的情況,它是一個(gè)和其他安全產(chǎn)品形成互補(bǔ)的很好的選項(xiàng);尤其中小企業(yè)中,蜜罐產(chǎn)品應(yīng)成為主要的一個(gè)安全防護(hù)工具,它可以幫助你記錄很多有價(jià)值的數(shù)據(jù)和高質(zhì)量的預(yù)警。

原文地址:https://www.freebuf.com/articles/network/267528.html

新聞標(biāo)題:蜜罐如何在攻防演練中戰(zhàn)術(shù)部防?
本文URL:http://www.rwnh.cn/news/204737.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站制作、企業(yè)建站、網(wǎng)站改版、品牌網(wǎng)站設(shè)計(jì)、搜索引擎優(yōu)化

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站網(wǎng)頁(yè)設(shè)計(jì)
平武县| 时尚| 陆良县| 灌阳县| 扶沟县| 江西省| 富川| 金坛市| 衡阳市| 嘉祥县| 双牌县| 托克托县| SHOW| 陵川县| 上林县| 丰原市| 梁河县| 南阳市| 类乌齐县| 从江县| 宕昌县| 东丰县| 昌黎县| 绥滨县| 南宁市| 慈溪市| 安丘市| 平利县| 吉安县| 清镇市| 聊城市| 隆林| 贵阳市| 安平县| 建瓯市| 牡丹江市| 丹阳市| 亳州市| 凤城市| 托里县| 山西省|