使用欺骗技术使攻击者大吃一惊

普华永道的“ 2015年全球信息安全状况调查”显示,截至2014年,收入在1亿美元至10亿美元之间的中型公司在信息安全方面的平均支出为300万美元。

“我向你保证,坏蛋不会花300万美元闯入你的组织,” Tangible 安全首席黑客艾伦·哈珀(Allen Harper)说。仍然有信息窃贼通过。

根据Bit9的2013年服务器安全调查,由于AV不能阻止高级威胁和针对性攻击,尽管全球接受调查的IT和安全专业人员中有92%在他们的服务器上使用基于签名的防病毒软件,但零日漏洞等零日漏洞却没有签名使攻击者占了上风。

为了扭转这种局面,安全专家正在敦促企业转向基于行为的方法,无论安全软件是否带有“指纹”示例,这种非法行为都可以识别可能的利用。安全研究人员正在更新一种基于行为的方法,这种方法已经存在了数十年。

这种方法就是欺骗。欺骗会在攻击者表现出只是出于欺骗的目的而识别出攻击者时,例如通过尝试与没有合法目的的人使用的假Web服务器进行交互。 公民社会组织探讨了欺骗的目的和优势以及其技术和方法的示例。

目的和优势

哈珀说:“我希望坏人花更多的力气来闯入,而不是为了阻止他。” 欺骗 这种方法使攻击者的生活更加艰苦,企业也更加轻松。如果使用得当,欺骗会导致网络罪犯花费更多的时间,精力和资源来突破防御,同时使您更轻松地发现并免除它们。

“有效的欺骗工具会改变对手的行为,”哈珀说。他们使网络引擎盖上的工作堆积如山,却没有为他的麻烦提供任何报酬。他的思维过程必须调整,因为他必须处理自己没有指望的事情。您不再是低落的果实。而且,他轻松攻击其他人的另一范围的IP地址也将变得更加容易。

[也是CSO: 如今仍然有效的7种性感传统欺骗技术 ]

“欺骗使防御企业的努力保持在可管理的水平,” Harper说。网络暴徒一直努力寻找IP地址和端口,这些地址和端口似乎具有他可以从攻击中受益的服务器和服务。他致力于开发特定的工具和方法,这些方法和方法通常被证明可以有效地侵入和窃取数据。他已经调整了隐身活动的能力。

SANS研究所讲师John Strand

但是,端口是光秃秃的,服务器和服务是虚假的。他知道的每一种工具和方法都变得平坦,无所适从,一无所获。而且,由于他正在攻击没有任何商业用途的欺骗手段,因此只有人流氓黑客才能去那里,因此您可以在首次尝试时立即识别出他。

欺骗技术和方法

“中等互动”蜜罐救助

蜜罐是一种欺骗手段,传统上分为两种,如果你问哈珀,现在有三种。高交互性蜜罐是位于网络上的完全活动的系统,设置有攻击者可以戳和生产的真实服务。尽管该系统没有任何合法用途,但没有任何伪造品,因此企业将需要对它进行安全性和监视,以检测何时有人诱饵,并确保攻击者不会在诱饵之外进行攻击。哈珀解释说,将蜜罐连接到网络的其余部分。 “我们称其为高度互动,因为攻击者有很多工作要做,”哈珀说。

另一种形式是低交互蜜罐。这种完全是假的。 “如果破坏它,它只会在应用程序结束时使应用程序崩溃,” Harper说。这些之所以被称为低互动蜜罐,是因为它们不会让攻击者长期迷惑/感兴趣。

“现在介于两者之间,我称之为中等互动蜜罐。我认为 陷阱X 就是一个很好的例子。”哈珀说。 (稍后提到的Honey Badger是类似的工具。 狄奥尼娅 仍然是设置蜜罐的工具的另一个示例。)

中等交互工具是伪造的工具,但使攻击者可以使用很多工具,因此它们参与的时间更长,您可以骗他们更长的时间,并为您提供更多的时间来学习它们。他们甚至可以帮助您充分了解诸如“零日攻击”之类的攻击,以便能够为其生成签名。因此,意识到网络使用这些蜜罐的攻击者会前往其他地方,以免他们失去对防病毒签名的复杂零日漏洞利用,Harper解释说。

主动防御先驱分布

主动防御先驱分布 (ADHD)是专用于欺骗的Linux发行版。此发行版包括Honey Badger,Artillery,WebLabyrinth和Spidertrap等工具。 “主动防御先驱者分发版旨在通过内置的完整分步教程,使某人尽可能容易地利用这些工具并在自己的组织中实施这些工具,” SANS Institute的讲师John Strand说。

Honey Badger工具是一个蜜罐,旨在为攻击者提供他们想要控制的管理功能。 “它具有ActiveX控件或Java小程序形式的应用程序。当攻击者以他们想要成功入侵该网站的方式运行他们时,实际上是在20米以内的位置对黑客进行了地理定位。” Strand说。该工具使用智能手机使用的技术估算地理位置,并相对于附近的蜂窝站点和WAP进行三角定位。这有助于法律机构采取更精确的行动。

火炮工具(港口恶搞(也是ADHD的一部分,也是类似的工具)是端口欺骗工具,它会欺骗攻击者以为每个端口都是打开的,并且有值得攻击的东西在那里等待着。这会使攻击者感到困惑,这会使他们花费更长的时间。同时,企业有更多时间来检测和了解攻击者。 “火炮最终将积极回避攻击者,”斯特兰德说。但这并不会任意避开您,而是会设置您必须达到的阈值。

WebLabyrinth工具的工作原理是假定网络犯罪分子将对您的网站进行爬网,以识别要利用的网页和输入字段。 “ WebLabyrinth为坏人提供了大量伪造页面。因此,无论何时他们尝试爬网网站,他们的爬网工具都将无限地爬网。它永远不会完成。这迫使坏人手动爬网该网站,而不是尝试使用自动化工具。” Strand说。它甚至可能使攻击者的系统崩溃。到那时,他可能会简单地放弃并去其他地方。

Strand认为,类似于WebLabyrinth的Spidertrap工具可为攻击者提供一系列敏感目录,使他认为它们都存在于此服务器上,并将它们更多地诱饵,从而导致它们浪费更多时间。

版权© 2015 IDG通讯,Inc.