昨天提到蜜罐honeypot乃至蜜網honeynet的一些問題,以及商用的Deception技術,雖然Deception還是相對較新的技術,並沒有Gartner魔力向限可供參考,但是Gartner有一篇文章”Improve Your Threat Detection Function With Deception Technologies”提供很多資料和方向,SC Magazine也測試幾家知名廠商產品寫開箱文心得,各家廠商的Deception平台/產品各具特色,互別苗頭,但是Deception產品大多有以下特點:
可擴展性
部署容易,能夠從Deception平台迅速部署大量各式蜜罐或散布各種honeytoken在網路環境中,無需另外創建VLAN,可以直接在伺服器與一般網段佈署;無需認識蜜罐種類和套件,依功能性和目的配置事先加強防護的蜜罐。
彈性
能夠從Deception平台部署不同種類高低交互式蜜罐,偽裝成各種真實的設備如Switch、伺服器、資料庫、印表機等等,在不同佈署的區域和網路環境,模擬最真實的陷阱。例如上傳一般佈署新電腦時所需要的Golden Image,讓蜜罐和一般使用者的電腦非常相似。
完整防護
Deception平台提供完整防護包含資料、端點及網路,能在Data層面 佈署Honeytoken,靜待駭客觸發警示;在Endpoint層面佈署 Lure,例如假的terminal記錄或Registry,一步步引誘駭客到蜜罐;在Network 層面佈署Decoys,當惡意網路流量觸及decoy便會回報Deception平台。
整合性
Deception平台除了接收來自各個蜜罐及honeytoken等等資訊,還提供SIEM功能,將資料集中管理,方便檢索、分析、比對,具備強大偵測能力及數位鑑識功能,可以將駭客手法完整記錄,重建入侵軌跡。同時要和現有資安設備整合,例如整合資安情資Threat Intelligence,整合IPS、NAC或次世代防火牆,在偵測辨識攻擊後,提供阻擋能力,進一步防範日後再次攻擊。
從單一的蜜罐Honeypot,複數組合的蜜網honeynet,到次世代、完整動態的Deception防禦,攻擊與防禦兩者間的爭鬥運用種種技術、手法,且看Deception技術是否能繼續進化、成熟,成為新一代的防禦利器。
「弟兄們...歡迎踏進八奇的思考領域」--《火鳳燎原》
SC Media/SC Magazine
https://www.scmagazine.com/home/
兄弟,又過了一年了,兩年多前第一次見面,希望有機會再見! 恭喜你!
這次不會回台灣參加頒獎典體。有機會下次再見囉