【51CTO.com原创稿件】近年来,网络安全越来越受到人们的重视。然而,虽然无论是企业还是个人的安全风险意识都在提高,安全厂商也在不断增多,安全产品也在不断推陈出新,但是安全事件仍旧层出不穷,典型重大的安全事件每年也总有那么几起。这到底是怎么回事呢?发生了什么?是企业的安全投入力度不够么?还是人员的安全意识仍旧不足?
攻防博弈对抗中存在严重的不对称
难道真的是攻击者的能力超越了防御者的能力了么?
非也!认真思索,我们会发现,在攻防博弈对抗中,目前攻击和防御存在着严重的不对称,防御者和攻击者博弈过程当中产生了思路上的位错。
就像是特洛伊木马和马奇诺防线,当时的特洛伊和法国统治者都花费了很大的人力和物力建造了防御力量特别强大的工事,但是都没有起到应有的作用,没有很好的保护他们需要保护的东西。这就是思路上的位错。他们认为抵御希腊人攻击首要就是建好城墙,法国人也是如此思考就建了马奇诺防线。然而,最终希腊人没有通过翻过城墙就进入了城池。最终,欺骗和绕过成为了突破防御决定胜利天平的关键因素。因此,我们需要补足攻防双方的位错。
“幻云”给黑客设陷阱,打破攻防不对称的局面
基于此,锦行科技于近日正式发布了这款了解攻击者的产品——幻云。该产品主要采用了网络攻击流重定向、多层次虚拟化仿真、攻击实时取证、以及基于攻击语境的行为分析等核心技术,希望通过欺骗诱导的方式,给攻击者营造一个幻境,在低成本下能够更加方便有效地帮助企业提升安全防护能力。
锦行科技首席运营官董梁(左)与产品总监胡鹏(右)
锦行科技首席运营官董梁介绍说:“首先,幻云是一款基于欺骗诱导和信息的防御产品。其次,幻云不是产品的替代而是补充,不管结果如何,特洛伊的城墙足足抵挡希腊人的9年的时间,到了第10年才被希腊人干死。德国人也是被逼得无法正面冲进去,只能绕到更远。所以说传统的防御产品具有一定的必要性和不可替代性,幻云是发挥最大的效能保护用户的财产。”
幻云的设计思路
幻云的产品架构
幻云的主要功能
那么幻云究竟是如何从攻击者的角度帮助企业抵御攻击的呢?幻云以研究攻击者心理为切入点,通过搭建高仿真业务系统,设置大量的诱饵来诱敌深入,有效地掩护用户的真实网络系统。一旦发现攻击,幻云将以邮件、短信等方式,将攻击状态第一时间反馈给用户,为用户争取宝贵的应急响应时间。具体要从下面五步来说。
第一步:攻防对等,入侵预警。发现敌人是大胜仗最基本的要求。幻云研发团队结合大量国内外案例,以及丰富的国外企业的深度测试,通过对攻击者习性、思维模式和特征的了解,根据企业业务特性为企业搭建了虚假的网络空间,设置好陷阱。一旦发现入侵行为,幻云会立即向系统备份人、负责人进行短信、邮件、电话不同层级的报警,以便于企业能够及时感知自己所遭受的威胁,好为下一步的应急工作制定相应的策略。
第二步:主场压制,资产止损。攻击者自进入企业内网开始,企业就具备了主场优势。基于主场优势,幻云打造了一个类似于迷宫的内网环境,将进入陷阱的攻击者困在其中,无法到达真实的网络环境,从而起到拖延甚至消除敌人可能造成损失的可能性,为企业应急提供时间,让攻击者徒劳无功。
第三步:虚实难辨,心理威慑。幻云在整个过程中会尝试反转攻击者和防御者的角色,攻击者在进入内网开始,要时刻提防来自自己的攻击。在虚假的网络空间中,攻击者没有参照物可以判别自己所处网络环境的真假,更不确定下一步会踩在哪里。随后,攻击者所利用的攻击手段技术和身份将会被曝光,从而对攻击者产生威胁震慑的作用。
第四步:斩草除根,预测意图。预测入侵者的攻击意图,是攻防对抗当中非常重要的一个环节。在赶走攻击者后,还要结合攻击者的行为序列和特征,分析其攻击意图和目标。当了解到这些情况,企业可以在关键节点和核心数据上做好加固防护,虽不能一劳永逸但起码可以未雨绸缪。
第五步:追偿打击,还原取证。一个罪犯犯罪的时候,产生最大的心理压力或者担心的是什么?是逃跑路线还有销毁证据。当攻击者离开内网前一定是伪造或者销毁线索,阻碍企业的追尝或者打击工作。此时,取证变成了非常重要的环节,也是非常难的一个环节。很多时候企业花高昂的费用请相关机构帮助,就是为了满足这一需求。幻云可以完整地记录攻击者的每一步行为,事后可以以屏幕录像,代码回放等形式,百分之百展现攻击者从进入到离开做了哪些事情。
采访中,锦行科技产品总监胡鹏向记者表示:“幻云不像其他的产品,其实是有很多的经验还有技术的成分,不像普通的产品只要放进去就能发挥作用。其最大的作用就是第一你对于攻防特别了解,第二要和客户的业务系统结合,这样才能发挥一个最大的作用。一个猎人怎么把陷阱发挥到最大,一定是有最有经验的猎人才能捕到猎物。”
总结
目前,针对幻云,锦行科技提供了互联网和专用定制两个版本。其中互联网版本针对中小型企业,提供便捷的服务,部署较简单,服务设置在云端,一些探测节点部署在内网或者业务场景中。当攻击者进入,这个感知节点将把流量引流至平台并做报警。针对大企业或者有特殊需求的企业,锦行科技会提供收费的专家定制版本,为其提供更多的功能,例如:记录攻击者的行为、样本包括密码以及攻击者行为分析,包括还原取证还有专家的服务等。
谈及未来,董梁表示:“幻云是我们下一年最重点的项目,我们会把绝大部分的精力投入到这个产品当中去。我们会不断的优化产品,把产品做到尽量完美。”
作者:杜美洁
来源:51CTO