当你发现自己正在遭遇黑客攻击,你是否想到佯装被骗,将计就计来迷惑甚至反击黑客?
举個例子吧!
赤壁之战前夕,周瑜佯装醉酒,故意让曹操派来间谍蒋干盗走一封降书,让曹操错杀曹瑁、张允两位将领,不费一兵一卒就除掉自己眼中钉,
这個“蒋干盗书”历史典故倘若发生在当今网络攻防环境下,情节大概是这样:
▲曹氏集团派出黑客蒋干成功渗透到博弈对手东吴集团内部,成功拿到东吴集团高管邮箱权限,
根据邮件透露,曹氏集团重心技术骨干蔡瑁、张允曾多次、东吴集团通信,出卖重心技术资料,
情报传回曹氏集团后,蔡、张二人很快被当做“内鬼”搞定,被冤枉二人心生怨恨,于是跳槽到东吴集团,而事实情况却是,那封邮件是东吴集团网络高手周瑜伪造,故意放出现给攻击者 “蜜饵”,
周瑜发现黑客入侵后,没有选择一味防御,而是主动出击设置陷阱将计就计,最后用很小代价就挖到对手两位重心技术骨干,
欺骗防御有哪些优点
而事实上,在如今商业甚至国家网络保障层面网络攻防中,诸这般类“防御者诡计”,早已经被用得淋漓尽致,
在小编看来,与其把欺骗防御作为一门技术,更不及称之为一种应对策略,欺骗防御相较于传统被动式防御,是一种更为积极主动防御方法,它优点最先选体现在三個方面:
1. 可以发现网络攻击:对于一個网络攻击,火速发现它是非常要紧,而网络欺骗可以协助防御者发现正在实行攻击,甚至是潜在攻击,
2.可以“黏住”网络攻击:经由迷惑攻击者,达到消耗对方时间精力,于是为后续防御就业留下时间,或者迫使对方放弃这次攻击,
3. 可以溯源、反制:经由欺骗来让对方暴露自己攻击意图、攻击手段,最后可以溯源取证、采纳反制措施,
三大根本技术区别
“欺骗防御”这個术语从去年开始才逐渐流传开来,所以很难讲清这些搞定方案与其他试图诱骗攻击者工具——比方说沙箱、蜜罐,到底有什么区别,
a、沙箱
接近自网络、第三方程序发生起,对网络流量、程序分析需求就一直存在,上世纪70年代,为测试人工智能应用程序而引入沙箱技术,能令恶意软件在一個封闭环境中安装并执行,令研究人员得以观测恶意软件行为,识别潜在风险,开发应对措施,
▲当前有效沙箱基本都是在专供虚拟机上执行,这么做可以在与网络隔离主机上用多种操作系统保障地测试恶意软件,保障研究人员会在分析恶意软件时采用沙箱技术,很多高级反恶意软件产品也用沙箱来根据可疑文件行为确定其是否真是恶意软件,因现代恶意软件大多经过模糊搞定以规避根据特征码杀软,此类根据行为分析反恶意软件搞定方案就变得越来越要紧,
大多数公司企业无法像专业研究人员或供应商一样以一定专业技术水平执行恶意软件分析,小公司往往会选择部署沙箱就服务,从已经实行自动化整個沙箱检测过程供应商那里收获沙箱技术各类益处,
b、蜜罐
蜜罐、蜜网就是为诱捕攻击者而特意设置脆弱系统,蜜罐是诱使攻击者盗取有价值数据或进一步探测意向网络单個主机,
▲1999年开始发生蜜网,则是为探清攻击者所用攻击过程、策略,蜜网由多個蜜罐构成,常被配置成模拟一個实际网络——有文件服务器、Web服务器等;目是让攻击者误以为自己成功渗透进网络,但实际上,他们进入是一個隔离环境,头上还高悬着研究人员显微镜,
蜜罐可以让研究人员观测真实攻击者是怎么动作,而沙箱仅揭示恶意软件行为,保障研究人员、分析师往往就是因观测攻击者行动目而运用蜜罐、蜜网,Follow防御研究人员、IT及保障人员可以运用此信息,经由注意新攻击方法、实行新防御加以应对,来改善自家企业或组织机构保障状况,蜜网还能浪费攻击者时间,让他们因毫无所获而放弃攻击,
经常受到黑客攻击政府机构、金融公司可以从蜜网中收获良多,但蜜网技术同样适用于中大型公司企业,根据业务模型、保障状况,一些中小型企业也可以从中获益,但今天大多数中小企业尚不具备能够设置或维护蜜罐蜜网保障专家,
c、网络欺骗
网络欺骗重心概念最新是普渡大学 Gene Spafford 于1989年提出,有些人感觉这一概念或多或少指就是现代动态蜜罐、蜜网,基本上,他们理解是正确,
▲以上三种保障技术在预防与分析领域各司其职,从较高层次上看,沙箱允许恶意软件安装并运行以供观察其恶意行为;蜜罐、蜜网Follow分析黑客会在自以为已被渗透网络上干些什么;欺骗防御则是更新高级入侵检测及预防设想,欺骗技术供应更为真实蜜网,易于部署且能给运用者供应更多信息,但须要更多预算、更高专业技能要求,往往只能在大企业中应用,至少现在其用例还仅限制在大企业里,
超级科技网络保障团队感觉,世间万事万物,道理总是相通,有人说商场如战场,有人说官场如战场,而网络世界也是一片充盈谋略、尔虞我诈战场,而网络欺骗技术、古代战争中计谋也并非区别,策略还是那些策略,兵法还是兵法,只是实施地点从一個战场转移到另一個战场而已,
欺骗防御作为一個新术语,将逐渐在网络攻防中扮演越来越要紧位置,且能够根据所捕获数据为检测、防御实行供应更高自动化层次。