沙箱、蜜罐和欺骗防御的区别网络、网络攻击,以及用于阻止网络攻击的策略,一直在进化发展欺骗 防御(Decep tion)是令研究人员和信息安全人员得以观察攻击者行为的新兴网络 防御战术,能让攻击者在“自以为是”的公司网络中表现出各种恶意行为欺骗防御”这个术语从去年开始才逐渐流传开来,所以很难讲清这些解 决方案与其他试图诱骗攻击者的工具一一比如沙箱和蜜罐,到底有什么区别 与其他战术一样,网络欺骗技术诱骗攻击者和恶意应用暴露自身,以便研究人 员能够设计出有效防护措施但网络欺骗防御更依赖于自动化和规模化,无需 太多专业知识和技能来设置并管理这三种技术都有各自独特的需求和理想用 例,要想切实理解,需更仔细地深入了解其中每一种技术1、 沙箱Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中 运行浏览器或其他程序,因此运行所产生的变化可以随后删除它创造了一个 类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影 响在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程 序等行为的工具沙箱是一种按照安全策略限制程序行为的执行环境早期主 要用于测试可疑软件等,比如黑客们为了试用某种病毒或者不安全产品,往往 可以将它们在沙箱环境中运行。
经典的沙箱系统的实现途径一般是通过拦截系 统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机 资源的使用,比如改写注册表,读写磁盘等几乎自网络和第三方程序出现起,对网络流量和程序的分析需求就一直存 在上世纪70年代,为测试人工智能应用程序而引入的沙箱技术,能令恶意软 件在一个封闭的环境中安装并执行,令研究人员得以观测恶意软件的行为,识 别潜在风险,开发应对措施当前的有效沙箱基本都是在专用虚拟机上执行这么做可以在与网络隔离 的主机上用多种操作系统安全地测试恶意软件安全研究人员会在分析恶意软 件时采用沙箱技术,很多高级反恶意软件产品也用沙箱来根据可疑文件的行为 确定其是否真的是恶意软件因为现代恶意软件大多经过模糊处理以规避基于 特征码的杀软,此类基于行为分析的反恶意软件解决方案就变得越来越重要 了大多数公司企业无法像专业研究人员或供应商一样以一定的专业技术水平 执行恶意软件分析小公司通常会选择部署沙箱即服务,从已经实现了自动化 整个沙箱检测过程的供应商那里收获沙箱技术的各种益处2、蜜罐蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技 术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实 施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方 法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁, 并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统蜜罐好像是故意让人攻击的目标,引诱黑客前 来攻击所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服 务器发动的最新的攻击和漏洞还可以通过窃听黑客之间的联系,收集黑客所 用的种种工具,并且掌握他们的社交网络蜜罐和蜜网就是为诱捕攻击者而专门设置的脆弱系统蜜罐是诱使攻击者 盗取有价值数据或进一步探测目标网络的单个主机1999年开始出现的蜜网,则是为了探清攻击者所用攻击过程和策略蜜网 由多个蜜罐构成,常被配置成模拟一个实际的网络一一有文件服务器、Web服 务器等等,目的是让攻击者误以为自己成功渗透进了网络但实际上,他们进 入的是一个隔离环境,头上还高悬着研究人员的显微镜蜜罐可以让研究人员观测真实的攻击者是怎么动作的,而沙箱仅揭示恶意 软件的行为安全研究人员和分析师通常就是出于观测攻击者行动的目的而使 用蜜罐和蜜网关注防御的研究人员和IT及安全人员可以运用此信息,通过注 意新攻击方法和实现新防御加以应对,来改善自家企业或组织机构的安全状 况蜜网还能浪费攻击者的时间,让他们因毫无所获而放弃攻击经常受到黑客攻击的政府机构和金融公司可以从蜜网中收获良多,但蜜网 技术同样适用于中大型公司企业。
根据业务模型和安全状况,一些中小型企业 也可以从中获益,但今天的大多数中小企业尚不具备能够设置或维护蜜罐蜜网 的安全专家3、网络欺骗(Cyber Decep tion)网络欺骗的核心概念最早是普渡大学的Gene Spafford于1989年提出的有些人认为这一概念或多或少指的就是现代动态蜜罐和蜜网,基本上,他们的理解是正确的SfewE rrtc rprise networkCW9E nte r prise 坤亡 kWith D啦即lionn qo go q DUD欺骗防御则是一个新的术语,其定义尚未定型,但基本指的是一系列更高 级的蜜罐和蜜网产品,能够基于所捕获的数据为检测和防御实现提供更高的自 动化程度需要指出的是,欺骗技术分不同层次有些类似高级版的蜜罐,有些具备 真实网络的所有特征,包括真正的数据和设备这种欺骗技术可以模仿并分析 不同类型的流量,提供对账户和文件的虚假访问,更为神似模仿内部网络有 些安全欺骗产品还可以自动部署,让攻击者被耍得团团转,陷入无穷无尽地追 逐更多信息的循环中,令用户能更具体更真实地响应攻击者欺骗防御产品按 既定意图运作时,黑客会真的相信自己已经渗透到受限网络中,正在收集关键 数据。
没错,他们确实在访问数据,但这些数据只是用户想要他们看到的那部 分欺骗防御尚处于发展初期,与大多数新生安全技术一样,其初始用例是大 企业才用的小众工具,随后才会逐渐在市场上铺开目前,这些工具对政府设 施、金融机构和研究公司之类引人注目的目标尤其有用公司企业仍需安全分 析师来解析安全欺骗工具收集的数据,所以没有专业安全员工的小公司通常无 法享受到欺骗防御工具的好处尽管如此,中小企业可以签约提供分析与防护 即服务的安全供应商,以委托的方式从这种新兴技术中获益4、综述以上三种安全技术在预防与分析领域各司其职从较高层次上看,沙箱允 许恶意软件安装并运行以供观察其恶意行为;蜜罐和蜜网关注分析黑客会在自 以为已被渗透的网络上干些什么;欺骗防御则是更新的高级入侵检测及预防设 想欺骗技术提供更为真实的蜜网,易于部署且能给用户提供更多信息,但需 要更多的预算和更高的专业技能要求,通常只能在大企业中应用,至少现在其 用例还仅限制在大企业里。