欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

云舒:欺骗防御未来已来

来源:本站整理 作者:佚名 时间:2019-04-17 TAG: 我要投稿

近日拜读了了思睿嘉得CEO DJ的《真真假假的创新——RSAC2019之三》,写得非常好,也很佩服。我自从和小伙伴们开创默安科技以来,和业界的交流就少了很多,精力花在客户和产品上面了。但是读完DJ的文章之后,兴起了写点文字的想法。

DJ对威胁情报和欺骗防御两个方向提出了自己的观点:
威胁情报厂商无法独立存在达到规模盈利。未来发展有两条路可以走:一是全力投入做重产品,例如xDR;另一条是迈半步快速横移至其它领域,例如SIEM。
这一点我深表赞同。我认为当前威胁情报的使用者不应该是企业或者单位,而应该是安全公司。威胁情报需要借助安全公司的各种产品落地、海量查询次数,情报本身作为各种AI引擎后的补充说明。后续,可以做出更具业务属性和上层属性的威胁情报,一年查询1-2次,变成了类似安服的高级情报服务。总的来说,威胁情报要么卖得很便宜,可以海量查询;要么卖得超贵,二三十万查询一次。除此之外,只怕没有更好的选择。
关于欺骗防御,他认为“有些风头一时无两,还没经过什么雨打风吹,过两年自己就不见了;有些默默无闻少人关注,待到惊蛰一声,已然悄悄改变了整个行业格局。读者不妨想想,分析师前两年热炒的创新欺骗Deception产品,卖货可以,对安全行业的影响是不是可以忽略不计”,对于这句话,我只同意一半。目前欺骗防御的影响力确实不大,但是未来两年内一定会大起来。
为什么需要欺骗防御
我们先看一个故事:
2017年安全咨询服务世界第一的德勤被黑客入侵,大量机密数据被偷。随后,安全研究人员发现德勤大量的代理服务器密码、VPN密码以及其它相关安全数据泄露到GitHub、Google+等SaaS服务平台。攻击者可能利用了这些数据,侵入德勤网络内部。在这次事故中,攻击者直接使用员工的VPN密码远程接入网络,然后在这个加密隧道下进行缓慢横向渗透,传统的APT检测防御设备有发现攻击的可能么?基本不可能。
传统的APT检测防御,我把它抽象成三个关键词:边界、点状、技术对抗。
传统的APT检测产品,更多的是依托于边界检测、边界防御,对进出的数据、文件进行还原,希望御敌于国门之外。但是在云计算时代,资产已经不仅仅是在物理范围之内,社交网络中员工暴露的邮件地址、SaaS平台上面分享的代码、云笔记里面记录的密码,都属于被保护的对象。以前的那种假设,“内部是安全的”,现阶段下是行不通的。10万PC,万分之一的几率被入侵,也可能有10台PC已经被黑客入侵了。组织内部还可能存在商业间谍,或者里应外合的攻击者。我们需要新的假设和新的理念——假设内部已经被入侵了,有潜伏者,我们的安全检测应该怎么做?Carbon Black最新的报告指出:“不只是入侵,攻击者倾向于更长久地潜藏在网络中,已成为攻击者大政方针的一部分。”我们不能坚持“守住边界不失、防线不被突破”这种旧的理念,而欺骗防御一开始就是建立在内部有潜伏者的理念上并以此为基础而设计的。
点状,是由APT产品的实施模式决定的。预算少时,部署一套在边界上;预算充足一些的,其它重要网段再分别部署一套。但是不管如何部署,有多么充足的预算,永远只是几个独立的“点”,对于内部的行为就很难掌控了,除非有谁能丧心病狂地把APT设备部署到每一台接入层交换机上。欺骗防御以传统蜜罐为原材料,通过各种新技术将蜜罐业务映射到每一个业务网络,甚至每一台主机上,在内部组成一个和真实业务混杂在一起不分彼此的巨大侦测网络,可以低成本地覆盖到每一个角落。
技术对抗,这是大多数技术人喜欢的点,也是我喜欢的东西。传统的加壳脱壳对抗、各种规则,发展到现在基于深度机器学习和AI技术,也发生了巨大的进步,做出了非常好的东西。但是我们是不是可以试一试另外的思路,想想不同层面的东西。我们要保护的系统有弱点,攻击者也是人,攻击是不是也有弱点?欺骗防御尝试把关注点从攻击上挪开,进而去关注攻击者本身。
攻击者通过扫描、通过GitHub发现了30个资产,并且其中有5个脆弱点,这些资产是真实的吗?这些脆弱点是真实的吗?人是有惰性的,不管攻击者通过什么逆天0day渗透进内网,人生地不熟,发现一个PC上记录着某个运维监控系统要不要去看看?发现PC内存有重要密码HASH要不要拿去登录?发现一个存在sql注入的OA系统要不要去看看?发现jenkins的RCE漏洞打不打?有容易入侵的方式不用,专门拿逆天0day去打一切系统?
欺骗防御避开了技术对抗这个关键点,回到人的角度看攻击行为。
欺骗防御的市场定位与趋势
从上文的描述其实可以看出来,我的判断是欺骗防御属于APT检测、红蓝对抗的一部分。凡是部署APT检测产品的地方,就需要部署欺骗防御系统。需要做红蓝对抗演练的地方,就需要部署欺骗防御系统。这里面也暗含了我的另外一个想法——欺骗防御不取代传统的APT检测产品,也不可能取代。
理想情况下,应该是边界上部署基于AI的APT检测设备,作为堂堂正正的御敌之师;业务内部,部署欺骗防御系统,作为合纵连横的腹黑心机。过去存在的APT市场有多大,欺骗防御存量市场就有多大。未来,还没有部署APT检测产品的地方,将会同时部署APT产品和欺骗防御产品,这是欺骗防御即将产生的新市场。除了企业内部传统的IT架构、云、IOT网络、工控网络,欺骗防御产品都将发挥巨大的作用。
我们2016年4月成立之后,同年9月发布了国内第一款欺骗防御产品。这几年我和不同的客户沟通后,已经感觉到了市场的趋势即将到来。所以,我敢断言,2022年之前,欺骗防御市场会极其兴旺。至于具体多大,需要专门的研究机构去研究,这不是我的专长。我通过多年的行业浸润,以自己的第六感敏锐地感觉到就已经够了。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载