ArkTeam ——网络欺骗：防御者的“诡计”

2017互联网安全创新大会（ FIT 2017）所有文档
腾讯科恩实验室——特斯拉网关的逆向揭秘
5490次
IBM 李承達——认知时代的安全体系
5303次
Richard Rushing——How Cybercrime Bypasses common security controls in the enterprises
9491次
点融网马寅龙——金融科技企业信息安全风控实践分享
3878次
哈尔滨理工大学烧鸡——突破物理隔离的窃密方式
9247次
火绒安全周军——终端安全与威胁情报的双重变奏
8028次
君源创投 NUKE——春天还是秋天？安全创业走向何方
9665次

ArkTeam ——网络欺骗：防御者的“诡计”

所属会议：2017互联网安全创新大会（ FIT 2017）会议地点：上海


下载


手机看

扫二维码下载
或点击下载 Android iOS

   

5212次
浏览次数

2017互联网安全创新大会（ FIT 2017）所有文档腾讯科恩实验室——特斯拉网关的逆向揭秘 IBM 李承達——认知时代的安全体系 Richard Rushing——How Cybercrime Bypasses common security controls in the enterprises 点融网马寅龙——金融科技企业信息安全风控实践分享哈尔滨理工大学烧鸡——突破物理隔离的窃密方式火绒安全周军——终端安全与威胁情报的双重变奏君源创投 NUKE——春天还是秋天？安全创业走向何方

文档介绍



FreeBuf互联网安全创新大会（FIT）由国内领先的安全新媒体平台FreeBuf主办，是互联网安全领域最具影响力的年度峰会之一，WitAward年度互联网安全颁奖盛典也将在同期举行。

演讲实录

在 FIT 2017 互联网安全创新大会上，Arkteam 安全团队的刘潮歌进行了一场名为“防御者的诡计”的主题演讲，讲述了在现如今网络攻防当中，网络防御者如何通过将计就计的手段来迷惑、拖延甚至反击对手。

在刘潮歌看来，与其把网络欺骗作为一门技术，更不如称之为一种应对策略。在APT 攻击（高级持续性威胁）日益增多的环境下，一味的防守最终会束手无策，而网络欺骗则打开了新的思路。

他认为，网络欺骗相较于传统的被动式防御，是一种更为积极主动的防御方式，它的优势主要体现在三个方面：

1. 可以发现网络攻击：对于一个网络攻击，及时的发现它是非常重要的，而网络欺骗可以帮助防御者发现正在进行的攻击，甚至是潜在的攻击。

2.可以“黏住”网络攻击：通过迷惑攻击者，达到消耗对方时间精力，从而为后续的防御工作留下时间，或者迫使对方放弃此次攻击。

3. 可以溯源和反制：通过欺骗来让对方暴露自己的攻击意图和攻击手段，最终可以溯源取证和采取反制措施。

网络欺骗的关键技术有哪些？
提及网络欺骗的具体技术手段，刘潮歌说，网络欺骗的关键技术通常有四部分：蜜罐、蜜饵/蜜标/面包屑、虚拟资产和影子服务。

1.蜜罐
蜜罐技术如今已经成为一项很常见的网络防御措施，顾名思义，蜜罐就是网络防御者精心布置的“黑匣子”，专门用来引诱黑客攻击的服务器。看似漏洞百出，实则尽在掌握，它的作用就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址。一台合格的蜜罐不仅拥有发现攻击、产生警告、数据记录、欺骗、协助调查的功能，在必要时还可以根据蜜罐收集的证据来起诉入侵者。

【蜜罐应用示意图】

2.蜜饵/蜜标/面包屑
这些方式和蜜罐技术类似，只是具体实施手法不同。蜜饵通常是布置一些攻击者可能感兴趣的资源作为诱饵，比如某某作战计划、某某商业合同等等，平常状态下，这些文件不会被打开，因此一旦发现这些这些文件被他人碰触或打开，则基本可以断定有人入侵，有必要仔细检查一下内网的安全了。

【蜜饵应用示意图】

蜜标同样如此，很多人不知道的是，我们常用的 Word 文档、PDF 文档中其实可以植入一个URL地址，当攻击者打开这个文件时，链接可以被自动打开，而且是以 HTTP 的形式打开，因此当攻击者打开蜜标文件时，防御者就可以借机获取他的IP地址、浏览器指纹等攻击者的信息，从而溯源攻击者。

【蜜标应用示意图】

和蜜饵/蜜标相比，面包屑更为主动，防御者通过故意释放出更多更零散的虚假信息，比如虚假的 Cookie 信息、虚假的浏览器记录密码、SSH 秘钥、VPN 秘钥等等，许多攻击者拿到这些信息时，往往会以为自己捡到了宝贝，殊不知自己得到的是一剂“毒药”，这些面包屑会将攻击者引诱至提前布置好的蜜罐或影子服务当中，从而瓮中捉鳖。

无论是蜜罐、蜜饵还是面包屑，都是基于“诱饵”的思想，这些诱饵既可以是一些虚假的代码注释，可以是故意用来给攻击者的虚假网站后台，可以是一条数据库记录，当有人用SQL注入来获取这条记录的时候，就相当于给你报警了。

刘潮歌强调，如果企业希望通过网络欺骗来进行防御，那么不妨提前根据自身的网络环境来了解，哪些东西可以真正作为诱饵。

3.影子服务
影子服务是由 ArkTeam 自己提出来的防御方式，较传统的蜜罐来说更具有迷惑性和实用性，但也更加复杂。所谓影子服务，就是一个和真实服务看起来一模一样的网络服务，不同的是，真实服务提供给用户，而影子服务提供给攻击者。当有一些可疑流量过来时，可以先把它带到影子服务器上进行监控分析，如果发现是攻击者，则进行下一步监控、警报和记录攻击行为。

【影子服务应用示意图】

4.虚拟资产
除了诱饵，防御者还想到了为自己的重要资产找一些“替身”，这就是虚拟资产。在传统的防御状态下，一个企业的内部网络对于黑客来说并不会太复杂，只要突破内外网的围墙式防御就可以为所欲为，很快就能接触到企业的重要资产，因此有人也将围墙式的防御比作是椰子，外表很坚固，里面很美味。

但如果防御者部署了大量虚拟资产，则可以让攻击者无法触碰到真实资产，让他好似进入迷宫找不到出口，一步步耗费时间精力，赢得更多反击时间，甚至逼迫对方主动放弃攻击。

从某种层面来说，影子服务也起到了类似的作用——“黏”住黑客。

网络欺骗对防御者越来越重要
小编注意到，刘潮歌在演讲中多次强调一件事——网络欺骗将逐渐在网络攻防中扮演越来越重要的位置。他说，2014 年美国空军发布了一个研究报告（BAA-RIK-14-07), 指出要研究网络欺骗技术，并在次年签订了两份总值9800万美元的合同，其中一份就是关于网络欺骗技术的。美国军方公开采购了这一合同，这在学术界或商业界都实属罕见。

【美军发布网络欺骗相关报告】

在商业应用方面，专业研究机构 Gartner 也在2015年7月发布的报告中也指出，基于欺骗的安全防御技术将会有很大的市场前景，并预测到2018年，将会有10%的单位使用欺骗工具或策略来对抗网络攻击。

甚至在学术界，网络欺骗也逐渐得到重视，2016 年7月，Springer 出版了一本名为《Cyber Deception: Building the Scientific Foundation 》的书籍，书中集合了世界各地顶级网络欺骗研究人员的最新研究，目的就是为网络欺骗建立学科基础。