摘自:《網絡安全技術和產業動態》2021年第7期,總第13期。
中國網絡安全產業聯盟(CCIA)主辦,深圳市聯軟科技股份有限公司、格爾軟件股份有限公司供稿。
網絡欺騙技術(Cyber Deception Technology)是欺騙策略在網絡安全防御中的應用,其通過在信息通訊系統上構造虛假信息進行干擾或誤導網絡攻擊者的認知,從而延遲或阻攔網絡攻擊者的活動,使攻擊者采取有利于防守方的動作,最終達到增強信息通訊系統防御能力的目的。
與傳統安全技術關注入侵不同,網絡欺騙技術更加關注防御體系的構建,其通過人工智能和自動化技術實現真實網絡與數據環境的高度仿生,幫助防御方主動構造動態的、真實的虛擬網絡與數據環境,欺騙攻擊者進入陷阱以延遲攻擊時間。
網絡欺騙技術既可以作為一個獨立的平臺應用,又可以聯合多種安全防御手段進行應用,利用人工智能的自動學習能力,不斷收集并分析攻擊者路徑與思路,提高攻擊者的攻擊難度,進而提升網絡欺騙防御能力。
一、技術發展情況
根據網絡欺騙應對目標的不同,網絡欺騙技術的發展可分為3個階段:應對人工攻擊的開創階段;應對自動化攻擊的蜜罐階段;應對高級持續性威脅(advanced persistent threat,APT)的欺騙防御階段。
開創階段,網絡欺騙只是被安全研究人員用于檢測業務系統的入侵情況和對抗人工攻擊,主要表現形式是在業務系統中插入虛假數據或開啟未使用的端口,從而欺騙入侵者。
蜜罐階段,自動化工具的惡意代碼傳播成為攻擊的主流方式,惡意代碼的發現與樣本收集的實際需求促進了蜜罐技術的發展,蜜罐或蜜罐傳感器被廣大安全從業人員熟知,并使用相應的解決方案發現和收集威脅情報作為防御的關鍵策略。但由于動態性、真實性、偽裝性不足,蜜罐往往容易被識破。
欺騙防御階段,主要通過人工智能和自動化工具加強欺騙技術的真實性和運維管理,主要特征有三點:一是分布式部署;二是使用真實的業務場景制作欺騙工具;三是與其他安全工具聯動,構建立體防御體系。一方面可以讓欺騙環境保持動態更新,另一方面還可以降低人工運維的成本并輸出可視化的威脅畫像,協助管理者作出應對決策。
欺騙防御技術通過人工智能和自動化技術實現真實網絡與數據環境的高度仿生,當前網絡欺騙技術雖然在技術應用和市場顯示出比較好的應用前景,但仍處于起步階段,還主要在使用蜜罐集中或分布式部署,以增強惡意代碼和威脅檢測。
二、發展難點分析
與傳統的安全防御措施不同,網絡欺騙技術為了達到更好的效果,要求與業務系統具有高度的相似度和高交互的網絡數據,但當前在構建基于真實業務的虛擬數據動態環境方面,還有所欠缺,并且還沒有形成固定且統一的形態,而是隨著攻擊技術與網絡安全需求的變化而演化,尚未形成體系化的理論基礎與通用的標準規范。
網絡欺騙技術的發展與應用的難點目前主要體現在以下3個方面:1)網絡欺騙技術非常依賴攻擊者與虛擬環境之間的觸碰點,現有技術難以動態地分布欺騙智能防御節點。2)高度仿真的虛擬環境在注入應用程序或數據路徑中時,容易與真實環境發生沖突,導致業務中斷。
3)難以生成攻擊者行為的威脅畫像,無法助力威脅情報的生成,不利于完善防御策略。
三、產業落地情況
網絡欺騙技術解決方案現已部署在各個行業,包括銀行金融服務和保險(BFSI)、能源與公用事業、政府、衛生保健、IT與電信、汽車制造業等。
國際上,2018年,Gartner發布了威脅應對技術成熟度曲線報告,該報告以威脅應對技術為研究對象,集中分析并篩選出了能夠實現直接防御或有效降低安全風險的新興安全技術,其中“網絡欺騙技術”被認為是未來5-10年能夠進入主流市場、并對現有安全防護體系產生深遠影響的安全技術發展趨勢。美國等發達國家紛紛對網絡欺騙技術進行了投入,如美國國防高級研究計劃署(DARPA)直接參與的賽博欺騙項目。2020年3月,Mordor Intelligence發布了專門針對欺騙技術市場的分析與預測,預計欺騙技術市場估值到2025年將達到24.8億美元。當前,國際上網絡欺騙技術研發主要參與者包括IllusiveNetworks(以色列)、TrapXSecurity(美國)、Rapid7(美國)、LogRhythm(美國)、Attivo Networks(美國)。
在國內,相比國外而言,網絡欺騙技術發展較為緩慢,但是國內也有一批安全廠商開始布局網絡欺騙技術,如默安科技的高級威脅狩獵與溯源系統、長亭科技的偽裝欺騙系統、觀安的網絡威脅安全防御系統、聯軟科技的網絡智能防御系統等,均努力嘗試利用自身技術積累幫助客戶建立主動防御機制。
四、意見和建議
網絡欺騙作為一種主動防御機制,在未來網絡空間戰中具有積極戰略意義。建議主管部門從網絡空間戰略的高度上進行統籌規劃、協調組織資源進行研究探索。
1.政策與標準方面
建議盡快研究制定網絡欺騙技術相關標準,為網絡欺騙技術的研發及相關產品的落地實現提供指導,進一步促進網絡欺騙技術的規范化發展。
2.技術發展方面
隨著網絡欺騙技術的逐步完善,建議與移動目標防御(moving target defense,MTD)方案結合來增強真實的業務系統的多樣性和復雜性,讓網絡攻擊者更難獲取有效的情報進行攻擊,發揮其最佳優勢,降低攻擊者的效率與成功率。