|
【PConline 杂谈】“兵者,诡道也”,讲的是利用千变万化的方法制造玄虚迷惑敌人,从而打乱敌人的战略思想和攻击意图,而这恰恰也是网络安全领域的真实写照。尤其是近年来,安全事件频发形势日益严峻。面对多样且隐蔽的攻击手段,如何防御?答案就是主动防御迷惑敌人。那么问题来了,同是防御技术,你能分清蜜罐、沙箱和网络欺骗之间的区别吗?
何为蜜罐技术? 蜜罐和蜜网是为诱捕攻击者而专门设置的脆弱系统。其中,蜜罐技术(Honeypot)通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击者对其实施攻击,从而捕捉和分析攻击行为,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜网则是在蜜罐技术上,逐渐发展起来的一个新的概念,可将其称为诱捕网络。蜜罐技术实质上还是一类研究型的高交互蜜罐技术,其主要目的是收集攻击者的信息。与蜜罐技术不同的是,蜜网构成了一个攻击者诱捕网络体系架构,在此架构中,可以包含一个或多个蜜罐,同时保证网络的高度可控性,以及提供多种工具方便对攻击信息的采集和分析。 作为一个包含漏洞的诱骗系统,蜜罐可以通过“伪装”迷惑甚至诱捕攻击者,从而保护服务器。此外,由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐的尝试都是十分可疑的;蜜罐的另一个用途,就是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。可以说,蜜罐就是诱捕攻击者的陷阱,坐等“飞蛾扑火”。 什么是沙箱? 注意!此沙箱非彼沙箱。现实世界中的沙箱,是能给孩子们带来欢乐的工具,而我们这里所说的沙箱(Sandbox),则是一个虚拟系统程序,能令恶意软件在沙箱这个封闭环境中安装并执行,安全研究人员可以观测该恶意软件的行为,识别潜在风险并开发应对措施。
目前,有效的沙箱基本都运行在专用的虚拟机上。其好处在于,这样可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件,更安全。通常,研究人员会在分析恶意软件时选择沙箱技术,很多高级的反恶意软件产品,也是用沙箱根据可疑文件的行为确定其是否是真的恶意软件。 网络欺骗又是什么? 最后,我们再来说说什么是网络欺骗。近年来,在与攻击者不断周旋的过程中,一种有效的信息安全技术正在进入人们的视野,那就是网络欺骗。即让攻击者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(伪造或不重要的资源),将攻击者引向这些错误的资源,是一种主动防御技术。
一个完美的网络欺骗,甚至可以使攻击者感到他们不是很容易地达到了期望的目标,并使其相信入侵取得了成功。一般,其通过隐藏和安插错误信息等技术手段得以实现,例如我们上面所说的蜜罐技术,就是最早采用的网络欺骗手段。此外,还有空间欺骗技术和网络信息迷惑技术等。 从网络安全防护角度来看,网络欺骗技术作为一种主动式安全防御手段,可以有效对抗网络攻击。网络欺骗防御技术在检测、防护、响应方面都能起到作用,起到发现攻击、延缓攻击以及抵御攻击的作用。 |
