這只是一局象棋游戲。可以移動的棋子:屬于防御方的IT部門和屬于進攻方的黑客。和戰爭一樣,網絡安全防御和攻擊領域也是如此:經典欺騙技巧仍有作用。
誘餌(Decoy)
十八世紀使用的假炮(Quaker Gun)是一種軍事誘餌,它在遠處看起來像大炮,但實際上只是一棵樹的樹干。一些士兵給假炮涂上黑漆,讓它看起來更逼真。低水平的蜜罐偽裝成攻擊界面(Attack Surface)的樣子,對黑客虛席以待。這種蜜罐僅僅是浪費了攻擊者的精力,而且只能拖延一小會時間。
隱匿(Concealment)
美國軍隊自1898年起就在使用煙幕了,這是隱匿的一個例子。RSA大會的顧問團成員托德·英斯基普(Todd Inskeep)表示,如今,企業使用物理隔絕,斷開裝有敏感數據的電腦與互聯網的連接,隱匿起來。
另一個例子是,企業可以通過在內部網絡中使用網絡望遠鏡(Network Telescope)或暗網來誤導那些前來偵查、源地址不明的流量。在一些金融機構種,它被稱為黑洞(Black Hole):任何指向未知IP地址的流量都會被導向到這里,防御者可以記錄并抓取流量。對攻擊者而言,他們看到流量有去無回,因此不會知道發生了什么。攻擊者不會得到一個Null返回,而是完全不會得到任何返回,因而不能從偵查行動中獲取到信息。
擬態(Simulation)
擬態比誘餌看上去更加真實。
上圖是第一次世界大戰中用到的假坦克原型,它會發出坦克的聲音、滾滾濃煙,甚至真的能動起來,這讓它更加具有說服力。特定應用蜜罐(Application Honeypot)將擬態帶到了更高的層次上,它會模擬特定幾種經常存在漏洞的應用,并在服務器上作為入口點被黑客找到。擬態方式包括開放式電子郵件中繼(Open Email Relay)、文件和打印服務器(File/Print Server)以及開放式代理。
否認(Denial)
1962年,俄羅斯拒絕承認試圖在古巴部署核彈頭。時間快進到今天,有些國家在大量證據面前堅持否認攻擊過其它國家。它屬于公關和社交網絡的一部分。
誤導(Disinformation)
二戰期間,英國人把一具尸體裝進袋子,將一次佯攻的錯誤證據包裹進去,然后坐等對方花時間和精力調查一次并不存在的威脅。英斯基普表示,最近出現的所謂客戶端蜜罐會通過仔細跟蹤本機系統上的修改來尋找惡意服務器,它還會提供一種誤導信息,也即他們接受了來自服務器的修改。事實上它們在抓取并且標記這些修改行為,最后通過虛擬化重置自己,讓真實的傷害無法發生。
假動作(Deceptive Maneuver)
英斯基普表示,有些軼事中,幾家公司定期修改一個網站,以強迫攻擊者重新構建他們的系統,從頭再來。
陷阱(Trap)
這個廣為人知的手法在信息安全領域內是這樣使用的:使用裝有欺騙性技術的仿真引擎應用。
仿真引擎會喬裝打扮成那種隨處可見的操作系統,防御者故意將機密信息裝進去,可能還會將標簽改成“信用卡信息”。在攻擊者竊取假數據的同時,欺騙性技術會記錄他的活動,將信息分享給其它安全工具,以便讓人們更快地抓到網絡罪犯。
京公網安備 11010502049343號