長久以來,黑客在網絡釣魚攻擊中向企業用戶發送虛假郵件,以期釣中并利用用戶。如今,安全公司 Illusive Networks 利用郵件數據欺騙功能,植入虛假信息誘騙捕獲攻擊者,反轉攻防形勢。
Illusive Networks 的核心技術,是其欺騙平臺,提供不同類型的誤導網絡和應用路徑與信息,以期檢測到惡意攻擊者。該公司成立于2014年,依托以色列網絡安全代工廠Team8。
我們鋪開誘騙以擴大視野。我們所做的,是在攻擊者會收集查閱的公司信息中布下誘騙內容。
——Illusive Networks 創始人兼CEO奧法·伊斯雷利
驅動 Illusive Networks 功能開發的核心方法,是在網絡安全中引入攻擊者視角。現代企業往往非常復雜,員工分工細致繁復,攻擊者很難查清誰管理哪種資產,誰控制哪項服務。從攻擊者的角度看待公司,郵件就是非常豐富的信息來源,可以幫助攻擊者弄清公司運作模式。
比如說,攻擊者可能想要盜取特定知識產權,而有可能公司首席科學家才握有該信息。如果公司防護良好,外部攻擊者就不能獲知誰是首席科學家。但跟著郵件路徑走,閱讀公司郵件,卻可能使攻擊者獲得了解特定目標所需的信息。Illusive用郵件欺騙所做的,就是在郵件層誘騙攻擊者,當攻擊者檢查公司郵件收件箱時,只能獲得錯誤的路徑。
用戶往往通過郵件向自己發送用戶名和口令,這些信息對攻擊者而言非常有價值。有了Illusive郵件數據欺騙,攻擊者找到的用戶名和口令信息只會是虛假信息,但向公司發出有人正在探測的警示。
Illusive郵件數據欺騙可被植入成貌似微軟Exchange郵件服務器和本地用戶收件箱信息的樣子,不會影響正常郵件操作。該解決方案的過人之處在于,只有攻擊者能看到誘騙信息,而真實的終端用戶看不到。因而,終端用戶不會被騙,也不會產生誤報,看到欺騙信息的唯一人員只能是攻擊者。
Illusive系統旨在檢測已經進入公司網絡的黑客,入站郵件欺詐攻擊防護不在該系統防護范圍之內,比如商務電郵欺詐(BEC)——攻擊者假冒合法郵件賬戶詐騙公司的攻擊形式。
基于欺騙的網絡安全技術市場方興未已,Illusive的競爭對手很多,包括TrapX、Acalvio和 Attivo Networks。伊斯雷利宣稱,Illusive不同于其他廠商,其對黑客的欺騙貫穿業務應用全程,提供各種不同的功能。此外,Illusive正在研發專注欺騙的額外金融服務,被稱為 SWIFT Guard 的欺騙平臺旨在幫助銀行對抗欺詐轉賬。