i黑马：攻防演练及小规模网络对抗的战术，对抗中的主动防御( 四 ) 01

高交互和高仿真的蜜罐，一方面可以迷惑攻击者，使其在蜜罐中停留很长时间，极大地消耗他们的时间，另一方面可以利用高交互获取更多攻击者的攻击手法、第一手自然人信息（例如真实IP、浏览器信息等等）、甚至是他们使用的一些1day和0day ，使其暴露；
即使蜜罐模仿的业务系统被攻破，攻击者也无法获取任何有价值的信息，当攻击者90%以上的攻击尝试和努力都是针对蜜罐的，将会消耗他们大量的精力，打击他们的信心；
诸多好处不一列举。

文章图片

文章图片

文章图片
一个精心布置、能产生对抗效果的蜜罐和蜜网系统，应该包含如下能力：
可以快速大量部署，并对正常业务不造成影响；
应该是仿真的，只有这样才有迷惑效果，才能最大化的拖延攻击者，并使其难以发现；
应该是高交互的，高交互一方面可以消耗攻击者的精力，另一方面可能捕获到攻击者的攻击信息，甚至是一些自然人信息（例如精心构建的登陆认证、邮件认证等，均可以考虑反向钓鱼）；
可以保护自身的安全性，一方面蜜罐本身可以包含（也可不含）一些精心构建的漏洞，另一方面要考虑到如果蜜罐失陷，不应使攻击者可以用于跳板或他用；
好的蜜罐应该自带一些1day甚至0day ，用于进行溯源反制，这些1day或者0day应该至少包含针对于浏览器、社交平台等方面的，而不仅局限在进行攻击规则匹配以及对浏览器、主机信息和攻击日志等进行记录，这样才能对溯源到真实的自然人有帮助；
好的蜜罐应尽可能内置或可以与一些外置数据和情报信息进行联动和对接，例如：通过获取的一些自然人信息与前文提到的社交网络数据库联合查询以得到攻击者真实自然人身份；通过得到的攻击源信息进行匹配后可以得到跳板范围并进行阻拦等等，这将直接达到减少攻击有生力量的效果。
08
在所有对抗中，都要考虑攻击者的场景并加以利用
在实际的网络对抗中，既然已经明确了以攻击者——“人”为关注点，就要从攻击行为、习惯、可能的手段作为出发点进行考虑，往往可以事半功倍。
在“七步网络杀伤链”理论中，最有参考价值的是2011年洛克希德马丁发布的网络杀伤链模型，在其模型中更为关注“人”的因素。
由于七步网络杀伤链理论模型相对已经比较完善，同时它们也是目前攻击场景中公认最成熟的，在此就不进行累述了，进行对抗方案和操作指南制定时，请查阅和参考该模型来制定详细的反制措施。
下图放上了关于此模型的大致思路，但详细细节比这些丰富很多。在此需要特别提醒的是，仍然需要以“人”作为关注对象，无论是攻击者，还是受攻击资产，还是网络安全设备和策略，背后都是“人” ，他们是：黑客、IT管理员、网络安全工程师。制定策略要考虑人及其操作的可落实性。
比如可以利用仿真虚假的业务系统的交互（例如邮件注册或加载插件），精心构建针对攻击者进行的鱼叉或水坑攻击。

文章图片
图/安全牛
09
所有安全设备和策略都要用最简单有效的方法进行策略制定
很多方案中会堆叠一系列产品、设备、流程、管理制度等等，但是在网络对抗中要明确一个宗旨：越简单越有效。具体即：非白即黑。
一切阻断类型的防御手段和策略，在使用和操作时，都是越直接越好。
在很多组织中，由于业务需要、测试需要、跨部门和跨网段管理的设备通讯需要、甚至是因为IT管理不清晰等原因，都可能出现类似“拒绝所有通讯，但A分组除外， B分组除外， c资产除外， d资产除外， e资产的X端口除外， f资产的X和XX端口除外，同时e资产属于B分组， d资产属于A分组”等等规则，或者出现类似“如果发现A行为则阻断，如果发现B行为则提交给X设备进行分析，如果发现其他行为由XX人进行处理”的流程。