2.1 简介
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.1 简介,大多数数据会被数字化,并以一种有价值的目标存储在组织服务器里。高级持续性威胁(APT)、商业间谍以及其他形式的攻击都在不断地增加。正如Fortinet中的报道[1],在2013年上半年有1.42亿未成功的针对企业的网络空间攻击事件。此外,近期的Verizon数据泄露调查报告(DBIR)指出,目前部署的保护机制并不足以解决当前的威胁[1]。所报告的数据显示66%的破坏需要花几个月或几年才能被发现,且这个数字是从2012年的56%增加到了2013年的66%。此外,这些攻击中84%只需花几个小时或更少的时间就能渗透计算机系统[1]。报告指出,只有5%的破坏可以使用传统的入侵检测系统(IDS)发现,而其中的69%是被外部组织发现的[1]。这些数字只是讨论了被发现的攻击。因为只有5%的攻击可使用传统安全工具发现,但是那些未被报告的和未被发现的攻击可能会让计算机系统安全变得更糟。以上这些发现表明了组织的安全态势不足以解决当前的威胁。
在计算机系统中,几十年来所编写的软件和协议是为了在每次交互中提供有用反馈。这些系统最初的设计想法是通过通知用户交互失败的确切原因来使得检测和校正错误变得更容易。这种行为同时也会向攻击者提供帮助,使其理解攻击不成功的原因、完善攻击和工具,然后再次实现攻击,从而提高攻击效能。因此,这些系统对攻击者是十分有利的,可引导他们实现攻击。与此同时,除了安全团队有担忧,目标系统并不知道攻击者做的这些尝试。事实上,在许多情况下对源自相同攻击者的多次攻击尝试关联都未能成功。
基于欺骗的防御技术与传统的安全控制相比具有很多显著的优势。目前,大多数安全工具是给攻击者提供对先前已知漏洞探测的响应措施。一旦攻击出现,在抵御处理中将使用所有的预防机制进行抵御。最终,持续攻击者会通过避开工具检测探针或发现新的未知漏洞来找到可以引发一个成功渗透的漏洞。这个安全态势部分是由于“反黑回去(hacking-back)”是不道德的假设前提造成的,而实际上,以牙还牙的“反黑回去”的行为与欺骗攻击者的行为是有区别的。
基于欺骗的机制与传统安全控制相比有一个根本的区别。后者通常专注于攻击者的行为,对它们进行检测或预防,而前者则着眼于攻击者的认知,篡改它们的认知并因此诱导恶意敌手采取行动或不行动以对目标系统有利。传统的安全控制是针对对攻击者行为的响应,而基于欺骗的工具则是针对此类行动所依托的条件。
定义
一个最被广泛接受的计算机安全欺骗的定义是由Yuill提出[2]的:计算机欺骗是指通过刻意的行为来误导攻击者采取(或不采取)有助于计算机安全防护的具体行动。在计算机系统防护中,我们采用了这种定义并添加“混淆”作为欺骗(对事物不正确的表达)的目标之一。因此,贯穿本章所采用的计算机欺骗防御的定义如下:
定义1 欺骗是指通过刻意的行为来误导攻击者采取(或不采取)有助于计算机安全防护的具体行动。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.1 简介
