2.3 欺骗型安全技术
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.3 欺骗型安全技术,使用单一的一劳永逸的办法不可能实现安全。相反,好的安全手段会通过设计一系列机制来平衡防御安全威胁对系统的危害的开销,并使攻击者的成功率降到最低。图2.1中,我们提出了一种系统常用的分类保护机制。图2.1显示了保护机制中的4个主要类别,并说明了它们是如何基于多目标进行交互的。
这些交叉分类背后的基本原理是单级安全不足以保护组织,多级安全控制是必要的[26]。在这个模型中,第一个目标是拒绝未经授权的访问,并将不可信的代理与信息系统隔离。然而,如果恶意敌手成功穿透了这些安全控制,那么应该有退化和混淆机制来减缓攻击者横向渗透到内部系统。与此同时,这使得攻击者从已渗透系统中提取信息更具挑战性。
尽管减慢了攻击速度并混淆了我们的信息,但是高级攻击者可能会探测我们未发现的系统。这激发了第三级别安全控制的需求,它包括使用欺骗和虚假信息的方法。这些技术是为了让攻击者误入歧途并增强系统探测秘密敌人的能力。此外,这种虚假的信息会浪费攻击者的时间和/或增加他们渗透过程中的风险。分类中最后一组机制的目的是定义攻击者,并给我们提供反击操作的能力。设置了陷阱的软件是可以使用反击操作的一个例子。
保护系统是一种经济活动,组织需平衡成本和收益。通过了解每组分类的目标及它们如何相互作用,我们的分类提供了一个全面的安全控制的概述。这让决策者知道他们应该部署什么级别的安全控制。
尽管组织所有的工作做的都很到位,攻击者依然可能渗透信息系统,进行未被发现的操作或减慢系统运行速度。此外,持续攻击者可能渗透到系统中,为了避免被检测到,它们会观察一段时间和/或放缓向目标的移动。因此,欺骗层的防御需要增加欺骗性的信息到我们的系统中,使得攻击者误入歧途。我们也可以通过使用多样的并额外地部署检测方法来提高组织的检测能力。
欺骗技术是人类天性的一部分,一直存在于我们周围。体育中广泛应用的欺骗示例是:球队试图欺骗其他球队相信他们是在执行一个特定的计划,以影响他们的行为。化妆品的使用也可以被视为一种温和的欺骗形式。在交谈中,我们会说善意的谎言以隐藏礼仪中的轻微过失。在网络空间安全中,欺骗和诱骗机制已经被使用20多年了,如蜜罐和蜜标。
当攻击者渗透了系统并成功地克服了传统的检测与降解机制后,我们应该不仅具有混淆数据的能力,也应该能够通过欺骗攻击者,将他们的注意力转移到其他虚假的、误导性的数据上。此外,耗尽攻击者、造成挫折也是一个成功的防御结果。这可以通过植入假密钥和/或使用例如无底洞文件的计谋来实现[5]。这些文件看起来很小,但是组织服务器一旦下载后就会耗尽恶意敌手的带宽并发出一些警报。而且,利用精心设计的欺骗信息,甚至可以对恶意敌手的服务器造成损害。我们可以从冷战时期著名的Farewell Dossier故事中学到很多经典的、成功的欺骗技术,CIA向苏联的间谍提供了修改过的文件。当苏联人使用了这些经过设计的且他们认为合法的信息后,引发了一个重大的跨西伯利亚的灾难。
尽管恶意敌手已经得到了一些敏感信息,但当我们注入虚假信息时仍然会迷惑恶意敌手;不良信息的注入会减少和/或贬低敌手获得的正确信息。Heckman及其来自洛克希德·马丁公司的团队利用欺骗技术在红队、蓝队之间进行了一个实验,并发现了一些有趣的结论[27]。
尽管红队成功攻击和渗透了蓝队的系统并获得了敏感信息,但蓝队在系统中注入了一些虚假的信息,让红方否定了他们获得的信息,并相信新的值是正确的。
在最后一组保护技术(也称为溯源)欺骗技术中可以观察到另一种关系。当我们检测到敌手正在进行访问和进行一些异常活动时,基于欺骗的机制是一种有效的、吸引攻击者暴露他们自己和攻击目标的方法。其他的工具,如基于异常的入侵检测系统(IDS)也有类似的目标。但基于欺骗的工具具有一个优点,那就是正常用户和异常用户的活动之间有一个明确的界限。这是因为合法的用户显然不应该去访问这些信息。这种差异明显地提高了基于欺骗的安全控制的有效性,并减少了误报的数量,以及系统的日志文件的大小。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.3 欺骗型安全技术
