2.3.1 在计算机防御中使用欺骗的优势
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.3.1 在计算机防御中使用欺骗的优势,英国科学军事情报学者Reginald Jones简要阐述了安全与欺骗的关系。他把安全看作是一个“被动的活动,是你试图阻止信息流向对手”,它需要一个与之相对应的概念,即欺骗,使其在冲突中有竞争优势[28]。他也认为欺骗通过向恶意敌手提供虚假的线索,是“对安全的积极响应”。
通过智能地使用欺骗性的技术,系统的防御者可以误导和/或迷惑攻击者,从而逐渐提高自己的防守能力。利用攻击者不容置疑地信任计算机系统的响应,系统防御者可以抢在攻击之前,找到一个折中的位置。一般情况下,基于欺骗的安全防御会给计算机系统带来以下独特的优势[29]。
1)增加了攻击尝试过程中目标系统泄露信息的熵。
当一个计算机系统被定为目标时,焦点通常只是保护和维护它。使用欺骗技术可以通过给攻击者提供虚假信息,诱导攻击者做出错误的行为/不活动而得出错误的结论,进而通过一些附加的防御措施保护目标系统。随着APT攻击和政府/企业间谍威胁的增加,这种技术会非常有效。
2)增加从攻击尝试中获得的信息。
许多安全控制的目的是在计算机系统中创建一个自动阻止任何非法访问的边界。由于这个边界变得越来越模糊,使得这种做法也越来越具有挑战性,其中的部分原因是当今的如“消费化”的发展趋势[30]。此外,由于恶意敌手许多低成本及自动化开发工具的不断涌现,攻击者可以连续探测计算机系统,直到找到一个漏洞并渗透进去而不被发现。在这个过程中,系统的防御者不会得到任何有关攻击目标的信息。这意味着,每次不成功的攻击都会使得对计算机系统的保护任务更加艰难。我们猜想,结合基于欺骗的技术可以提高对攻击尝试的理解,通过非法探测活动可以提高我们对威胁的理解,从而更好地保护我们的系统。
3)在OODA循环中给防守者一个边界。
OODA循环(即观察、调整、决策和行动)是一个由John Boyd提出的,实体对事件响应[31]的循环过程模型。任何战术冲突的胜利都需要以比恶意敌手更快的方式执行这个循环。防御计算机系统免受持续攻击者的威胁可以看作攻击者和防御者之间的OODA循环比赛。冲突的胜利者是更快地执行这个循环的实体。基于欺骗的防御的主要优势是在这样的比赛中为防御者提供了一个优势,即他们主动地给恶意敌手欺骗性的信息,以影响恶意敌手OODA循环的执行,更具体地说是循环的“观察”和“调整”的阶段。此外,减缓恶意敌手的循环过程可以给防御者更多的时间来决策和行动。这是非常重要的惊喜,是数字攻击下的一个共同主题。
4)从恶意敌手的角度增加了攻击计算机系统的风险。
目前很多安全控制的重点在于防止非法尝试访问计算机系统相关的活动。结果,入侵者正在使用这个准确的负反馈作为他们的尝试是否已被检测到的标志。然后,他们会退出攻击,使用其他更隐蔽的渗透方法。在计算机系统的设计中引入欺骗,这增加了恶意敌手考虑新方法的可能性,即他们是否已经被检测到还是被欺骗了。这种新的可能性可以阻止那些不愿意冒被欺骗的风险的攻击者做出进一步的分析。此外,这种技术使防御者有能力通过主动提供虚假信息,将攻击者的渗透尝试转变成防御者自身的优势。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.3.1 在计算机防御中使用欺骗的优势
