因應網路安全威脅,企業不只是需要懂得運用UTM/NGFW、各種內容安全閘道,以及XDR等產品,進行阻斷、偵測與反制,在事前預防與事中自我察覺異狀的部分,仍可透過其他方式來輔助,以便更早找出駭客與惡意軟體活動的跡象,甚至能讓這些攻擊身陷泥淖卻渾然不知,而這樣的防禦戰術,可以透過所謂的網路資安欺敵系統(Cyber Deception)來達成。

臺灣市場上已經有多家可提供資安欺敵系統的廠商,現在我們來介紹以UTM聞名的Fortinet,他們本身也提供這類產品,稱為FortiDeceptor。根據該公司網站上的技術文件登載,1.0版是在2018年10月推出,隔年4月、7月發布2.0版、2.1版,12月釋出3.0版,2020年分別於5月、10月推出3.1版、3.2版,而3.3版在今年3月登場,至於4.0版則是今年7月出爐,最新版4.0.1則是今年9月發布,發展時間至少超過3年。

可布置與管理IT、OT、IoT等三種環境的陷阱,也整合Fortinet旗下多款網路安全與管理產品,能進行協同防禦

相較於過去我們所認知的蜜罐誘捕系統(Honeypot)、沙箱檢測(Sandbox),FortiDeceptor融合了欺敵、揭露、消除等三種防禦戰術,希望能夠在資安威脅發動的初期階段,就能及早察覺與阻擋攻擊鏈的進展。在部署形式上,Fortinet提供兩種選擇:整合式硬體設備系列FDC-1000F與FDC-1000G,以及虛擬機器FDC-VM。

同時,FortiDeceptor所能運用的陷阱類型相當廣泛,涵蓋資訊科技(IT)系統、操作科技(OT)設備,以及物聯網(IoT)裝置,都是以虛擬機器的型態執行在FortiDeceptor硬體設備,或是虛擬應用設備(巢狀虛擬),而其部署與集中管理的方式也相當簡單、直覺。而就系統負載能力而言,無論是硬體或虛擬設備,每臺FortiDeceptor最多可同時部署16臺陷阱電腦/伺服器/OT設備,但FDC-1000G與FDC-VM最多只能部署至128個VLAN網路環境,可搭配的陷阱環境也僅限於Windows。

以IT系統而言,企業可在此部署Windows陷阱、Linux陷阱、VPN伺服器陷阱、POS陷阱、ERP陷阱,而在OT設備的部份,可部署SCADA陷阱,物聯網裝置的陷阱則是包含路由器、印表機、網路攝影機等類型,醫療設備陷阱應可列於這類。

這些陷阱大多對應企業實際使用的產品,包括:用於個人電腦的Windows 7與Windows 10,以及用於伺服器的Windows Server 2016、Windows Server 2019;VPN伺服器主要是Fortinet本身的FortiGate SSL VPN;在OT領域當中,則是Rockwell PLC,以及施耐德電機EcoStruxure Building Management、PM5560、SCADAPack 333E。而物聯網裝置,目前可支援Cisco路由器、HP印表機。

關於陷阱的部份,除了擺出多種虛擬機器的陣仗,希望能夠涵蓋到各種類型的攻勢,FortiDeceptor也提供陷阱服務,在這些虛擬機器上,啟用經常遭鎖定攻擊的網路通訊協定服務,藉此收集與分析到網路威脅活動的跡象。舉凡IT網路與OT網路常見的SSH、HTTP/S、Telnet、FTP、TFTP、SNMP,以及IT網路特有的SMB、RDP,以及OT網路常見的Modbus、S7comm、BACnet、EtherNet/IP、DNP3等。

另外,這裡也提供多種誘餌,例如,上述的網路連線、內含大量假個資或機密資訊的文件,以及系統暫存的使用者帳號密碼、數位憑證。

而在事件的交互關聯分析上,這套解決方案也能以時間軸的方式呈現攻擊者的各種活動,舉凡存取行為、使用工具、橫向移動,而且還能與Fortinet本身專精資安威脅研究的FortiGuard實驗室互通消息,取得具有前後文脈絡的威脅情報,獲得多層次偵測防護能力。

當然,FortiDeceptor另一個賣點,就是背後能夠整合Fortinet龐大的資安產品陣容,透過Security Fabric的支援,可協同防禦的產品,包含網路防火牆FortiGate、網路交換器FortiSwitch、網路存取控制系統FortiNAC,以及安全調度指揮與自動化反應系統FortiSOAR,也能從安全資訊與事件管理系統FortiSIEM、網路事件記錄分析系統FortiAnalyzer,掌握內部網路威脅態勢。

歷經3年的開發與持續改良,今年以4.0版正式跨入主動式防禦市場

回顧FortiDeceptor這幾年來的發展,我們可以看到Fortinet如何在此擴增對於IT、OT、IoT環境的陷阱系統支援,以及對於進階持續性威脅(APT)的偵測、分析、協防的能力。

1.x版
以最初發布,也就是1.0版來看,FortiDeceptor當時的核心功能,主要包含6大項目:儀表板摘要檢視、欺敵(虛擬機器的部署與監控)、事故分析(偵測結果分析)、網路(網路介面、DNS、路由管理)、系統設定(管理者新增、SNMP,以及LDAP、RADIUS、郵件等伺服器)、事件記錄檢視。

2.x版
到了2.0版,FortiDeceptor增加了Fabric功能,也就是能整合FortiGate網路防火牆,以便針對攻擊者進行自動隔離或阻擋,並且也內建了Fortinet Distribution Network(FDN),能夠透過FortiGuard服務來升級套件,管理者可手動上傳防毒、網路入侵偵測系統、反偵察與反漏洞濫用套件,以及調整FDN伺服器與網頁過濾伺服器設定;儀表板也增加10大網路入侵防禦系統攻擊活動排行榜,同時,攻擊網路拓樸圖的呈現也增加時間軸搜尋、多種過濾條件,以及針對節點位置與條件設定的快照。

至於2.1版,則提供匯出入侵指標(IoC)、唯讀型系統管理者(只能看、不能寫入設定)等功能,陷阱作業系統的搭配上,也提供win10v1與scadav1等兩種映像,前者可支援RDP與SMB等兩種協定的偵察,後者可支援OT設備常用的網路通訊協定,像是:HTTP、FTP、TFTP、SNMP、Modbus、S7comm、BACnet、IPMI、Triconex、Guardian-AST、 IEC 60870-5-104。

3.x版
在FortiDeceptor 3.0版當中,Fortinet增加了命令列主控臺,也允許用戶上傳Windows 10作業系統的ISO映像檔,再自行調整內容,以便作為後續部署誘餌之用的基礎作業系統映像,並支援該公司近期主打的Security Fabric安全平臺(前身是Cooperative Security Fabric,CSF),強化FortiGate整合。

到了2020年5月推出的3.1版,Fortinet提供更多類型陷阱虛擬機器,像是:基於FortiGate SSL VPN而成的VPN伺服器,以及內建微軟SQL Server資料庫系統的Windows Server 2016,以及Windows 2019伺服器。間隔近半年發表的3.2版,新增Webhook整合、用於離線/實體隔離(air-gapped)環境部署支援,也針對SMB與RDP誘餌增添帳號、密碼、IP位址等身分組態。

今年3月登場的3.3版,大幅擴增陷阱虛擬機器類型。以IT環境而言,Fortinet開始提供ERP陷阱(但裡面是客戶關係管理系統)、POS陷阱(能讓用戶接收線上支付與追蹤貨品銷售狀況)、GIT陷阱(內藏開放原始碼分散式版本控管系統Git,可協助追蹤軟體供應鏈攻擊)。

以OT設備而言,Fortinet加入新一代的SCADA陷阱scadav2,用戶可部署Rockwell PLC、BACnet管理伺服器等兩種OT陷阱,也能自定這類型陷阱的組態,調整IT與OT網路通訊協定的參數,同時,能針對既存的OT陷阱進行軟體升級,以及程式碼修改。

在IoT裝置的部份,FortiDeceptor 3.3增加了醫療設備陷阱,包含:影像儲存及通信系統(PACS)網站伺服器、醫療數位影像傳輸系統(DICOM)、無線注射泵浦裝置(Medfusion 4000)模擬。

4.x版
至於7月推出的4.0版,Fortinet在陷阱(Decoy)類型上,除了常見的Windows與Linux之外,大舉擴增了物聯網與操作科技(OT)類型,以因應當前的網路威脅攻擊,以及進階持續威脅鎖定這兩種裝置的趨勢,同時,該公司正式發表這款網路欺敵系統(Cyber Deception),進軍主動式防禦(Active Defense)領域。\

以物聯網設備而言,Fortinet增加了3種欺敵虛擬機器,包含思科路由器、網路印表機(模擬HP印表機)、IP網路攝影機(模擬IP camera)。

而針對OT應用的通訊協定與陷阱,則是增添在scada虛擬機器,以協定來看,可涵蓋常見的DNP3、施耐德電機所負責的Triconex(模擬SIS控制器)。同時,Fortinet還新增了3種OT誘餌,分別是施耐德電機的建築物管理(BMS)伺服器EcoStruxure Building Management、電表PM5560、遠方終端單元SCADAPack 333E(5210)。

在誘餌(Lure)方面,FortiDeceptor 4.0新增能讓駭客「垂涎三尺」的Office與PDF文件檔案,Fortinet稱為HoneyDoc,這些文件內含假造的密碼與財務資料,吸引攻擊者開啟。這些檔案運用可追蹤圖片(基於畫素技術設計的圖像),能讓系統掌握檢視文件者的IP位址,企業若要查看這些資訊,可到FortiDeceptor網路陷阱項目下的網站伺服器記錄調閱。

對於網路攻擊活動的偵測上,FortiDeceptor 4.0也提升兩種行為的識別,分別是:Responder攻擊工具與勒索軟體。前者是包含在Windows陷阱之中的功能模組,可偵測這種快速獲取帳號密碼的工具;後者則是改善FortiDeceptor既有的勒索軟體加密偵測功能,可望縮短系統判斷時間。

在事故分析的功能上,新版FortiDeceptor也強化惡意軟體的深層分析,當中可以整合該公司本身的沙箱檢測解決方案FortiSandbox,以及眾所皆知的VirtusTotal線上惡意檔案與網址檢測服務。前者可針對網路陷阱擷取到的惡意程式碼,提供完整的靜態與動態分析,相關的檢測報告可整合到FortiDeceptor的系統管理主控臺。至於VirtusTotal的整合,能將偵測率資訊併入FortiDeceptor的事故分析警示,以促成相關事件的工作流程處理。

關於與Fortinet其他產品的整合,FortiDeceptor本次改版也涵蓋了Fortinet Security Fabric(CSF),以及FortiNAC的支援。透過CSF整合FortiGate,FortiDeceptor可從網路端自動隔離遭感染的端點設備,預防橫向移動類型的攻擊活動,而且可進行協同防禦的設備包含了FortiSwitch、FortiGate。此外,FortiDeceptor也支援SAML語言,可允許FortiGate與FortiDeceptor之間進行單一登入整合(SSO)。

與FortiNAC的整合也是與協同防禦有關,在先前版本的整合上,Fortinet提供Webhook方式的連接器,但4.0則是提供立即可用的連接器。

而在系統本身的延展性方面,FortiDeceptor 4.0也再進一步提升,例如,以單臺陷阱虛擬機器而言,可支援24個IP位址(先前是16個IP位址),就整臺FortiDeceptor硬體整合應用設備而言,最大可支援128個VLAN。

在陷阱系統的運用上,Fortinet也改善網路層面的部署設定,例如,若要運用固定IP位址,可做到每個IP位址均配置單張網路卡;若是使用動態IP位址來進行部署,每個陷阱裝置可設置多個IP位址。

最後要釐清的是產品使用授權模式,這涉及用戶是否能以更低成本的方式進行大量部署。在4.0版發表之際,Fortinet宣布,FortiDeceptor將採用訂閱制,並根據VLAN數量來計價。具體而言,企業不論採用虛擬機器或硬體設備的部署形式,均根據部署的VLAN數量來計價(最少需購買2個VLAN),當中將涵蓋所有模組與功能,舉凡網路陷阱、欺敵誘餌、技術支援服務Forticare,以及防偵察與防漏洞漏用服務(Anti-Reconnaissance & Anti-Exploit,ARAE)都包含在內。

在陷阱設備的管理上,需額外購買集中管理授權,每個管理員最多可控管50臺設備。值得注意的是,在陷阱設備的應用上,預設不包含在FortiDeceptor本身的授權,需額外購買個別授權。

Fortinet提供多種陷阱授權服務項目,每一種均可擴充2臺陷阱設備、,供企業擴充時選用,像是:混合Windows授權(Windows 7與Windows 10各1)、Windows 7授權、Windows 10授權、Linux授權、SCADA授權、多設備型授權(SSL VPN、ERP系統、POS系統、醫用設備、物聯網設備)、用戶自定Windows10或Server 2016/2019授權。

值得注意的是,FortiDeceptor-1000F內建1套混合Windows授權(也就是2臺Windows陷阱),以及8臺Linux陷阱授權,而且,上述7種授權項目大多只能與這款設備搭配。企業若是採用虛擬機器FDC-VM或FDC-1000G,只能搭配混合Windows授權。

產品資訊

Fortinet FortiDeceptor
●原廠:Fortinet
●建議售價:廠商未提供
●部署形式:硬體設備FortiDeceptor 1000G、虛擬應用設備FortiDeceptor VM
●硬體設備規格:1U機箱,內建8個GbE埠(4個RJ-45埠,4個SFP埠),可支援128個VLAN
●虛擬應用設備規格:6個虛擬網路卡,可支援128個VLAN,支援伺服器虛擬化平臺VMWare vSphere ESXi 5.1/5.5/6.0+、KVM
●誘餌虛擬機器:最多可設置16個誘餌,預設提供2個Windows誘餌(Win7、Win10各1臺)、8個Linux誘餌
    作業系統支援Windows 7/10、Windows Server 2016/2019、Linux
   網路設備支援VPN Server、路由器、印表機、網路攝影機
   業務系統設備支援ERP、POS、醫療設備(PACS醫療影像擷取及傳輸系統、注射幫浦)、SCADA
●誘餌網路服務:SSL VPN、SSH、SAMBA、SMB、RDP、HTTP/S、SQL、GIT、DICOM、Telnet、FTP、TFTP、SNMP、MODBUS、S7COMM、BACNET, IPMI, TRICONEX、GUARDIAN-AST、IEC104、EtherNet/IP、DNP3、JET-DIRECT、RTSP、UpnP、CDP與TCP埠偵聽器

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement