在現實資安環境中,我們常看到身為攻擊者的駭客,使用釣魚郵件、釣魚簡訊、釣魚網站的伎倆,甚至以假冒名義的方式,透過各式各樣的社交工程手法,目的就是為了誤導使用者,利用人性弱點,騙使用者上當,引導至他們設下的局。例如,以COVID-19等各式主題為誘餌的內容,假冒系統通知或企業名義發動網釣攻擊,以及製作與真實網頁相似的釣魚網站,甚至將網域或電子郵件信箱都偽裝相像。還有精心設計的商業電子郵件詐騙(BEC),會在交易過程過程中後期假冒對方與受害者互動,最後利用變更匯款資訊,讓受害者誤信將金錢匯至對方人頭帳戶。
然而,這樣的騙術只有攻擊方可以利用嗎?防禦方當然也可以這麼做。
近年來,這類誘捕、欺敵應用再受關注,最主要的原因,除了攻擊者不段突破防護,使得資安領域對欺敵技術產生濃厚興趣,更值得關注的是,在2020年8月,MITRE新公布了Shield主動式防禦知識庫,當中統整了主動式防禦有深入的剖析,幫助防禦者加深對對手行為和交戰的理解。
而在這個Shield知識庫中,除了包含基本的防護,像是安全控制、隔離、系統活動監控、API監控、行為分析,以及備份與還原等,包括相當多關於誘敵的技術手法,成為主動式防禦重要一環。
從Honeypot到Deception,近年欺敵應用層面更廣
事實上,談到誘餌、欺敵在資安防禦面的應用,多數人可能想到的是密罐(Honeypot),確實,這樣的概念在30年前已經存在,防禦方很早就在使用誘捕的概念,誘使攻擊者攻陷假系統,觀察網路被入侵,做到攻擊行為追蹤或是發現新攻擊模式。
只是,早期Honeypot主要放在網際網路去收集資安情資,通常也缺乏集中控管的機制,隨著後續不斷演進,特別的是,自2016年以來,市場上開始出現主打欺敵(Deception)平臺的產品,部署於企業內部網路環境。
同時,關於誘餌手法的應用,現在似乎也更常見於資安應變的處理方式,以及產品功能,加上前面提到的MITRE Shield,也正將欺敵相關戰略與戰術手法,做出全面性的歸納與統整,讓防禦者更好觀察與反擊。
顯然,從企業防禦角度來看,使用欺敵技術去干擾攻擊者,也是相當合理的一件事,然而,這樣的誘敵概念,現在的企業防禦與資安產品能如何運用?
誘餌技法成企業防禦新招,資安事件處理也是適合使用場景
對於企業資安防護而言,這類誘敵的技術手法有那些呢?根據MITRE Shield所歸納的技術手法來看,舉例來說,誘餌帳號(Decoy Account)就是一種,這是專門為主動防禦或欺騙目的而建立,可用於使系統、服務與軟體看起來更逼真,而像是誘餌帳密(Decoy Credentials),包括帳號密碼、瀏覽器Token與其他形式的身分驗證資料,可以植入很多位置並加以利用,此外,還有誘餌系統(Decoy System),不論採實體、虛擬或模擬方式,偽裝成防禦者網路上相同的PC、伺服器、IoT與網路設備等,作為攻擊者目標或實驗環境。
值得關注的是,對於這些不同手法的使用,MITRE認為都產生了機會空間(Opportunity space),也就是創造防守者可掌握的優勢,以擁有更多的觀察與互動機會。舉例來說,單以誘餌帳號的技法而言,可以產生4種機會,包括:研究對手並收集有關他們及其工具的第一手資料;布署類似絆索的警報器,當攻擊者接觸網路資源或使用特定技術手法時發出警示;在與攻擊者交戰時拋出誘餌帳戶;進一步引入誘餌資訊、用戶與系統,以影響未來對手的行動。
更進一步,Shield同時整理出使用案例(Use Cases),例如,透過建立誘餌帳號,可讓誘餌系統與網路看起來更加真實,並監視誘餌帳號是否被攻擊者利用,以及可提供內容並鼓勵攻擊者去做其他活動。顯然,上述相關手法是主動式防禦的重要一環,而整個戰略的制定,更是引領企業防禦上的新思維。
當駭客規避了企業防禦滲透至內網,在持續性的監控之下,透過這些手段來混淆攻擊者,引導對方至陷阱、消耗進攻時間,以及確認攻擊手法。
企業防禦可以如何利用這樣的戰術?其實簡單的誘餌技法徒手就能運用。例如,由於攻擊者可能會從一些資安死角下手,因此,無人使用的員工帳號可能是對方目標,反過來看,企業在AD伺服器上建立幾組誘餌帳號密碼,看是否有人嘗試利用這組帳密,將可察覺問題。
對此,曾協助企業處理資安事件的奧義智慧資深研究員陳仲寬表示,誘餌帳號的管理成本稍微低,是實際可採行的作法,他們注意到有少數企業這樣應用,至於更進階的誘餌技術手法,使用的企業則相當少。因此,衍生的管理成本可能是企業考量的面向。
同時,奧義也以他們的自身經驗,說明欺敵手法於資安防護上的應用。例如,在處理資安事件回應(Incident Response,IR)時,為了透過偵測技術瞭解攻擊者的能力,因此他們會在風險可控的情況下,不會將所有惡意程式立即清除,留下一些線索。
而這樣的作法,等於也是採取類似的概念,要讓對方以為還沒被發現,但其實是要監控該惡意程式的行為,瞭解攻擊者採取的行動與入侵的管道,以及分辨攻擊者在環境中已經掌握的資源與資產,而在這樣的過程中,他們也可能為了要讓對方拿出更多手段,像是先清除部分後門,再追蹤攻擊者入侵的源頭,或是當知道有一個高權限帳號已經被攻擊者取得,因此先不刪除帳號,但暗中監控,當駭客下次使用該帳號,就可以察覺對方有所行動。
對於國內業者的應用趨勢,臺灣安侯建業顧問服務部執行副總經理謝昀澤也有關注,他表示,該公司在2017年處理國內重大資安事件時,曾經建議客戶透過容器技術建構Deception,後續對方也採購了相關解決方案,這也意味著國內企業已經應用相關技術,不過,還沒有客戶會主動詢問相關技術。
-%E5%B0%9A%E6%9C%AA%E8%AA%BF%E6%95%B4%E5%B0%BA%E5%AF%B8-1018%E5%B0%81%E9%9D%A2P4(3).jpg)
【欺敵平臺產品近年被研究機構列為新資安技術焦點之一】對於欺敵平臺產品的技術發展,研究機構Gartner在2019年整理出這類平臺架構簡圖,包含各式誘餌的建立與客制化,以及與SIEM、SOAR與其他資安工具的結合應用等,讓外界更好了解欺敵平臺的發展方式。(圖片來源/Gartner)
主打欺敵技術的資安產品前幾年已問世,未來發展值得關注
在企業防禦應用欺敵手法之外,資安產品同樣也在應用欺敵的概念,不論是發展專屬產品,或是在既有資安產品加入欺敵概念的功能或機制。
以專屬產品而言,在2015年後,市場上出現主打欺敵技術的資安新創,研究機構Gartner在2017年關注新技術時,也提及Deception欺敵技術,並指出在企業防火牆內使用這樣的技術,可以讓企業更好檢測出已入侵的攻擊者,提升對於事件偵測的可信度。到了2019年6月,Gartner列出6家發展Deception平臺的廠商,並認為這類平臺在偵測威脅時阻力小,可替代或補強其他偵測技術;另外還有一家Cyber source Data Wellington Research的研究報告,指出該技術領域有18家廠商,其中已引進臺灣的有Attivo Networks、Fidelis與Rapid7。
只是我們發現,主打欺敵技術的資安產品還不算多,目前也還沒看到有國際大型資安業者發展這類欺敵平臺產品。
為何還沒有資安大廠投入?長期研究威脅情資的TeamT5執行長蔡松廷表示,在完整的威脅情資理論中,欺敵本來就是當中的一個手法。他強調,不論是Honeypot或Deception,其實都是會有作用的,但這是有條件的,其代價與管理成本都要能夠適合自己。
對於上述問題,他認為有兩個原因,分別是必要性與技術門檻。
從必要性的角度來看,他用了一個簡單的例子來比喻。以一臺汽車而言,安全配備有很多種,從安全帶、安全氣囊、ABS煞車,到現在很多高科技的主動安全技術,如果大部分車子的安全帶、安全氣囊與ABS煞車都還沒完備,高科技主動安全是不會被使用的。回到欺敵技術來看,這種技術就好比是第二道或第三道防線,但若大部分企業可能第一道防線都還沒完整的情況下,是不會使用欺敵技術的。而且,Deception若帶來更多的管理負擔還有誤判,更需要有團隊去處理。因此,這類產品的必要性居次,並受到企業採購成本、管理成本影響。雖然國外新創已發展專屬欺敵平臺產品,若以資安預算投入先後順序考量,蔡松廷認為可能現在市場還太小,使得資安大廠還未投入。
其次是技術門檻,新進業者要能設計讓駭客能相信都是真的系統、服務、環境,並開始動作,有其難度,加上每個企業環境都不一樣,很難做一套產品就通通都適用。因此,從擬真度、誤判與被繞過的因素來看,是要切入此領域廠商需要面對的問題。
再從國際上已經成功發展專屬欺敵平臺產品來看,這類產品已經具備哪些特性?以Attivo Networks為例,他們已建構集中式控管的欺敵平臺,宣稱能快速建置大量高擬真的各式網路資產誘餌,並使用AI技術學習內網配置與狀態來部署誘餌,具有系統客製化與高迎擊能力,以創造攻擊者無法區別誘餌和真實裝置的環境,使對方遠離企業真實資產,主動誘使他們在欺敵環境中活動,能夠大幅提升EDR的威脅偵測效能。
不過,各家廠商欺敵平臺的技術不一,如何能在成本面與技術面取得市場認同,將是持續關注的焦點,可望能為企業帶來更進階的防禦手段。
另一我們關注焦點,由於欺敵技術在橫向移動的偵測上,可帶來不錯的效果,只是發現異常後,還是要通知EDR、SIEM等設備來處理與阻擋,因此,未來欺敵平臺產品是否可能被其他資安產品整合?TeamT5蔡松廷表示,他認為會,是有這個可能。而我們則是看到市場上已有例子,像是Rapid7推出的InsightIDR,近年就強調加入了欺敵的技術。
-%E5%B0%9A%E6%9C%AA%E8%AA%BF%E6%95%B4%E5%B0%BA%E5%AF%B8-1018%E5%B0%81%E9%9D%A2P4.jpg)
【將欺敵概念應用在資安產品有多種使用方式】對於欺敵概念在資安防禦的應用,資安廠商奧義智慧提出了一個不同的使用面向,是欺騙勒索軟體這臺主機已被加密,達到「數位疫苗」的效果,這原是他們去年底在鑑識過程中所採取的策略,現在,他們將針對每年主流的勒索軟體設計專屬疫苗,並內建為產品的防護功能。(圖片來源/奧義智慧)
現有資安產品正同樣看重欺敵帶來的效果,用於強化防護的一環
不僅如此,以現有資安產品而言,誘餌欺敵的作用同樣受重視,各廠商的切入點可能也有很大的差異。例如,有些從網路安全產品跨入,有些廠商從端點安全產品,並還有更多的使用面向,可能是大家沒有想到的應用面。
奧義智慧叢培侃舉例,去年底他們處理國內一起勒索軟體攻擊事件,過程中,由於攻擊者已經發動好幾波攻擊,並且會設置定時炸彈,也就是在指定時間執行勒索加密,因此他們設計了「數位疫苗」,以緩解勒索軟體的危害。
特別的是,這個數位疫苗其實就是一種欺敵概念的應用。他解釋,由於他們分析該勒索軟體的運作,會檢查主機上的某些資訊,因此,他們派送的數位疫苗,就是先在這些檢查的位置上,設下類似標籤,目的是讓勒索軟體誤以為已經加密過這臺主機。
原來,這個數位疫苗的概念並非是產生抗體,而是偽裝成已經被感染,進而達到與疫苗相同的效果。而這樣的誘騙概念,其實有如電影「末日Z戰」的情節,讓受病毒感染的人形殭屍,最後誤以為主角不是攻擊目標而繞過。因此,這與其他複製誘餌檔案於資料夾前後,一旦發現被勒索加密的使用方式不同。
叢培侃表示,當時的應用是特殊任務導向,現在,他們已經準備要針對每年主流的幾支勒索軟體,設計這樣的數位疫苗,並成為產品內建防護機制。
此外,關於其他資安產品的應用,聚焦端點控管與資料防護的精品科技,也在關注偽裝欺敵找出內部威脅來源。
該公司專案經理陳育徽表示,一般的資安事件警告,比較難分辨出企圖,而誘餌可能是依劇本設計後針對性投放,被觸發就代表著某種企圖行為發生,若搭配其他資安防護產品,如果可以在特徵上及記錄內容透過標籤方式區分真假,可過濾掉不必要資訊。而他們也在嘗試,在端點利用File Generate Algorithm產生檔案,目前實驗結果確實能誘發勒索軟體破壞誘餌。
從上述資安產品的應用來看,雖然僅是幾個例子,但已經突顯了誘騙、欺敵的概念,確實在近年持續受到關注,並且同樣可以在防禦上發揮作用。
綜合而言,面對攻擊者入侵,各式誘騙、欺敵的技術手法,不同的使用方式,甚至建構企業主動式防禦的戰略,除了可以做到更多的監控、混淆對手,甚至引導或誘使攻擊者前往陷阱,也更容易可以發現攻擊者的意圖,而在模擬真實生態系統的發展之下,若是環境夠擬真並具有與駭客互動能力,未來攻擊者入侵時,防守方將更有能力察覺對方、牽制對方與影響對方的入侵行動。
相關報導請參考
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-03
