安全路透社
当前位置:安全路透社 > 网络转载 > 正文

YY安全中心的“蜜罐技术”应用实践

蜜罐技术不是一个新概念,威胁情报概念的流行已有数年时间,在过去三年RSA信息安全大会演讲关键词可以看出,“Threat”和“Intelligence”正成为大家关注的焦点。进入2017年以来,威胁情报呈现爆发式的增长,各类威胁情报公司及情报共享平台掀起盖头走到大家面前。 斯皮尔伯格在2002年执导的少数派报告一戏中,利用人工智能预测并抑制未发生的潜在犯罪,尽管离现实仍有一段距离,但相关理念在企业安全领域中正得到流行。

封面.png

YY安全中心在与黑产持续对抗的经验中,深刻领会到威胁情报潜在的巨大价值,打造围绕自身业务的威胁情报体系。《孙子兵法》有云知己知彼,百战不殆 ,对情报的重视古已有之,YY安全中心在打造情报体系的实际操作中,发现企业安全情报与传统军事情报方法论差异较大,具体表现包括:

1.     收集力度的差异:国家或政府机关作为行政机构,具有一般企业不可比拟的资源;相较而言,企业收集手段相对匮乏,也缺乏协同单位或机构的支持;

2.     收集渠道的差异:传统情报由于针对目标明确,可采用包括但限于线上/线下,技术 /非技术等多种渠道方式,如常见的“线人”、“卧底”等手段;而企业由于各种条件所限,防御目标不明确,多以网络技术手段方式获取为主;

3.     分析方法的差异:由于企业主要通过线上技术的方式获取情报,如何自动、智能化分析海量线上信息成为企业安全情报的主要课题。

图:蜜网部署

蜜网部署

前面谈到,基于企业信息安全防护自身特点,往往无法预先定义攻击者轮廓特征,正向情报收集将面临效益少、命中率低的问题,且缺乏足够的恶意样本比对分析。通过部署蜜网可以有效解决上述问题。YY安全中心蜜网系统在开放网络下部署启用多台蜜罐,每台蜜罐当中部署数种服务,如http, ftp, dns, ssh等,该类服务通常内嵌有明显漏洞,如匿名登录或知名的0day漏洞等,诱导黑客攻击者利用,并通过fake脚本与攻击者进行一定程度的交互。在安全内网中搭建蜜罐统一管理和分析,实时或异步的方式分析蜜罐日志,提取威胁情报并与已有安全体系对接,更新有关策略与知识库,形成一个关于安全策略持续更新学习的闭环。

图:蜜罐收集IP

蜜罐收集IP

图:YY安全中心IP画像服务检索结果

YY安全中心IP画像服务检索结果

图:黑产IP针对不同服务、端口攻击连接记录

黑产IP针对不同服务、端口攻击连接记录

图:收集的恶意文件样本

收集的恶意文件样本

图:多引擎检测判断

多引擎检测判断

随着YY安全中心蜜罐网络的试运行,攻击样本的逐步积累,成本效益比值得肯定,收集了数量可观的恶意IP及恶意文件样本,在入侵防御体系,机器人外挂对抗体系已经取得了很大的价值,进一步结合机器学习方法,有望更高效率自动生成拦截策略及审计策略。要进一步发挥威胁情报的作用,蜜网仍有许多优化工作可持续开展:

  1. 蜜罐的选取应具有代表性,包括选取不同地理位置、不同运营商等;

  2. Banner多使用有吸引力的名称及术语,如userdata、traderecord等;

  3. 打造高交互性的UI,如希望获取自身业务0day还需要搭建仿真业务系统

最后,蜜罐传达的是一个概念,而不仅是一个系统,埋点的思想可以应用在多个维度,多个层次,如真实系统当中引入“蜜表”、“蜜链接”等。

*本文作者:yysecurity,转载请注明来自 FreeBuf.COM 

未经允许不得转载:安全路透社 » YY安全中心的“蜜罐技术”应用实践

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册