近日,NCSC最近在倫敦總部首次召開了大會,邀請國際政府合作伙伴、政府部門以及更廣泛的企業(yè)共同參與,討論網(wǎng)絡(luò)欺騙技術(shù)(蜜罐)在國家網(wǎng)絡(luò)安全防御中的作用。
之所以舉辦此次活動,也是因?yàn)镹CSC越來越認(rèn)識到,在某些情況下使用網(wǎng)絡(luò)欺騙技術(shù)和技巧來提升網(wǎng)絡(luò)防御的巨大潛能。在主動網(wǎng)絡(luò)防御2.0的框架下,NCSC通過大規(guī)模部署蜜罐技術(shù),建立一個(gè)包含實(shí)際案例和數(shù)據(jù)的證據(jù)庫。即這是一個(gè)建設(shè)“國家級規(guī)模”的蜜罐部署計(jì)劃。
實(shí)現(xiàn)方案
在實(shí)際落地過程中,NCSC主要采用以下兩種技術(shù)和解決方案:
1.低交互解決方案,包括數(shù)字絆線、誘餌令牌等,用于在所有組織部署時(shí)警告未授權(quán)訪問;
2.低交互和高交互蜜罐,用于在互聯(lián)網(wǎng)規(guī)模上以及作為離散實(shí)例收集威脅情報(bào),由具有成熟安全運(yùn)營能力的組織以及托管網(wǎng)絡(luò)安全服務(wù)提供商部署;
NCSC指出,盡管在討論中,“欺騙”這個(gè)詞可能會讓一些人感到不舒服,盡管在軍事和其他情境中有更廣泛的網(wǎng)絡(luò)欺騙定義,但它們與我們在這里所指的技術(shù)不同。
當(dāng)我們在網(wǎng)絡(luò)安全背景下使用這些術(shù)語時(shí),“欺騙”的含義是:
絆線:旨在通過與威脅行為者互動來檢測威脅行為者的組件和系統(tǒng),從而揭示他們在環(huán)境中的未授權(quán)存在,例如誘餌令牌。
蜜罐:旨在允許威脅行為者與之互動的組件和系統(tǒng),從而觀察他們的技術(shù)、戰(zhàn)術(shù)和程序,以及他們使用的能力和基礎(chǔ)設(shè)施,目的是收集網(wǎng)絡(luò)威脅情報(bào)。
面包屑:在系統(tǒng)中分布的數(shù)字工件,誘使威脅行為者與絆線、蜜罐互動。
雖然還有更加廣泛的融合方法和行為來實(shí)現(xiàn)上述“欺騙”效果,但NCSC認(rèn)為這些方法和意圖超出了網(wǎng)絡(luò)安全用例的范圍。
初級目標(biāo)
NCSC鼓勵(lì)在英國范圍內(nèi)的政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和其他組織中部署低交互和高交互蜜罐解決方案。這些解決方案將覆蓋IPv4和IPv6網(wǎng)絡(luò)環(huán)境,以及內(nèi)部網(wǎng)絡(luò)和云環(huán)境。
就目前而言,NCSC指出至少要實(shí)現(xiàn)以下目標(biāo):
1.在英國互聯(lián)網(wǎng)上的低和高交互解決方案實(shí)例達(dá)到5000個(gè),覆蓋IPv4和IPv6;
2.內(nèi)部網(wǎng)絡(luò)中的低交互解決方案實(shí)例達(dá)到20000個(gè);
3.云環(huán)境中的低交互解決方案資產(chǎn)達(dá)到200000個(gè);
4.部署的令牌達(dá)到2000000個(gè)。
通過與各組織合作,NCSC將收集蜜罐捕獲的數(shù)據(jù),并進(jìn)行分析,以了解攻擊者的行為和趨勢。為實(shí)現(xiàn)上述目標(biāo),NCSC將與政府、行業(yè)和研究機(jī)構(gòu)建立緊密的合作關(guān)系,共同推動網(wǎng)絡(luò)欺騙技術(shù)的發(fā)展和應(yīng)用。
預(yù)期成果
通過大規(guī)模部署和數(shù)據(jù)收集,NCSC將形成一個(gè)包含大量實(shí)際案例和數(shù)據(jù)的國家級證據(jù)庫,以此解答以下三個(gè)核心問題:
• 部署欺騙技術(shù)在發(fā)現(xiàn)組織內(nèi)部潛在安全風(fēng)險(xiǎn)效果如何?
• 部署欺騙技術(shù)在持續(xù)發(fā)現(xiàn)威脅行為者新的安全風(fēng)險(xiǎn)方面效果如何?
• 在國家層面通過這些欺騙技術(shù),是否會導(dǎo)致威脅行為者的行為出現(xiàn)變化?
毫無疑問,NCSC的國家級蜜罐計(jì)劃是一個(gè)雄心勃勃的項(xiàng)目,旨在通過大規(guī)模部署網(wǎng)絡(luò)欺騙技術(shù)來提升英國的網(wǎng)絡(luò)安全防御能力。通過評估網(wǎng)絡(luò)欺騙技術(shù)的效用,各組織將能夠更好地了解其安全態(tài)勢,并采取相應(yīng)的防御措施。如果該計(jì)劃能夠成功影響威脅行為者的行為,那么這將是網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重大突破。
參考來源:https://www.ncsc.gov.uk/blog-post/building-a-nation-scale-evidence-base-for-cyber-deception
來源:安全圈