本文講的是<b>網絡空間欺騙:構築欺騙防禦的科學基石一1.6 網絡空間欺騙鍊與網絡空間殺傷鍊</b>,攻擊者在目标網絡空間中對有價值的資訊實施攻擊時都遵從一個通用的行為模式。攻擊者通常利用的網絡空間攻擊政策,可被網絡空間殺傷鍊或者攻擊周期劃分為6個階段。類似于網絡空間殺傷鍊,網絡空間欺騙鍊并非一直是線性的。每前進的一步都可能是遞歸或者不連貫的。殺傷鍊的一次運作可以模拟一次入侵,但是多重跨越式入侵則是以前一次的入侵結果為基礎,且省略了一些必要階段的(見圖1.5)。類似地,抵賴與欺騙策劃者和網絡空間防禦操作員為了達到他們的目标,會選擇性地實施網絡空間欺騙鍊。網絡空間欺騙鍊同時也可以用于網絡空間殺傷鍊的任何一個階段,且欺騙操作的目的與殺傷鍊的每個階段都息息相關,正如以下假定的抵賴與欺騙政策。
偵察:如果防禦方可以察覺攻擊者偵察的力度,就可在傳遞階段為攻擊者提供為了實作防禦目的而設定的一系列角色和Web足迹。值得注意的是,欺騙操作可被用于影響攻擊鍊中攻擊者将來的行為。
武器化:讓攻擊者對企業機構漏洞、防禦姿态,以及防禦方可抵禦攻擊武器化載荷的能力産生錯覺。如果偵察階段成功,攻擊者将會嘗試給一個或多個自以為真實而實則是虛假的人員角色傳輸武器化載荷。
漏洞利用:識别(攻擊者)對漏洞利用的企圖,可以讓防禦方利用蜜罐環境使攻擊者進行重定向。所謂蜜罐環境就是看似包含了豐富的漏洞資訊的網絡組成部分,實則是防禦方單獨設立,且可以監測的網絡區域。其目标就是隐藏所有可能被“發現”或暴露蜜罐的資訊,以增加攻擊者偵察的時間長度。
控制:當攻擊者擁有了唾手可得的接入權限時,通過給攻擊者提供由抵賴與欺騙策劃者設計的、具有豐富資訊的互動型蜜罐,能幫助防禦方識别攻擊者的動機、意圖和能力成熟度。
執行:通過模拟系統中斷使攻擊者的攻擊步伐放緩,以便于收集網絡空間情報。
維持:通過适時增加和定期去除虛假人員角色資訊以保持高互動性蜜罐環境的真實性,同時還要維持現有人員角色及其“間諜零錢包”,比如檔案、郵件、密碼修改記錄、登入記錄、浏覽記錄等。
這些例子啟示我們,在一次入侵過程中,可能需要不止一種欺騙營運。下面的例子展示了如何通過建構網絡空間欺騙鍊引導攻擊者采用合法憑證這個TTTP實時攻擊。該TTTP的ATT&CK矩陣定義如下:
攻擊者可利用憑證通路技術盜取特定使用者和服務賬戶的合法憑據。被盜取的憑證主要用于繞過各種資源、主機節點、網絡内部,甚至是被持續通路的遠端系統的接入控制機制。被盜取的憑證也可以增加攻擊者在特定系統上,或者是接入限定的網絡區域的權限。攻擊者可以選擇在利用合法憑證進行合法接入時不使用惡意軟體和工具,以增加檢測攻擊存在性的難度。
憑證和權限的重疊增加了網絡的風險,因為攻擊者可以利用合法憑證實作賬号的轉移、接入控制的規避。合法憑證TTP可實作攻擊政策中的持續性、權限提升和防禦規避。
原文标題:網絡空間欺騙:構築欺騙防禦的科學基石一1.6 網絡空間欺騙鍊與網絡空間殺傷鍊
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)