11-9 誘捕型防禦系統
『誘捕系統』(Deception System)即是製作一部偽裝設備讓駭客攻擊,不但可以從中逮捕入侵者,也可由它的攻擊行為瞭解其攻擊技倆,依此研議出更嚴密的安全防範技術。既然駭客入侵方法是無孔不入,僅利用防火牆阻擋進入是不夠的,還是需要配合入侵偵測系統,找出入侵者的蛛絲馬跡,若是還無法阻擋入侵,乾脆製作一個偽裝系統,引君入甕再將其逮捕。換句話說,我們可以製作一個防護能力較低的偽裝系統,使其成為攻擊目標,不但可以延長攻擊者進入主系統的時間,同時它也提供防禦者足夠的資訊來了解攻擊者;藉由欺騙攻擊者,防衛者提供錯誤資訊,迫使對方浪費時間作無益的進攻,以減弱後續的攻擊力量。而此偽裝系統則稱為『蜜蜂罐』(Honeypot)。
誘捕系統並非新的觀念,許多安全人員與專家試著用各種蜜蜂罐,作為轉移攻擊者的目標,使用蜜蜂罐可達到下列功能:
-
消耗攻擊者時間:攻擊者可能耗費大量時間嘗試刺探及研究誘捕系統,在這階段裡就不會去攻擊真實主機。
-
錯誤安全措施:讓攻擊者對現有的安全措施產生錯誤的印象,對方可能浪費許多時間尋找攻擊蜜蜂罐的工具,但這些工具並無法攻擊真實主機。
-
降低被攻擊可能:如果蜜蜂罐存在的話,可減低真實系統隨時遭受攻擊的可能。
同樣的,蜜蜂罐也有被識破的可能;攻擊者可能將計就計,入侵蜜蜂罐之後,將它視為跳板,再入侵其他真實系統。由此可見,建立蜜蜂罐的誘捕系統並非想像中那麼容易,必須隨時變更蜜蜂罐的組態,以減少被識破的可能。基本上,蜜蜂罐的防禦措施有下列四種型態。(資料來自 IIS 網站)
-
『待宰羔羊』(Sacrificial Lamb):即是在現有的系統上,故意留下容易攻擊的弱點,讓入侵者攻擊,並從中收集被攻擊的資料。基本上,待宰羔羊大多安裝在現有的網路設備上,如路由器或防火牆設施;對攻擊者而言,很難去分辨攻擊目標的真偽,但對防禦者而言,卻是不難捏準的安全措施。
-
『偽裝系統』(Facade):即是偽裝一個與目標主機相類似的假象系統,吸引攻擊者的攻擊目標。一般都是利用軟體模擬某個特定服務或應用程式,每當這個偽裝受到攻擊時,便可收集攻擊資訊。然而,偽裝程度越深,則可收集到的資訊就越完整。
-
『傀儡系統』(Instrumented System):整合待宰羔羊與偽裝系統之技術,建立一個專屬的誘捕系統,即成為傀儡系統,其中包含資料收集、攻擊赫阻、政策式警示、以及企業級管理功能。簡單的說,傀儡系統是一個專家級的誘捕工具,它可能是由一套包含硬體與軟體所構成的蜜蜂罐。
-
『蜜蜂網』(Heneynet):當組織過於龐大時,可能會出現多個被攻擊點,另外,攻擊者也可能以聲東擊西的方式來入侵系統。組織內出現多個攻擊點的情況,多半不是偶發的現象,這些攻擊點多會存在一些關聯性的行為。如此一來,僅憑設立一個或多個蜜蜂罐並不能達到預期效果,需更進一步的整合這些蜜蜂罐,之間互相交換所收集的資料,或互相支援誘捕的功能,即成為『蜜蜂網』的防範措施。蜜蜂網也是屬於專家型的誘捕工具,需有一套功能強大的入侵偵測功能,這也是目前許多網路安全專家研究的對象。
誘捕系統最能表現出爾虞我詐的攻擊與防禦行為,使諜對諜戰鬥觀念在網路上表現得淋漓盡致,因此成為近年來網路安全專家最為熱門的研究課題。
|