桑迪亚国家实验室的研究人员为蜜罐技术再添新贡献,通过创建整套虚拟环境套住黑客以观测其行动和秘密花招,让蜜罐这一用于诱捕黑客的隔离网络能够在不危及企业真实运营网络的情况下摸清黑客的攻击路数。
该系统名为高保真自适应欺骗仿真系统( High-Fidelity Adaptive Deception & Emulation System ),首字母缩写为HADES,正好是冥王哈迪斯的名字,可谓非常形象。HADES的主旨在于提供欺骗环境并推进欺骗活动以梳理正在进行的攻击的相关情报和特征码。
技术层面上看,HADES利用了云技术,特别是软件定义网络和虚拟机自省技术,可将被攻击虚拟系统从生产网络快速转移至去除了敏感数据的高保真虚拟版网络副本。HADES可将该虚拟机的状态迁移到网络的其他部分并开始模拟其周边环境。
在入侵者毫无所觉地探测该沙箱网络时,分析师就可以观察入侵者的行动,获悉他们的目标和所用攻击工具。可以观察对手的行为,重构防御工具,即时发展自身智能。
即便黑客最终发现自己是在沙箱中操作,因为不知道是何时被移出真实网络的,也就不清楚自己收集的数据到底有多少是真实的。HADES的目的就是要让攻击者产生疑虑。即便拿到了什么东西,到底是真的还是假的?对攻击者而言最恐怖的事,就是“世界还是那个世界,但发生了改变”。
但是,HADES并未取代攻击检测工具。事实上,虽然HADES也提供入侵检测工具,但却是利用了第三方应用。HADES提供了灵活的应用程序编程接口来与这些工具互动。
HADES首次部署是在2017年,至今仍在不断开发完善中,并在少数部署中进行测试。据称佛罗里达理工学院已部署了HADES,该平台的几个方面还被秘密部署在政府和学术界某些保密单位中。
本文转自安全牛,作者:nana,
原文链接:https://mp.weixin.qq.com/s/Ua8fTfHTZeNzMMsPG_Xgog