欺敵:一種新型態的資安防禦策略探討和應用

作者: 李啟榮 發佈時間:2021-11-19
產業分類: 資訊安全
文章分類: 技能觀測
文章標籤: 資訊安全
瀏覽人數:180

 

在基礎的資安觀念實踐過程中,由於資安防禦能力和預算等限制,通常採取低階、被動、消極的阻絕手段(例:縱深防禦、黑/白名單等等),往往會流失預測、應變、反制資安威脅的先機;近年來資安團隊開始展開化被動為主動的策略,對不同型探的威脅超前部署,其中一個是「欺敵(Deception)」,以誘餌方式來分析威脅來源與途徑,進而做出因應策略、降低威脅影響。

 

欺敵策略之運用概說

強調主動應戰的欺敵策略,有別於半主動的「蜜罐(Honeypot)」誘捕法,除了可以跟蜜罐誘捕法一樣故布疑陣迷惑駭客以外,也能在誘餌上實作主動阻絕措施,斷絕駭客可能的攻擊途徑、增加駭客攻擊成本、爭取防禦方的應變時間,甚至可以藉由駭客殘留的攻擊線索,成為主動反制駭客後續攻擊的手段。

 

欺敵策略的實踐與效益

為因應物聯網、巨量資料、5G、衛星網路等多元聯網方式,欺敵策略藉由普遍實作虛擬機、虛擬硬體等,並結合虛實隔離、內外網隔離等物理手段,除有效阻絕駭客進一步朝核心系統突破外,也能讓駭客踏入誘餌虛擬機的圈套、觸發告警和阻斷機制,保障基礎設施資產和使用者機敏資訊的安全和完整性。

 

小結

所謂道高一尺、魔高一丈,在資安攻防中,攻守雙方都不斷精進各自的技術,並藉由心理戰術來分析和摸清對方的策略和行動,而欺敵策略就是讓比自己更強大的敵人,進入設定好的圈套並予以反制的方式,讓敵人知難而退;另外,為防範不可預測外在威脅,某些機構或企業會實施「紅隊演練」,以「白帽駭客」擔任的假想敵「紅隊」來模擬駭客實際的刺探和滲透,可讓防守方「藍隊」能善用手上的欺敵工具,針對不同威脅的源頭和成因,部署正確的誘餌,達到防微杜漸之效,不讓駭客越雷池一步。

參考來源:

  1. Lance, W. (2020, July 23). Goodbye, honeypots – Hello, true deception technology. Retrieved from Security Magazine: https://www.securitymagazine.com/articles/92903-goodbye-honeypots-hello-true-deception-technology
  2. 羅正漢. (2021年3月31日). 不只攻擊者能網釣誘騙,企業防禦與資安產品也可採取欺敵策略反擊. 擷取自 ITHome: https://www.ithome.com.tw/tech/143480