新“三十六计”之蜜罐诱骗防御
通过消耗攻击者的资源减少网络攻击威胁
常规的网络安全防护主要是从正面抵御网络攻击,虽然防御措施取得了长足进步,但仍未能改变网络空间“易攻难守”的基本局面。近年来发展的“蜜罐诱骗防御”则提出了一个“旁路引导”的新理念,即通过吸纳网络入侵和消耗攻击者的资源来减少网络攻击对真正要防护目标的威胁,进而赢得时间以增强防护措施,弥补传统网络空间防御体系的不足。
与战场上有意设置假阵地相仿,蜜罐诱骗防御是主动利用安全防御层级较低的计算机网络,引诱各类网络攻击,监测其攻击手段和属性,在真正需要做防护的目标系统上设置相应防御体系,以阻止类似攻击。蜜罐可分为两种类型,即产品型蜜罐和研究型蜜罐。前者主要目的是“吸引火力”,减轻防御压力,后者则为研究和获取攻击信息而设计,堪称情报搜集系统,不仅需要网络耐攻击而且力求监视能力强大,以最大限度捕获攻击行为数据。
美军除了建立由灰网、黄网、黑网、绿网4个子网络组成的虚拟网络环境攻防实验室外,还在国际互联网上精心部署有蜜罐诱骗系统。可以肯定的是,基于诱骗的网络防御思想将被进一步重视,实现诱骗的技术途径也将会越来越多。
新“三十六计”之联动协同防御
整合多种防御技术“拒敌于国门之外”
目前的安全防护设备和防御技术大都是“各自为战”,网络防护节点间的数据难共享,防护技术不关联,导致目前的防御体系是孤立和静态的,已不能满足日趋复杂的网络安全形势需要。美国“爱因斯坦计划”最初的动因就在于各联邦机构独享互联网出口,使得整体安全性难以保障。通过协同联动机制把网络中相对独立的安全防护设备和技术有机组合起来,取长补短,互相配合,共同抵御各种攻击,已成为未来网络空间安全防御发展的必然选择。
联动协同防御是指利用现有安全技术、措施和设备,将时间上分离、空间上分布而工作上又相互依赖的多个安全系统有机组织起来,从而使整个安全系统能够最大程度地发挥效能。纵向上,是多个安全技术的联动协同防御,即一种安全技术直接包含或是通过某种通信方式链接另一种安全技术。如美国海军网络防御体系采用的“纵深防御”机制,针对核心部署层层防护措施,包括基于标志的攻击检测、广域网安全审计、脆弱性警报等,攻击方须突破多个防御层才能进入系统,从而降低其攻击成功率。当系统中某节点受到威胁时,能够及时将威胁信息转发给其他节点并采取相应防护措施,进行一体化调整和部署防护策略。
昔日的单兵作战已不能适应当今网络安全防御的需要,联动协同防御将跃升为网络安全领域的主流。整合多种防御技术,建立有组织性的防御体系,“拒敌于国门之外”才能有效防患于未然。
