在不久前結(jié)束的RSAC 2023大會上，谷歌云Mandiant首席執(zhí)行官Kevin Mandia回顧了當前網(wǎng)絡(luò)安全發(fā)展態(tài)勢和挑戰(zhàn)，他在主題演講中表示：盡管企業(yè)組織每年留給網(wǎng)絡(luò)安全的預(yù)算投入一直在增加，但數(shù)據(jù)泄露的威脅卻越來越泛濫，在此背景下，企業(yè)組織需要轉(zhuǎn)變防護思路，化被動為主動。企業(yè)組織除了部署傳統(tǒng)的防范措施和安全工具外，還應(yīng)該采取一些創(chuàng)新的措施來加強防御，去識別那些傳統(tǒng)安全產(chǎn)品無力阻止的入侵或惡意活動。

為此，Mandia給企業(yè)提出了7個改變的建議，而“建立先進的蜜罐防護體系”正是其中之一。蜜罐是一種誘餌系統(tǒng)，用來引誘攻擊者，將他們對實際目標的攻擊誘騙轉(zhuǎn)移到特定的分析區(qū)域。一旦攻擊者與蜜罐進行交互，系統(tǒng)就可以收集攻擊和攻擊者采用的戰(zhàn)術(shù)、技術(shù)和程序（TTP）方面的信息。

雖然蜜罐系統(tǒng)是一種提前跟蹤攻擊者、預(yù)防數(shù)據(jù)泄露的主動安全解決方案，但由于其系統(tǒng)設(shè)置和維護比較困難，目前尚未得到廣泛采用。為了引誘攻擊者，蜜罐需要做得很逼真，并與實際生產(chǎn)網(wǎng)絡(luò)隔離部署，這使得希望構(gòu)建主動式入侵檢測能力的安全團隊很難對其進行設(shè)置和應(yīng)用擴展。

在企業(yè)實際的數(shù)字化環(huán)境中，會大量應(yīng)用許多第三方組件（比如SaaS工具、API和代碼庫）工具，而這些組件通常來自不同的開發(fā)商和供應(yīng)商。這些組件很難被添加到欺騙式軟件構(gòu)建堆棧的每一層，這就會破壞了蜜罐的模擬效果和應(yīng)用目的，因為在當前盛行DevOps開發(fā)模式下，源代碼管理系統(tǒng)和持續(xù)集成管道同樣是黑客們重點關(guān)注的目標和誘餌，而這卻是傳統(tǒng)蜜罐系統(tǒng)難以模仿的。

為了確保蜜罐系統(tǒng)應(yīng)用的安全性和完整性，組織需要采用新的方法，比如新一代的蜜標（honeytoken）技術(shù)。蜜標之于蜜罐就如同魚餌和漁網(wǎng)的關(guān)系。相比于整體的蜜罐系統(tǒng)應(yīng)用，蜜標技術(shù)所需的資源大大降低，但在入侵檢測和攻擊分析方面卻同樣非常有效。

我們可以把新一代蜜標技術(shù)理解成是蜜罐系統(tǒng)的一個子集，旨在看起來如同正規(guī)的憑據(jù)或密文。當攻擊者觸發(fā)蜜標時，會立即發(fā)起警報。這使得安全分析師可以根據(jù)一些所收集的攻擊指標迅速采取行動，比如IP地址（區(qū)分內(nèi)部源頭和外部源頭）、時間戳、用戶代理、起源以及記錄在蜜標和相鄰系統(tǒng)上執(zhí)行的所有操作的日志。

對蜜標而言，需要虛擬生成大量的憑據(jù)和賬號作為誘餌。當系統(tǒng)被入侵時，黑客通常會尋找容易下手的目標來橫向移動、提升權(quán)限或竊取數(shù)據(jù)。在這種情況下，云API密鑰之類的可編程憑據(jù)將是理想的掃描目標，因為它們具有可識別的模式，還常常含有對攻擊者有用的信息。因此，它們是攻擊者在入侵期間搜索和利用的主要目標。這些可編程憑據(jù)也是安全分析師非常容易傳播的誘餌：可以將它們大量放置在云資產(chǎn)、內(nèi)部服務(wù)器、第三方SaaS工具以及工作站的文件系統(tǒng)中。

Mandia認為，目前企業(yè)組織在數(shù)據(jù)泄露事件發(fā)生后的實際發(fā)現(xiàn)時間平均需要327天。而通過在多個位置布置蜜標，安全團隊可以在幾分鐘時間內(nèi)快速檢測到威脅，并對正在發(fā)生入侵進行響應(yīng)。簡單性是蜜標技術(shù)應(yīng)用的最大優(yōu)點，企業(yè)不需要開發(fā)整套的誘騙系統(tǒng)，就可以輕松創(chuàng)建、部署和管理企業(yè)級蜜標，實現(xiàn)對大量的軟件應(yīng)用系統(tǒng)進行主動式保護。

隨著傳統(tǒng)網(wǎng)絡(luò)邊界的不斷模糊，傳統(tǒng)入侵檢測技術(shù)在新一代威脅防護中的作用已經(jīng)大大減弱。但實際上，提高以蜜標為代表的新一代入侵檢測技術(shù)應(yīng)用普及性至關(guān)重要，如何使用自動化技術(shù)在大規(guī)模環(huán)境下部署這項技術(shù)也很重要。

參考鏈接：

https://thehackernews.com/2023/05/why-honeytokens-are-future-of-intrusion.html