欺騙性技術如何幫助企業(yè)網(wǎng)絡安全

    著名網(wǎng)絡專家表示，面對反復嘗試入侵網(wǎng)絡的網(wǎng)絡罪犯，大型企業(yè)倍感受挫，而且他們又無法主動出擊，但是，這些企業(yè)可以通過建立積極的防御，讓攻擊者的攻擊變得更加困難。

    安全工程公司CyberPoint國際實務董事總經(jīng)理PaulKurtz表示，反擊技術(包括欺騙)可以對網(wǎng)絡罪犯產(chǎn)生巨大的影響。最近在2012年云安全聯(lián)盟大會的討論組中，Kurtz談到了如何更好地保護知識產(chǎn)權和關鍵基礎設施。在SearchSecurity.com的采訪中，他還談論部署欺騙性技術的可行性，并描述了相關環(huán)境的樣子。

    “這并不是萬能的，但這能夠調(diào)整我們的"應戰(zhàn)"姿態(tài)，擁有一個良好的自我意識感，同時采用欺騙性的做法來甩開對手，”Kurtz表示，“我并不主張大力地回擊，其實很多大型企業(yè)已經(jīng)厭倦了這種回擊�！�

    作為主動防御策略的倡導者，Kurtz擁有多年國防和情報收集方面的工作經(jīng)驗。他曾在克林頓政府與布什政府的白宮國家安全委員會(NSC)和國土安全委員(HSC)會擔任高級職位。他在白宮的國土安全委員會是總統(tǒng)和關鍵基礎設施保護高級總監(jiān)的特別助理，他主要負責物理和網(wǎng)絡安全。他曾在白宮國家安全委員會擔任網(wǎng)絡空間安全辦公室國家安全高級主管，他也是總統(tǒng)的關鍵基礎設施保護委員會的成員，他還負責開發(fā)國家網(wǎng)絡空間安全戰(zhàn)略的國際部分。在此之前，他是國家安全委員會跨國威脅辦公室的反恐主管。

    一些專家呼吁使用新技術創(chuàng)建欺騙性環(huán)境來欺騙攻擊者，讓攻擊者更難以入侵關鍵系統(tǒng)和竊取數(shù)據(jù)。這是可行的解決方案嗎?

    PaulKurtz:這是一個非常有趣的領域，企業(yè)技術人員應該認真考慮一下。我更愿意將這種防御稱為基于操作的防御。我們認為，每個企業(yè)都是有生命的會呼吸的物體，不斷有新用戶加入它，以及舊用戶離開它，它還需要應對不斷涌現(xiàn)的新技術-BYOD(攜帶自己設備到工作場所)和云計算等，它不是一成不變的，它總是在不斷變化。同樣，威脅也總是在不斷變化和發(fā)展。當我們整合企業(yè)內(nèi)的技術時，我們需要以安全的方式進行整合。我們需要創(chuàng)造更好的可視性工具和功能以了解我們環(huán)境中正在發(fā)生的事情。

    第三個方面是反擊技術，包括欺騙性技術。當面對很多知道如何入侵你的系統(tǒng)的攻擊者時，我們需要考慮是否安全地進行了整合，是否擁有更好的可視性，我們還需要接受痛苦的管理問題(這也是需要我們完善的部分)。企業(yè)應該創(chuàng)建這樣一個環(huán)境，即在這個環(huán)境中對手不確定他們是否真的得到了想要的東西或者是否已經(jīng)侵入網(wǎng)絡，同時能夠提高對手的攻擊成本。

    當然，與中小企業(yè)相比，大型企業(yè)和政府能夠更好地運用這種方法。我喜歡這種方法的地方就是，它在系統(tǒng)中制造了一些停頓，這讓對手不得不停下來思考，"我真的到達目的地了嗎?我真的得到了想要的東西嗎?"這將真正幫助保護基礎設施和知識產(chǎn)權資產(chǎn)。但這并不是萬能的，它只是幫助我們調(diào)整"應戰(zhàn)"姿態(tài)，擁有一個良好的自我意識感，同時采用欺騙性的做法來甩開對手。我并不主張大力回擊，如果說要回擊，應該是由政府來進行嚴厲打擊，但即使是這樣，也存在一些很大的問題。

    你能舉例說明欺騙性環(huán)境的樣子嗎?

    Kurtz:這不僅僅是設置一個蜜罐(honeypot)，蜜罐有點像觀察環(huán)境。我認為這更像是制造虛假數(shù)據(jù)，讓攻擊者認為他們得到了一些東西，然后陷入圈套，我認為這將有所幫助。然而，現(xiàn)在的情況基本是這樣：當我進入一個網(wǎng)絡時，我就是在網(wǎng)絡中。我們要讓攻擊者停下來，提出這樣的問題：這是一個假標志嗎?我真的得到了想要的東西嗎?還是我中圈套了?

    我認為存在這樣一種運行網(wǎng)絡的方式，即你可以在你自己的網(wǎng)絡內(nèi)部運行操作來檢測攻擊者。企業(yè)將會與解決此類問題的政府建立有趣的關系，但現(xiàn)在，我并不主張這樣做，不主張與政府共享所有信息。我的意思是，要像大型企業(yè)一樣進行創(chuàng)造性的思考，我們面對著很多有趣的人，他們有著有趣的經(jīng)驗，我們很難判斷誰是壞人。

    所以，企業(yè)應該想清楚怎樣甩開壞人。我并不主張大力回擊，其實很多大型企業(yè)已經(jīng)厭倦了這種回擊。他們想要回擊，而我不希望主張回擊，實際上，在你扣動扳機進行射擊前，還存在很大的思考空間。

    這聽起來有點像移動目標防御

    Kurtz:在幾年前，出現(xiàn)過很多關于移動目標防御的討論。事實上，我們在這里討論的方法超越了移動目標防御。我更喜歡回到我們能做什么。我認為，企業(yè)、政府和供應商本身面對的威脅都大于他們目前的防御水平。我們需要創(chuàng)建工具、可視性和技術來更好地對付威脅。當我想到移動目標防御時，它是調(diào)整姿態(tài)，其中部分還涉及創(chuàng)建一個環(huán)境，讓壞人以為他到達目的地，但其實不然。我認為我們應該探索和創(chuàng)造這方面的一些功能。

    政府能夠幫助解決這個問題嗎?

    Kurtz:美國國家安全局能夠看到美國外部網(wǎng)絡外部發(fā)生的事情，這讓他們見證了很多。但接下來的問題是，他們看到了什么呢?他們看到了內(nèi)容或者惡意軟件嗎?我們知道，通過防病毒軟件和各種引擎，能夠幫助我們找出惡意軟件。聯(lián)邦政府(特別是國家安全機構)能夠更好地了解全球網(wǎng)絡正在發(fā)生的事情。國家政府機構則受到更大的挑戰(zhàn)。我認為通過創(chuàng)新技術、可視性、程序和戰(zhàn)術，我們可以讓攻擊者面對更為復雜的環(huán)境，而不一定要等政府來實現(xiàn)這一點。

    聯(lián)邦立法在短期內(nèi)對網(wǎng)絡安全有重大影響嗎?

    Kurtz:我并不是對政府失望，但我不認為在短期內(nèi)我們能指望政府采取行動。我也很擔心政府采取宏觀的方式來行事，試圖一次性解決很多問題，要知道，這不可能實現(xiàn)。政府如果試圖通過綜合法案來解決所有問題，這是行不通的。我們需要仔細研究問題的本質(zhì)，以不同的方式來思考如何防御。

    關鍵基礎設施保護和保護關鍵網(wǎng)絡的問題能夠真正解決嗎?

    Kurtz:網(wǎng)絡安全給我們這個時代帶來最大的知識產(chǎn)權挑戰(zhàn)，這是我們前所未見的，它是如此復雜、如此多層化。我們不斷地尋找最終的"靈丹妙藥",但這可能歸結于痛苦的管理問題。最終我們將需要創(chuàng)建一個環(huán)境來管理這種痛苦，我們不要再用非白即黑的方式來討論阻止攻擊和抵御攻擊。我必須接受我的網(wǎng)絡存在的問題，我需要收集盡可能多的情報來幫助我快速管理這些問題。這并不像舊的FISMA環(huán)境-我每年進行一次認證，就能確保我的安全。那些日子已經(jīng)一去不復返了。