云上好看,邀君入"罐"
从蜜罐说起
提到蜜罐,想必大家都很熟悉,在网络安全领域,蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
形象类比就像是为了防止老鼠偷家里的粮食,在家中布置的老鼠夹,通过放置美食用以诱使老鼠自投罗网这样的一种防御方法。
蜜罐技术诞生时间很长,早到可以追溯到小何还在玩泥巴的时代,但这些年来,蜜罐在实际环境的应用却非常有限,在市场上问一圈,每家厂商都部了WAF,但却很少有厂商部署蜜罐,这是为什么呢?
难道咱们中国人遵从孔孟之道,只愿正面与黑客硬刚,不喜欢背后“玩阴的”?
自然不是,这里讲个小故事来谈谈蜜罐技术在实际应用中的一些困惑。
运维工程师“赵铁柱”在环境中布置好一套蜜罐环境后,因为业务的变迁与技术的变化,蜜罐环境变得不再适用,而这套蜜罐诱饵也难以跟随日益出现的新漏洞推陈出新。
过了一阵子,公司出现安全事故,领导视察一看,界面上告警全是0,大怒,痛批“铁柱”不干实事儿。
可无论是更新诱饵还是迁移环境,都意味着需要重新搭建一套完整的漏洞环境,浪费资源不说,还费时又费力,搞不好过一阵子又要重弄。
铁柱心想:我“赵·机房守卫者·Linux运维之王”又不傻,在机房摸鱼不开心吗,为啥要折腾这样的蠢事儿,还要挨领导批。一怒之下将蜜罐环境下线。
因此,业务的频繁变更与技术更新,对于高度依赖环境的传统蜜罐来说,是件很头疼的事。每一次的变更,都意味着要对当前环境进行大改。同时,因为传统蜜罐的部署通常与业务分离,诱饵不易被攻击者发现,缺乏流量导入,因此也很难对攻击者进行有效的诱导。
翻译成互联网黑话就是:流量入口都没有,怎么生态化反,怎么窒息?
而这些问题,也造成了蜜罐如今“食之无味,弃之可惜”的现状,那么我们是否能够想想办法,把它磨光锃亮,镶上宝石,让这柄宝剑重新焕发出生机与活力,继续对抗恶龙呢?
云原生架构带来的可能性
自容器技术出现以来,因其相对传统虚拟化技术的优势,加之docker、k8s等现象级工具的出现,大大降低了容器使用门槛,也让其受到了大众的广泛喜爱。容器技术的特性,叠加当前互联网业务高速迭代的需求,进而诞生了云原生架构,随着近几年来技术与理念的不断完善,云原生化已经成为了未来互联网的重要趋势之一。
如果要找云原生的关键词,我们能想到的关键词有哪些呢?“微服务、容器化、轻量、弹性、持续交付”,一堆堆的名词出现在了小何的脑海中。
回过头来,站在网络安全的角度,我们可以思考:
既然业务能弹性,蜜罐是否也能弹性呢?
既然业务能轻量,蜜罐是否也能轻量呢?
既然业务被拆成了各个微服务,蜜罐是否也能变成微服务,进而混入其中呢?
答案都是Yes,可以与上面我们总结出的传统蜜罐劣势对比,会发现,云原生架构完美弥补了传统蜜罐的几项重大缺陷,让灵活变化、动态迁移、与业务高度融合的蜜罐模式成为了可能。
- 轻量化的容器技术解决了蜜罐对系统环境的依赖与资源的浪费
- 灵活的编排模式解决了蜜罐网络位置难以迁移的问题
- 开放的镜像社区解决了蜜罐诱饵难以维护、难以更新的问题
- 分散的微服务的模式让蜜罐可以混淆在业务Pod中与业务深度融合
主动防御与云原生安全
回过头来,我们看看安全对抗的现状,其实无论是各种安全事件,还是国家护网,一个很明显的特点就是,网络安全的对抗已进入白热化,攻击专业化、规模化是大趋势,同时,新的防御理念如雨后春笋般出现,而主动防御,作为新的攻防态下诞生的安全理念,也逐渐开始为大家所熟知。
顾名思义,主动防御就是在入侵行为对信息系统发生影响之前或过程中,主动的对攻击进行预警,进而提前发现攻击行为,避免、转移、降低信息系统面临的风险,而新的蜜罐技术,就是这中间不可或缺的一环。
什么?你说这不就是蜜罐吗?又编新词来忽悠,那各种(ABCDE…N…X)DR是怎么回事, AR都能叫做元宇宙,我新型蜜罐叫主动防御有什么问题?
特别是APT攻击、0day攻击日益剧烈的当下,传统防御技术已经趋于极限,很难在防御上更进一步,但安全没有银弹,总有攻击者能够绕过边界防御抵达内网。
我们必须承认,再好的拦截手段,都有其能力边界,而我们需要从更多的维度与攻击者对抗,化被动为主动,欺骗攻击者,就是其中一个重要的维度,这也是网络安全发展这么多年,传统蜜罐虽然面临种种缺陷,却依然顽强存在的重要原因之一。
在当今云原生的浪潮下,诸如API安全、镜像安全、密钥安全等新的安全挑战也在不断出现,蜜罐将会以全新的架构,结合传统防御技术,结合威胁情报,以“主动防御”之名,成为云原生安全的左膀右臂,焕发出全新的生命力。
了解更多云原生安全干货知识,欢迎关注我们的同名公众号&视频号,长期分享技术文章!