写在最前面,本文观点,只代表个人,不妥之处敬请海涵,不喜勿喷
最近一直在研究蜜罐技术,恰巧春节期间上映了一部《满江红》电影,导演给秦桧设置的4层防御措施对我颇有启发,也很感慨--文艺圈的人比安全圈的人还懂安全。见下帖
这让我想起一位大佬的话:打败你的不是对手,颠覆你的不是同行,甩掉你的不是时代,而是你传统的思维和相对落后的观念。恰巧此时,永信至诚的公众号发表了三篇关于蜜罐的文章,从中确实看到了在寻求思维和观念上的转变。特将读后的感觉记录下来:永信至诚三篇蜜罐文章,虽然产品广告内容偏多,但还是从中读出了它的逻辑,我认为是这样的:
❶强调网络安全护卫模式----->❷护卫模式衍生了MTTH----->❸七蜜体打造MTTH的能力
2.思维和观念的转变
蜜罐技术早在20世纪90年代就被提出了,那时,中国的第一代网络安全公司才刚刚起步。但其真正被市场重视,还要归功于近几年开始的国家级攻防演练活动。从其第一篇文章里面,我已经嗅到了一丝丝要转变业界对蜜罐作为辅助安全产品的看法,果然在第二篇就提到了不能仅作为入侵检测的技术手段,要利用蜜罐技术来护卫真实业务系统,迟滞攻击者的攻击。我们知道网络攻击无时无刻不在发生,所以,我们需要转变传统的思维和观念,好好利用蜜罐这一技术,持续进行安全护卫。从内容风格看作者应该是一名产品经理,其在积极思考,在积极寻求市场对蜜罐技术认知的突破,从其划分的“欺骗时代、诱捕时代、检验防御弹性和评估防御强度的时代”可嗅其意。同时,还创造了MTTH(平均入侵迟滞时间)这个评价蜜罐能力的新指标。我个人非常鼓励这种行为,只有网络安全从业者不断思考,大胆创新,才能推动这个行业的进步。基于此文,我更愿意将蜜罐的发展趋势定义为如下几个阶段:
欺骗时代--->诱捕时代--->迟滞时代:
从2023年开始,随着MTTH(平均攻击迟滞时间)概念的诞生,我认为攻击迟滞时代已经来临。攻击迟滞时代,不是对欺骗时代、诱捕时代的颠覆,是时代的递进和增强。欺骗、诱捕不再是目的,而是手段、是过程,迟滞才是目的。3.有料
剽窃一下原文的图:
(引用自原文)结合我对现在市场上的蜜罐产品能力的分析,例如长亭的谛听、默安的幻阵,好像也能往这个上面凑,但是他们还是结合服务来做产品。永信的这个架构,从我看来,是抓住了产品设计的精髓。为什么这么说?大家可以自行找下相关资料,做下比较。永信的这个架构,我很喜欢,摒弃了那种对功能模块进行罗列的方式,但是确又很清晰,很全面。看来这个产品经理没少下功夫。而且他这个架构,对不同技术支撑的产品进行了不同的定义,让我们对这个产品能干的事也很清晰,能干多大的事也很明了。更有意思的是,他们按照“白、橙、蓝、黄、黑”五种谎言色彩对蜜标进行了分类分级,给这个设计点个大大的赞。(引用自原文)
通过这个设计,一下子就让我对蜜标有了全面清晰的认识,也对蜜标能实现的能力和价值有了充分的了解。找时间要去拜访下该产品经理,需要向作者学习!七蜜体这个概念,我只能说总结的太到位了,我最近一直在思考,蜜罐难道仅仅就是一款产品吗?蜜罐技术还有没有更广泛的应用价值?这个七蜜体提的非常好,让我茅塞顿开,所以毫不迟疑的写下这篇有感。在七蜜体中,我最感兴趣的还是蜜境这个概念。在网络安全行业内,态势感知也推出了很多年,但如何才能做到态势感知?如何能够真正的进行威胁感知?我们都知道态势感知平台接收的日志,都是已经发生的日志,那么如何能做到感知?基于已经发生的,来预测下趋势?网络攻击是无规律的,是无时不刻不在发生的,尤其是在面对有组织的国家级网络攻击面前,我们依靠他们已经干的事,去预测他即将干什么事情?那是不太可能的。所以当前的态势感知只能起到对已经发生的事件进行一下统计,只能说明当下的态,根本做不到对势的感,在这个大前提下,做再多的努力也是徒劳无功,南辕北辙。那么怎么能对势做到感,怎么能“知所未见、见所未现”呢?蜜境概念的提出,无疑给了我答案。只有基于事前的,利用”海市蜃楼“的场景,对攻击者进行迷惑,引诱攻击者不断深入蜜境,暴露其动机和技术手段,才能做到真正的威胁态势感知。从事蜜罐技术相关产品研发、研究的组织或者个人,不要让永信至诚的七蜜体成为行业的一个灯塔,希望能够看到更高更广的思路和产品的诞生与落地。
作者: 穹苍经略-夸父
文章来源: http://mp.weixin.qq.com/s?__biz=MzkwNzI0MTQzOA==&mid=2247492860&idx=1&sn=e4db4e15887b1a70ac774031a8335825&chksm=c0de964df7a91f5b02f1e90ab006264ff6de03cbef992e20e364f0031e38432c4bcf5e239b13#rd
如有侵权请联系:admin#unsafe.sh