目前并没有很理想的技术来保护内网安全。这也是他联合一哥,还有另一只神兽黑客 CP 创建锦行科技的原因。这些“老奸巨猾”的“神兽”们,提出了一种全新的内网防护策略——开门接客。
为黑客“造梦”的幻云
“开门接客”并不是放弃防护投降。恰恰相反,是接受黑客可能突破边界防护的事实。但是,当黑客历尽艰辛终于攻进内网,踏入的却是早已备好的“盗梦空间”。
这个盗梦空间名为“幻云”。
幻云的基本原理是:模拟出和企业真实情况极其相似的内网环境,让黑客在这个“盗梦空间”里打转,自以为正在一步步获取目标信息,接近想要的内容。而实际上他的一举一动都暴露在幻云的监控下。
这个逻辑听上去简单而解恨。但是,黑客来犯的目标肯定是企业的真实内网,如何保证黑客一定会踏进幻云的陷阱中呢?
老王给雷锋网宅客频道举了一个例子:
黑客就如同入室盗窃的小偷。如果他进入一幢房子,里面有五扇门。他没办法判断哪个门后藏着想要的东西。事实证明,如果我是那个小偷,我会从我最容易打开的那把锁开始攻击,然后寻找是否有暗门、窗户等等其它通道进入别的房间,就算没有,也可以开辟一条进入别墅的通道,从而不必每次从大门出入,站稳脚跟之后再来判断周围的环境。
实际上,幻云在真实的内网系统部署了多个“捕兽夹”。这些捕兽夹都是有经验的黑客在进攻中非常感兴趣的节点。只要黑客踩到任意一个兽夹,之后他所有的进攻都会被静静地引流到位于云端的幻云中。接下来,黑客的所有攻击行为都不会对真实系统有任何影响。我们可以坐在屏幕前,看这只困兽如何一步步暴露形迹。
整个过程中,诱导黑客踩中捕兽夹,成为了问题的关键。
捕兽夹只是一个工具,而问题的关键是把捕兽夹放在什么位置。只有对猎物了如指掌的猎手才能把兽夹放到猎物的必经之路上。而这时,需要的就是老王这样的黑客前辈的经验。
锦行首席运营官 Oscar 如此解释幻云的独门绝技。
Oscar 曾经担任腾讯安全平台不品牌运营及对外合作团队负责人,曾在腾讯内部和黑产斗争多年,他深知用好这样的捕兽夹对于打击黑产黑客有多大的意义。
【幻云的主要功能】
“黑客意图”——无价之宝
感知到黑客入侵固然重要,但是,判断黑客的意图同样重要。Oscar 说,幻云系统不仅可以再现黑客攻击的所有步骤,还可以根据黑客的行为判断黑客的下一步意图。
了解对方意图有多重要呢?他举了一个有趣的例子:
小时候我不喜欢写作业,爸爸为了防止我一个人在家的时候偷看电视,进行了“关键节点对抗”——每天他出门时,都把那根闭路电视线装在包里带走。
但是,他不知道我的真正目的其实是打游戏。每次他一出门,我就用游戏机连接电视打游戏,而在他回来之前,我会把游戏机物归原处。包括游戏卡的叠放顺序,游戏机盒子的角度都丝毫不错。我还会用湿毛巾为电视机降温,销毁电视机曾经工作的证据。
你看,不知道对手的意图有多可怕。
幻云产品总监胡鹏讲述了一个真实案例。
某公司被黑客入侵,但是黑客只对 VPN 登陆的信息感兴趣,并且仅仅盗走了这部分信息。看起来这对于公司并没有实质性的伤害。但后来的调查表明,这家公司为其他公司提供服务,而这些 VPN 登陆信息,正好和它的服务对象相关。结果证明,黑客的真正攻击对象是这家公司的客户。对于攻击者来说,拿到这些数据就足够了。如果没有对于黑客真实意图的判断,那么另一家公司已经陷入了危险之中。
幻境或是雷区
严格来说,幻云的最小粒度是一个个蜜罐,而蜜罐之间相互联系组成蜜网,而蜜网层叠形成蜜场。这种蜜场极其致密,以至于黑客无论进行怎样的动作,都能够得到应有的回应。
这就像《黑客帝国》中的场景,只要给人类的大脑输入足够细腻的信号,泡在营养液中的人们,会相信自己正幸福地走在宽敞的街道上。甚至有的时候,幻云并不需要完整地仿制它所保护的系统。
有时,完全和真实系统相同,未必会达到最好的效果,而最好的效果,是模拟一个和黑客想象中一样的系统。
老王的总结意味深长。
实际上,黑客手中并没有那个陀螺,来判断自己究竟在真实世界还是在梦境之中。在这种情况下,故事的发展无外乎会有两种可能:
1、黑客极有可能在幻云中打转,每次觉得自己快要接近目标的时候,就被困难阻拦,曙光在前,却无法挣脱。他使用的所有工具和进攻方法,都被幻云掌握,而真实的系统毫发无损。
发表评论