近日,NCSC最近在伦敦总部首次召开了大会,邀请国际政府合作伙伴、政府部门以及更广泛的企业共同参与,讨论网络欺骗技术(蜜罐)在国家网络安全防御中的作用。
之所以举办此次活动,也是因为NCSC越来越认识到,在某些情况下使用网络欺骗技术和技巧来提升网络防御的巨大潜能。在主动网络防御2.0的框架下,NCSC通过大规模部署蜜罐技术,建立一个包含实际案例和数据的证据库。即这是一个建设“国家级规模”的蜜罐部署计划。
实现方案
在实际落地过程中,NCSC主要采用以下两种技术和解决方案:
1.低交互解决方案,包括数字绊线、诱饵令牌等,用于在所有组织部署时警告未授权访问;
2.低交互和高交互蜜罐,用于在互联网规模上以及作为离散实例收集威胁情报,由具有成熟安全运营能力的组织以及托管网络安全服务提供商部署;
NCSC指出,尽管在讨论中,“欺骗”这个词可能会让一些人感到不舒服,尽管在军事和其他情境中有更广泛的网络欺骗定义,但它们与我们在这里所指的技术不同。
当我们在网络安全背景下使用这些术语时,“欺骗”的含义是:
绊线
:旨在通过与威胁行为者互动来检测威胁行为者的组件和系统,从而揭示他们在环境中的未授权存在,例如诱饵令牌。
蜜罐
:旨在允许威胁行为者与之互动的组件和系统,从而观察他们的技术、战术和程序,以及他们使用的能力和基础设施,目的是收集网络威胁情报。
面包屑
:在系统中分布的数字工件,诱使威胁行为者与绊线、蜜罐互动。
虽然还有更加广泛的融合方法和行为来实现上述“欺骗”效果,但NCSC认为这些方法和意图超出了网络安全用例的范围。
初级目标
NCSC鼓励在英国范围内的政府机构、关键基础设施和其他组织中部署低交互和高交互蜜罐解决方案。这些解决方案将覆盖IPv4和IPv6网络环境,以及内部网络和云环境。
就目前而言,NCSC指出至少要实现以下目标:
1.在英国互联网上的低和高交互解决方案实例达到5000个,覆盖IPv4和IPv6;
2.内部网络中的低交互解决方案实例达到20000个;
3.云环境中的低交互解决方案资产达到200000个;
4.部署的令牌达到2000000个。
通过与各组织合作,NCSC将收集蜜罐捕获的数据,并进行分析,以了解攻击者的行为和趋势。为实现上述目标,NCSC将与政府、行业和研究机构建立紧密的合作关系,共同推动网络欺骗技术的发展和应用。
预期
成果
通过大规模部署和数据收集,NCSC将形成一个包含大量实际案例和数据的国家级证据库,以此解答以下三个核心问题:
毫无疑问,NCSC的国家级蜜罐计划是一个雄心勃勃的项目,旨在通过大规模部署网络欺骗技术来提升英国的网络安全防御能力。通过评估网络欺骗技术的效用,各组织将能够更好地了解其安全态势,并采取相应的防御措施。如果该计划能够成功影响威胁行为者的行为,那么这将是网络安全领域的一个重大突破。
参考来源:https://www.ncsc.gov.uk/blog-post/building-a-nation-scale-evidence-base-for-cyber-deception
