主动入侵检测的下一站：蜜标技术

在不久前结束的 RSAC 2023 大会上，谷歌云 Mandiant 首席执行官 Kevin Mandia 回顾了当前网络安全发展态势和挑战，他在主题演讲中表示：尽管企业组织每年留给网络安全的预算投入一直在增加，但数据泄露的威胁却越来越泛滥，在此背景下，企业组织需要转变防护思路，化被动为主动。企业组织除了部署传统的防范措施和安全工具外，还应该采取一些创新的措施来加强防御，去识别那些传统安全产品无力阻止的入侵或恶意活动。

为此，Mandia 给企业提出了 7 个改变的建议，而 “建立先进的蜜罐防护体系” 正是其中之一。蜜罐是一种诱饵系统，用来引诱攻击者，将他们对实际目标的攻击诱骗转移到特定的分析区域。一旦攻击者与蜜罐进行交互，系统就可以收集攻击和攻击者采用的战术、技术和程序（TTP）方面的信息。

虽然蜜罐系统是一种提前跟踪攻击者、预防数据泄露的主动安全解决方案，但由于其系统设置和维护比较困难，目前尚未得到广泛采用。为了引诱攻击者，蜜罐需要做得很逼真，并与实际生产网络隔离部署，这使得希望构建主动式入侵检测能力的安全团队很难对其进行设置和应用扩展。

在企业实际的数字化环境中，会大量应用许多第三方组件（比如 SaaS 工具、API 和代码库）工具，而这些组件通常来自不同的开发商和供应商。这些组件很难被添加到欺骗式软件构建堆栈的每一层，这就会破坏了蜜罐的模拟效果和应用目的，因为在当前盛行 DevOps 开发模式下，源代码管理系统和持续集成管道同样是黑客们重点关注的目标和诱饵，而这却是传统蜜罐系统难以模仿的。

为了确保蜜罐系统应用的安全性和完整性，组织需要采用新的方法，比如新一代的蜜标（honeytoken）技术。蜜标之于蜜罐就如同鱼饵和渔网的关系。相比于整体的蜜罐系统应用，蜜标技术所需的资源大大降低，但在入侵检测和攻击分析方面却同样非常有效。

我们可以把新一代蜜标技术理解成是蜜罐系统的一个子集，旨在看起来如同正规的凭据或密文。当攻击者触发蜜标时，会立即发起警报。这使得安全分析师可以根据一些所收集的攻击指标迅速采取行动，比如 IP 地址（区分内部源头和外部源头）、时间戳、用户代理、起源以及记录在蜜标和相邻系统上执行的所有操作的日志。

对蜜标而言，需要虚拟生成大量的凭据和账号作为诱饵。当系统被入侵时，黑客通常会寻找容易下手的目标来横向移动、提升权限或窃取数据。在这种情况下，云 API 密钥之类的可编程凭据将是理想的扫描目标，因为它们具有可识别的模式，还常常含有对攻击者有用的信息。因此，它们是攻击者在入侵期间搜索和利用的主要目标。这些可编程凭据也是安全分析师非常容易传播的诱饵：可以将它们大量放置在云资产、内部服务器、第三方 SaaS 工具以及工作站的文件系统中。

Mandia 认为，目前企业组织在数据泄露事件发生后的实际发现时间平均需要 327 天。而通过在多个位置布置蜜标，安全团队可以在几分钟时间内快速检测到威胁，并对正在发生入侵进行响应。简单性是蜜标技术应用的最大优点，企业不需要开发整套的诱骗系统，就可以轻松创建、部署和管理企业级蜜标，实现对大量的软件应用系统进行主动式保护。

随着传统网络边界的不断模糊，传统入侵检测技术在新一代威胁防护中的作用已经大大减弱。但实际上，提高以蜜标为代表的新一代入侵检测技术应用普及性至关重要，如何使用自动化技术在大规模环境下部署这项技术也很重要。