击败黑客的最佳方法就是让他们找不着北——诱骗他们挖掘没料的虚假数据。尽管他们费尽心思穿透了防火墙,但却盗不走任何真实的数据。
以色列一家新成立的网络安全公司Illusive设计了一种欺骗攻击的系统,伪造攻击点把恶意黑客引向错误的方向,使他们忙于毫无意义的信息。同时,安全人员却可以收集他们的信息,包括攻击的源头以及攻击的方式。
上面的描述乍一听上去,似乎是个蜜罐。但Illusive公司的首席执行官Shlomo Touboul表示,他们的系统不仅仅是黑客陷阱式的“蜜罐”,而是一种全新的网络安全技术模式,在系统之上铺设了一层用户不可见的安全层,特别为有能力突破传统防御措施的黑客而设。
“某种意义上讲,我们正发动对黑客的反攻。他们的力量在于偷偷摸摸潜入计算机系统并悄无声息地盗走数据,但我们的力量恰在于丢给他们无法预先分别真假的信息。”
为了攻入网络,黑客常用钓鱼技术诱骗低级雇员交出登录凭证和密码。但低级雇员往往没有访问黑客想要的高级数据的权限(比如信用卡帐号)。因此,一旦黑客“登陆”某个网络,他们会继续进行下一步计划:获得他们真正想要的数据访问权。
为了达到这一目的,黑客会紧咬密码、文件、可执行程序等等任何有可能使他们离目标更近一步的东西不放。尽管通常总会有些干扰,经验丰富的黑客总能快速分辨出哪些文件或其他信号是需要仔细查看的。比如说,通过查看合适的日志文件,黑客可以挖掘出访问“金矿”服务器——也就是存储了他们可以用来换钱的信息的服务器所需的管理员密码,此时,我们也就可以认为存在上面的信用卡数据已经毫无疑问地泄露了。
但是,如果黑客接触到的是存了无用数据的虚假日志文件呢?或者,更绝的,所存日志信息能将黑客引至存了更具欺骗性的数据的服务器,让黑客“追着自己的尾巴”,让他们找不着北?这就是Illusive干的事儿。
“成功黑客逼近目标的时候,他们所倚仗的是一个简单的事实——所收集的数据是准确的。我们篡改这些数据,创建一个攻击者不能依靠他们收集的数据的环境。一旦数据是不可靠的,攻击就不能再行深入。”
据Touboul所言,事实上,如果去年遭受黑客重创的索尼影业和塔吉特百货使用了Illusive,“这些攻击根本穿透不了防护。”
即使处于隐身模式(Illusive一直在接业务的事实直到上周二才公开披露),这家公司依然被Gartner列入了2015“酷厂商”的排行榜单。
Gartner认为,这一“欺骗性的安全技术为企业安全带来了一股清新之风,是企业安全的一种有效补充。”
这家公司称,IT和安全人员应该“仔细考虑Illusive的好处,因为欺骗性方法将在未来大行其道。他们会证明自身的有效性和易部署性。”
Illusive网络是网络安全铸造厂Team8启动的第一家公司,与以色列陆军8200部队渊源颇深。这支部队出身的许多人要么成立了运作良好的网络安全公司,要么在非常成功的网络安全公司里担任要职。
Check Point软件技术有限公司资深研发人员Ofer Israeli创办了Illusive,并担任研发副总裁;首席执行官Touboul则是一位经验丰富的网络安全企业家,曾供职英特尔网络管理业务部,还是三家网络安全公司的创办人:Finjan Software、Shany(后被英特尔收购)和Yoggie(后被Cupp Computing收购)。
“对付针对性攻击和高级持续性攻击的传统解决方案是被动的;它们都试图防御起公司网络中的脆弱点。Illusive则是积极主动的。它从攻击者的视角刺探公司网络的脆弱点。”Team8首席执行官,相当于美国国家安全局的网络情报组织——以色列著名的8200部队前主官Nadav Zafrir说道,“Illusive解决方案的高明之处在于,它知道攻击者是怎么看待目标网络的,然后利用这一点反治攻击者。如果攻击者不能收集到可信数据,他们就不能做出决策。而一旦不能做决策,基本也就搁浅不动了。”
谷歌共同创始人埃里克·施密特是初创公司孵化器Team8的一位投资者,专注投资以色列网络安全技术,扶植新公司成长成熟,推出市场。