https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

解決方案

誘捕、威脅分析、緩解三合一,Fortinet推出FortiDeceptor主動阻斷攻擊發生

2021 / 09 / 28
編輯部
誘捕、威脅分析、緩解三合一,Fortinet推出FortiDeceptor主動阻斷攻擊發生
面對層出不窮的資安事件,各種琳瑯滿目的攻擊手法越趨迂迴,不管是主動偵測、被動圍堵修補,策略上仍受制於敵方的牽制,預防勝於治療的觀念雖然重要,但主動出擊也不失為一種奇策,可以料敵機先,搭配預防的觀念更可以將自身防護和靈活性提升一個境界,不再處處受制於駭客攻擊。隨著近年誘捕技術(Deception Technology)的成熟發展,此技術廣泛在資安防護上受到重視,一個好的誘捕系統可以主動誘捕未知攻擊、潛伏威脅及橫向擴散,掌握攻擊戰術、技術與程序,產生可執行化的資安威脅情資。
 
Fortinet推出的進階威脅欺騙產品FortiDeceptor,更超越上述性能,將誘捕系統(Honeypot)與威脅分析(Threat analytics)、緩解(Threat mitigation)功能合而為一,能在攻擊鏈的早期階段透過以下三大運作方式,主動阻斷攻擊的發生:
  • Deceive (設置陷阱與誘餌):引誘攻擊者針對互動性高的IT和OT誘餌進行攻擊動作,且攻擊者無法區分其攻擊目標是誘餌或是真實設備。
  • Expose (偵測威脅):作為第一道的預警系統,採用時間軸模式記錄所有攻擊的步驟,可以即時產生精準警報,並且可於單一管理平台中進行關聯分析和完整顯示威脅狀態。
  • Eliminate (阻擋與隔離威脅):可透過與FortiGate整合,自動阻擋內、外部惡意行為來源IP,和FortiNAC整合後更可有效隔離有問題的設備,還可以依照攻擊的嚴重程度,自行選擇手動或是自動阻擋。

​FortiDeceptor 核心技術

  • 入侵偵測-以FortiGuard IPS技術為基礎,針對攻擊“從”哪個誘餌或是“到”那個誘餌進行分析,同時藉由反偵測反漏洞引擎(ARAE)將分析攻擊行為並且即時產生精準警報。
  • 惡意軟體防護-針對可執行檔進行惡意軟體掃描;亦可針對攻擊行為,提供PCAP檔下載。
  • 網頁威脅過濾-以FortiGuard網頁過濾引擎為基礎,分析誘餌到internet的網頁流量內容。 

除此之外,Fortinet更提供FortiDeceptor在幾種情境下的教戰守則:
  • OT/ IoT 場域
    - 透過被動足跡提供網路可視性和漏洞檢測
    - 針對無法自行辨識威脅的資產,例如物聯網、SCADA和醫療設備提供防護
    - 能夠為OT/IT網路模擬 Jumpboxes 和 VPN 服務等伺服器,亦可模擬 SCADA和ICS 通訊協定,並且可以在ICS 網路中模擬人機介面 (HMI)、可程式邏輯控制器(PLC)
     
  • 東西向流量防護
    - 檢測在內網橫向移動的 威脅,而不是檢測出口/入口上的威脅
    - 當作內網安全防護措施 的最後一道防線(亦即檢視為何其他安全防護措 施皆失效)
    - 啟用縱深防禦和主動防禦策略
     
  • 主動狩獵威脅
    - 在網路內部啟用噪聲更少的威脅檢測,以增強SOC團隊的能力
    - 利用誘餌來追蹤攻擊的起源
    - 通過在高度監控的環境中在不被發現的前提下,暗中觀察攻擊者,藉以 了解攻擊者TTPs(Tactics, Techniques, and. Procedures) 

實作上,針對企業將IT資安防禦方案部署於OT環境時所遇到的難題,FortiDeceptor可以在場域部署誘餌(虛擬出來的假設備),然後模擬傳統 IT 設備、OT 傳感器和各類型控制系統,亦可透過誘餌網路欺騙惡意行為者,引誘他們遠離關鍵資產;FortiDeceptor的欺騙觸發具有即時且準確的警報,進而提供有價值的情報消息,具有自動減輕威脅的能力,對生產環境零影響的被動解決方案,不需要任何代理或網路拓撲更改,並且可以使用內置自動化輕鬆部署。誘餌所支持的通訊協定更高達十餘種,如MODBUS 、S7COMM 、BACNET、IPMI 、TRICONEX 、GUARDIAN-AST 、IEC104 、HTTPS 、FTP 、TFTP 、SNMP…等。