俄罗斯小说家陀思妥耶夫斯基(Fyodor Dostoevsky)曾经假设,魔鬼不再使用火和硫磺,而是简单地告诉你你想听的话。
桑迪亚国家实验室的网络研究人员在挫败黑客时选择了第二种方法。Vince Urias, Will Stout和Caleb Loverro不是简单地阻止一个被发现的入侵者,而是部署了一个最近获得专利的替代现实,被称为HADES的高保真自适应欺骗和仿真系统,它给黑客提供的不是他需要知道的,而是他想相信的。
“欺骗是网络防御的未来,”乌里亚斯说。“简单地把黑客赶出去几乎是没用的。黑客这边有不对称;我们要守卫100个可能的入口点,黑客只需要渗透其中一个就能进入。”
一个被发现的黑客并没有被立即从数据源中删除,而是被悄悄地引导进入HADES,在那里克隆的虚拟硬盘、内存和数据集创建了一个非常类似于现实的模拟。然而,某些史前古器物被故意地,但不是明显地,改变了。
“因此,黑客可能会向他的处理人员报告他或她已经破解了我们的系统,并将我们正在做的事情发回报告,”乌里亚斯说。“假设他们花了12个月的时间收集信息。当他们意识到我们已经改变了他们的现实,他们就会想他们的目标从什么时候开始使用欺骗,从什么时候开始他们不应该相信数据?他们可能已经收到了一年左右的错误信息,然后才意识到有问题。一个黑客告诉他的老板他发现了一个问题,这对他的声誉没有太大的好处,他已经失去了信誉。然后对手必须检查从我们那里获得的所有数据,因为他们不知道我们什么时候开始造假的。”
此外,当黑客最终发现问题所在时,他必须展示自己的工具,试图从虚构中辨别真相。
“那他就像一只在碗里扑腾的金鱼,”乌里亚斯说。“他暴露了自己的技术,我们看到了他做的一切。”
乌里亚斯说:“过去,从技术上讲,我们无法在访客不知情的情况下将他们转移到另一个世界。但在过去10到15年里,网络发生了翻天覆地的变化,从硬件到软件。”由于网络结构的短暂性,我可以在黑客不知情的情况下改变现实。”
对手需要能够帮助他们感知态势的数据。“但当我们在这个虚假的世界里改变数据时,我们就贬低了信息的价值,并造成了最终的不一致。”
为了做到这一点,Urias说,“我们将移动到云中的另一个位置,并围绕它们构建一个稍微不同的世界。我们的目的是引起怀疑。如果他们得到了什么,是真的还是假的?对对手来说,最可怕的是同一个世界,只是改变了。我们能给他们介绍更多的工作吗?”
HADES刚刚赢得了2017年的冠军R&D100奖,由研发杂志表彰过去一年在科学技术方面的杰出创新。桑迪亚的这项工作于5年前开始,为期三年,于10月申请了专利实验室主导研发格兰特。
他说,从没有资源的小公司到大公司,HADES可以以多种模式运行。国土安全部的网络安全部门与桑迪亚合作进行部署。
与任何技术一样,HADES也有其局限性。虽然最简单的欺骗环境可以在小型私有计算机上实现,但更逼真的环境需要更多的CPU和内存资源,因此可能会减少在单个服务器上部署的虚拟环境的数量。
乌里亚斯说,信息技术和网络安全团体想要的就是他想要的:“阻止(信息)流血,并获得可采取行动的情报:对手在寻找什么?他们实际上得到了什么?他们是如何得到的?”
这项技术使研究人员能够定位对手在系统中放置的恶意软件,并能够进行主动攻击。
了下:行业监管,网络安全
