关于对正在推动的安全防护理念通俗解释

一、前言概述
本文针对政府机关、企事业单位信息化安全管理人员，通俗的解释TeaPot安全防护工作机理。与当下主流安全防护手段相比，这种基于网络蜜罐和威胁情报的防护方式是对现有防护机制的有效补充，可应用在勒索病毒、僵尸网络防范，及APT攻击监测和网络行为管理。
同时我们采用的非商业化社区维护方式，给了这种防护方法以大规模推广和应用的可能，也希望越来越多的人支持和加入我们。
二、文章背景
随着越来越多的朋友知晓及应用我们研发推广的TeaPot安全防护软件加强单位内部安全防护，不断有人讨论、咨询这款软件的防护原理，试图明晰这款软件对自己的使用意义和部署方式。虽然我在多篇文章及社区讨论中不断阐述相关细节，但越来越多从事信息化的同志，甚至专业安全人员咨询我软件原理，我就意识到这个问题最好还是以通俗的方式统一回答。当然我本人还是很乐意的，毕竟说明大家关心这件事。
三、历史回顾
要阐述一件新的事物，最好的方式是回顾历史。当然，比较流行的做法是给自己挂个噱头、炒作个概念甚或拉个什么人及机构来背书，但我们做不起，所以还是先简单概述现在大家对网络安全防护的理解：
1、主机防护。在主机客户端安装杀毒软件（360、火绒、卡巴、edr等）。作用是实现系统漏洞修复、扫描并清理病毒。缺点是杀毒软件消耗主机资源，并且存在把主机文件外传的风险。
2、网络防护。在网络边界、交换机等核心位置部署防护设备（防火墙、IDS、IPS、态势感知等）。作用是分析网络流量，从流量中发现、阻断攻击行为。缺点是比较贵，投个几十万感觉不到效果，而且随着信息化升级这个钱还要继续花。
我想大部分人都认可我这个回顾，这也是近20年来，我国甚至全球网络安全行业发展的成果。当然可能有人蹦出来说供应链攻击、物联网安全、等保二点零之类的。这些我们不用理会。
四、我的理念
对比上述两大主流现状，我们采用的防护方式跟上面两类都不一样，有比较大的区别，这也是大家普遍理解不了的地方。有人认为可能对网络或主机有影响，有人认为是拿开源蜜罐之类的东西改改样子。那么，既然你有疑问，我们就来说明白。
1、网络蜜罐。这是新兴有效的黑客攻击监测方式，这一点毋庸置疑。虽然这项技术十几年前就成熟了，但至今才得到安全行业普遍认可和推动，如果你不理解，那你自己去研究。蜜罐之所以对黑客攻击监测效果较好，最大的好处是误报率极低，针对蜜罐的大部分访问我们可以认为是不正常的。因为正常人不会去访问蜜罐，更不会多次频繁去访问，就这么简单的道理，也会经常有人来问我，真是感到悲哀。
有人说正常人不会访问，黑客为什么就会访问呢？这就好比你们小区来了个小偷，他会到处踩点，见到有个地方像是仓库，他就想钻进去。但正常人不想钻进去，因为大家都知道那是个垃圾分类点。
2、网络域名。凡是上网的人都知道域名，大家都知道百度域名是www.baidu.com，但没人记得百度网站的IP地址，除非他有特殊需求。域名是病毒木马的重要组成部分，对黑客攻击来说非常重要。当黑客入侵了目标网络，攻击过程中可能会有很多环节会使用到恶意域名，比如勒索病毒被放置在特定网站上，需要网站域名才能下载到受害网络；或者用于攻击的病毒木马使用特定的域名才能找到黑客的跳板服务器等等。
既然如此，我们需要知道被防护的目标访问了哪些域名，然后从中找到恶意域名，就能有效提升防护手段。实际上这也是目前主流威胁情报的一个重要来源。国外的VirusTotal，国内的奇安信、微步、360等威胁情报团队在这方面都开展了大量工作。
但是请注意，有人会马上蹦出来说，域名只是很小一部分网络流量，你要对全流量检测啊，要不然会漏报啊。对于这种人，要么他是个小白，要么他是为了卖设备才这么讲。这些我们不用理会。
五、实现思路
上面说的网络蜜罐、网络域名防护实际上在很多设备里已经集成了这些功能，比如蜜罐设备、态势感知设备，都具备相应功能。但在工程实现和方法推广过程中，我们做了一些调整，使得这个方法更为大众化，也便于普及推广。
1、端口监听。我们使用的操作系统，最多支持开放65535个端口，其中一些常见端口，容易吸引黑客攻击。比如21端口一般用于FTP服务，80端口一般用于网站。于是我们软件就故意开放了一些这种常见端口，如果有黑客试图攻击这个系统，那么极有可能有限攻击这种常见端口，这也就被我们软件捕获到了，这也是蜜罐的基本原理。

即使把话讲的这么直白，还是很多人听不懂。通俗的讲，是你们小区有好几个大门，大家正常从这几个大门出入，但保安在小区墙上不同的地方搞了很多假门，某天忽然来了个不认识的人，他看到个假门就直接走过去要开，然后保安认为这人应该有问题。
2、流量转发。通过上面的端口监听，可以将黑客吸引到特定的网络端口，用于发现潜在的攻击行为。但仅靠这一点，还不够确认对方的攻击目的和方法，于是我们提供流量转发的功能，将这个黑客攻击引导到一个真正的蜜罐系统，对黑客来说，他全无感知，还以为自己真的在攻击一个系统呢。


话讲的这么直白，肯定还是很多人听不懂。通俗的讲，你家小区弄了个假门，有个小偷打算从这个假门进来搞盗窃，当他从这个假门进来的时候，一下子被传送到监狱里了，当然他自己并不知道。我们的流量转发就是实现这个功能的，那个监狱就是商业化的专用蜜罐。
但是请注意，有人会马上蹦出来说，我既然有专业蜜罐了，还用你这玩意做啥。对于这种人，他只能是个小白。我们只能等以后再科普了。
3、域名监测。上网的域名很重要，怎么才能监测到被保护目标访问了什么域名呢？很多网络设备都可以，自己抓包也可以。但网络设备要花钱啊，自己抓包又不会。于是我们设计了一种特殊的域名捕获方式，就是TeaPot本身提供域名解析服务，当你把本机的DNS服务器设置为本机IP，TeaPot就能捕获到这台主机的上网域名；当你的手机连到TeaPot主机的热点，TeaPot就能捕获到你手机的上网域名；当你把防火墙、路由器的DNS设置成TeaPot所在主机，那么TeaPot就捕获到了你这个局域网的所有主机上网域名。


话讲的这么直白，肯定还是很多人听不懂。通俗的讲，你家小区有个菜鸟驿站，所有发出去的快递，他都知道目的地是哪里。这一点对网络安全威胁情报监测极其重要。
但是请注意，有人会马上蹦出来说，我这可是重要信息系统，自己搭建的DNS服务器都不能满足需求，何况你这种简单的工具，肯定不靠谱。对于这种人，他只能是个小白。因为绝大多数重要信息系统都是等待用户访问，那种没日没夜不消停去大量访问互联网的信息系统，重要性到底有多大实在存疑。
六、缺陷不足
说了这么多自我吹嘘的理论，最后必须要客观阐述这些方法的缺点：
1、网络蜜罐的局限性。网络蜜罐只是被动的等待黑客攻击，优点是误报率低、资源消耗低，尤其内网部署几乎不存在技术风险。但这种捕获方式对高水平黑客攻击效果不一定好，当对手是较高层次黑客时候，他会非常小心的予以绕过。当然我们也发现一些勒索病毒案例，攻击者不排除有内部人参与的可能，这种情况任何防护系统效果都会打折。
2、域名检测的复杂性。通过网络域名检测网络中存在的病毒木马，需要结合专业威胁情报开展才会发挥效果，否则就算你知道对外发起了哪些域名请求，你也看不出来哪个是恶意请求。
话讲的这么直白，肯定还是很多人听不懂。通俗的讲，世界上不存在一劳永逸的安全解决方案，你对安全要真正关心，才能尽可能降低自身遭受破坏的风险。
七、总结
几年来，在网络安全方面，我们深入了解一线现状，潜心思考存在的问题，研究提出新的防护理念，投入实施并加以推广，这是一个非常漫长并困难的过程。在此过程中，陆续得到了各界朋友的无私支持，我们也深表感谢！

" class="anchor" href="## ">#

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法