《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 基于蜜罐實(shí)現(xiàn)擬態(tài)仿真與主動欺騙防御

基于蜜罐實(shí)現(xiàn)擬態(tài)仿真與主動欺騙防御

2021-11-12
來源:安全牛
關(guān)鍵詞: 蜜罐 欺騙防御

  近年來,,網(wǎng)絡(luò)安全建設(shè)從合規(guī)需求為主,,轉(zhuǎn)變?yōu)楦匾暼绾尾拍苡行拐鎸?shí)攻擊,。由于蜜罐技術(shù)不同于DPI流量檢測,、EDR端點(diǎn)檢測技術(shù),它帶來的是一種新安全能力:欺騙防御能力,,能夠在攻防對抗中主動誘捕,、溯源反制,扭轉(zhuǎn)攻防不對稱的現(xiàn)狀,,所以蜜罐在近兩三年得以有更大的市場需求,。

  另外,隨著企業(yè)用戶的業(yè)務(wù)上云,、遠(yuǎn)程辦公等趨勢,,企業(yè)的出口邊界越來越模糊,攻擊者入侵的途徑方式越來越多,,只是在邊界上集中部署安全設(shè)備已不能完全應(yīng)對威脅,,客戶需要補(bǔ)充欺騙防御的安全能力,而蜜罐能夠“埋伏”在真實(shí)資產(chǎn)中,,對抗處于暗處的攻擊者,,誘捕到潛伏在內(nèi)網(wǎng)中的威脅,滿足用戶的需求,,故介于上述行業(yè)背景,,發(fā)布本期牛品推薦——非凡安全幻影蜜罐。

  牛品推薦

  第三十一期

  標(biāo)簽

  01

  欺騙防御 高捕獲率 高仿真度 可溯源可反制

  用戶痛點(diǎn)

  02

  1,、網(wǎng)絡(luò)威脅加劇,,蜜罐部署成本高

  隨著用戶的網(wǎng)絡(luò)邊界變得越來越模糊,攻擊可能來自四面八方,,用戶希望借助蜜罐主動誘捕到潛在的攻擊甚至是橫向攻擊,,這便要求蜜罐能在不同的網(wǎng)絡(luò)場景中大量部署,但同時(shí)又不希望增加部署成本和管理成本,。

  2,、普通蜜罐仿真性不足,定制化需求增加

  欺騙防御技術(shù)可以讓攻擊者在蜜罐上停留,,相當(dāng)于消耗了攻擊者有限的時(shí)間和資源,,間接的保護(hù)了真實(shí)資產(chǎn)。但為了讓攻擊者停留得更久,,便要求蜜罐能仿得夠真,,往往需要根據(jù)客戶的業(yè)務(wù)系統(tǒng),進(jìn)行蜜罐定制,。

  3,、攻擊類別易界定,但攻擊身份信息難溯源

  蜜罐可以檢測到攻擊者的入侵手段,,但往往難以較全面留存攻擊者入侵蜜罐的相關(guān)證據(jù),,同時(shí)只能溯源到攻擊行為,難以溯源到攻擊者的真實(shí)身份。

  4,、傳統(tǒng)蜜罐產(chǎn)品缺少威脅處置能力

  蜜罐若檢測來自內(nèi)網(wǎng)的攻擊,,相當(dāng)于是捕獲到內(nèi)網(wǎng)的失陷主機(jī),客戶希望蜜罐系統(tǒng)本身擁有快速處置的手段,,比如能夠?qū)⑹葜鳈C(jī)隔離,,避免影響范圍擴(kuò)大。

  總的來說,,用戶希望擁有一款:“高捕獲率,、高仿真度,、溯源全面,,同時(shí)具備反制處置能力”的蜜罐,這四個(gè)方面也是評價(jià)一款蜜罐的重要指標(biāo),。

  解決方案

  03

  攻擊誘捕與威脅檢測系統(tǒng)(簡稱:幻影系統(tǒng))是非凡安全自主研發(fā)的蜜罐系統(tǒng),,不同于傳統(tǒng)的威脅對抗產(chǎn)品,幻影系統(tǒng)通過“攻擊吸引,、仿真牽制,、溯源捕獲、處置”,,可在攻防對抗中捕獲更多攻擊威脅,,消耗攻擊者更多資源和時(shí)間,并可對攻擊進(jìn)行全面的溯源,,以及采取多種反制處置措施,。

  吸引攻擊:通過SDN軟件定義網(wǎng)絡(luò)技術(shù)部署大量蜜罐,設(shè)置大量誘餌,,以及采用獨(dú)特的威脅引流技術(shù)主動吸引攻擊,,威脅捕獲率可達(dá)100%;

  仿真牽制:根據(jù)客戶的網(wǎng)絡(luò)環(huán)境,,可自適應(yīng)調(diào)整高交互蜜罐的部署策略,,同時(shí)支持?jǐn)M動態(tài)克隆功能,用戶無需額外定制開發(fā)便可仿真有動態(tài)交互功能的真實(shí)業(yè)務(wù)系統(tǒng):通過對真實(shí)業(yè)務(wù)系統(tǒng)進(jìn)行流量學(xué)習(xí),,形成機(jī)器記憶,,生成的克隆蜜罐可與真實(shí)業(yè)務(wù)系統(tǒng)一樣進(jìn)行前后端的數(shù)據(jù)交互,迷惑攻擊者使之流連忘返,;

  溯源捕獲:對攻擊行為以及攻擊者身份進(jìn)行全面溯源,,產(chǎn)生內(nèi)生威脅情報(bào),扭轉(zhuǎn)攻防過程信息不對稱的局面,;

  處置:可對內(nèi)網(wǎng)威脅采取一鍵微隔離,,對外網(wǎng)威脅采取多種攻擊反制手段。

  技術(shù)亮點(diǎn)

  04

  1、攻擊吸引-基于SDN技術(shù)全網(wǎng)蜜罐部署

  高捕獲率部署模式:幻影系統(tǒng)基于SDN的仿真欺騙節(jié)點(diǎn)批量化部署技術(shù),,可將誘捕能力發(fā)布到全網(wǎng)各個(gè)網(wǎng)段,,無須在客戶服務(wù)器中安裝agent,極大提高黑客攻擊蜜罐的概率,。如下圖例子所示,,在運(yùn)維區(qū)旁路trunk接入幻影系統(tǒng),便可在各個(gè)網(wǎng)絡(luò)區(qū)域,、網(wǎng)段快速生成多個(gè)高交互的蜜罐,。

  2、仿真牽制-擬動態(tài)仿真與完全仿真

  幻影系統(tǒng)除了內(nèi)置大量的高交互蜜罐,,還支持仿真客戶的動態(tài)網(wǎng)站,,仿真后的蜜罐與真實(shí)業(yè)務(wù)系統(tǒng)一樣可進(jìn)行前后端的數(shù)據(jù)交互,比如支持:“搜索查詢,、登陸驗(yàn)證,、賬號注冊”等動態(tài)交互,只有仿得像,,才可以迷惑攻擊者,,讓客戶在蜜罐上停留得更久。

  同時(shí)還支持完全仿真其它TCP協(xié)議的應(yīng)用,,比如完全仿真客戶自建的漏洞靶場,、工控應(yīng)用、IOT設(shè)備等,。

  3,、溯源捕獲-高分辯率黑客畫像

  洛卡爾物質(zhì)交換定律:凡物體與物體之間發(fā)生接觸后會存在物質(zhì)的轉(zhuǎn)移,目標(biāo)物體會從源物體上帶走一些物質(zhì),,同時(shí)也會將自身的一些物質(zhì)遺留在原物體上,。洛卡爾物質(zhì)交換定律告訴我們,犯罪行為人只要實(shí)施犯罪行為,,必然會在犯罪現(xiàn)場直接或間接地作用于被侵害客體及其周圍環(huán)境,,會自覺或不自覺地遺留下痕跡。

  黑客入侵蜜罐同樣會留下痕跡,,會被幻影系統(tǒng)記錄并分析出黑客畫像,。幻影系統(tǒng)黑客畫像支持5個(gè)維度,,包括:設(shè)備指紋,、位置信息、社交指紋,、反向探測-漏洞信息,、攻擊者標(biāo)簽,,5個(gè)維度具體的溯源信息如下圖所示。

  4,、溯源捕獲-攻擊鏈取證技術(shù)

  幻影系統(tǒng)基于MITRE ATT&CK理念,,從“網(wǎng)絡(luò)層、應(yīng)用層,、主機(jī)層”對攻擊行為全量溯源,,提取攻擊入侵證據(jù):“攻擊特征取證、行為取證,、日志取證,、病毒取證”,全面還原攻擊者入侵過程:探測掃描,、滲透攻擊,、攻陷蜜罐、后門遠(yuǎn)控,、跳板攻擊,。

  用戶可在幻影系統(tǒng)的web集中管理界面上,,一鍵提取指定攻擊源的攻擊鏈條日志,,還原入侵蜜罐的過程,輸出入侵證據(jù),。

  5,、處置與聯(lián)動

  外網(wǎng)威脅處置:非凡幻影系統(tǒng)具備了多種不同烈度的攻擊反制;

  內(nèi)網(wǎng)威脅處置:無需聯(lián)動第三方設(shè)備或者在主機(jī)預(yù)裝Agent,,幻影系統(tǒng)可一鍵微隔離下線失陷主機(jī),;

  聯(lián)動能力:擁有豐富的API以及標(biāo)準(zhǔn)syslog輸出接口,可與第三方設(shè)備進(jìn)行快速聯(lián)動,。

  用戶反饋

  05

  通過幻影系統(tǒng)內(nèi)置的擬動態(tài)仿真功能,,高效地仿真了8個(gè)電網(wǎng)業(yè)務(wù)系統(tǒng),在攻防演練對抗中,,有效吸引了大量攻擊火力,,同時(shí)促進(jìn)了攻擊者真實(shí)身份的溯源。

  ——某省級電網(wǎng)客戶

  非凡幻影系統(tǒng)實(shí)現(xiàn)了5個(gè)IDC機(jī)房節(jié)點(diǎn)的蜜網(wǎng)覆蓋,,部署了大量的內(nèi)網(wǎng)蜜罐以及互聯(lián)網(wǎng)蜜罐,,成功地將欺騙防御能力補(bǔ)充到我省運(yùn)營商的安全防護(hù)體系中,提升了IDC的安全保障水平,。

  ——某省級運(yùn)營商

  通過部署100+套蜜罐,,實(shí)現(xiàn)市、區(qū),、縣多級組網(wǎng)的全威脅監(jiān)測覆蓋,,讓攻擊者在大量的蜜罐與誘餌中迷失,精準(zhǔn)的捕獲到潛在的攻擊行為。

  ——某地市公安局

  其實(shí)我們部署了不少流量安全檢測設(shè)備,,但是發(fā)現(xiàn)幻影系統(tǒng)在內(nèi)網(wǎng)威脅監(jiān)測,,尤其是橫向攻擊威脅監(jiān)測這方面,捕獲得更多且更準(zhǔn),,發(fā)現(xiàn)不少潛在的病毒主機(jī),。

  ——某地市稅務(wù)局

  幻影系統(tǒng)擁有靈活的部署能力,只需一套幻影系統(tǒng),,就能通過探針將蜜罐能力發(fā)布到數(shù)據(jù)中心,、辦公網(wǎng)、甚至公有云上,,滿足了我司的蜜罐覆蓋需求,,同時(shí)降低管理成本。

  ——某大型制造業(yè)公司

  我們POC測試了多家廠商,,非凡幻影系統(tǒng)在蜜罐部署,、仿真、溯源方面都有不錯(cuò)表現(xiàn),,其優(yōu)秀的技術(shù)支撐也是我們選擇跟非凡合作的原因之一,。

  ——深圳某證券公司

  安全牛評

  隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用,用戶網(wǎng)絡(luò)安全防護(hù)意識已普遍增強(qiáng),,企業(yè)均部署了多種網(wǎng)絡(luò)安全防護(hù)設(shè)備對自身業(yè)務(wù)進(jìn)行防護(hù),。在這樣的發(fā)展形勢之下,一種新型的攻擊方式孕育而生,,那就是 APT (Advanced Persistent Threat)攻擊,。對于此類攻擊,傳統(tǒng)的防御手段收效甚微,。而蜜罐作為一項(xiàng)欺騙防御技術(shù),,是通過蜜罐內(nèi)設(shè)置的漏洞、敏感信息等引誘入侵者攻擊的系統(tǒng),,從而降低用戶計(jì)算機(jī)受攻擊的風(fēng)險(xiǎn),,并且為尋找攻擊解決方案提供了機(jī)會與時(shí)間。非凡安全研發(fā)的幻影蜜罐系統(tǒng)正是基于用戶在攻防對抗中主動誘捕,、溯源反制需求而研制,,提高了用戶對于攻擊行為誘捕的能力。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。