蜜罐在攻防对抗中的三个实践长亭科技在与多类客户沟通交流过程中,总结了蜜罐技术在防守体系的3个实践方向:欺骗伪装、威胁感知和溯源反制,实现和企业业务场景相结合,在攻防对抗中发挥实际作用。
欺骗伪装的思想,是基于蜜罐技术在企业内网部署伪装真实业务的服务,使用“骗局”或“假动 作”来阻挠或推翻攻击者的认知过程,通过虚假的响应、有意混淆等伪装信息来扰乱攻击者的自动化工 具,达到“欺骗”的目的从而保护真正的资产。 欺骗伪装成功的关键在于蜜罐的真实度。以高仿真高交互蜜罐技术为基础,多个蜜罐可结合企业自 身业务特性组成蜜网,蜜网环境贴合真实环境,大大提升欺骗环境的复杂性和真实性。攻击者被诱导至 蜜网中并进行嗅探和扩展时,将面临和真实环境一样的网络和应用环境,一举一动全部在防守方的视角 下。与此同时,蜜网和真实内网环境相互独立,不会对现有的内网网络拓扑造成影响,攻击者进入蜜网 后的行为也不会干扰正常业务。
谛听(D-Sensor)内置多种贴合实际业务的蜜罐服务模版,用户可根据实际业务需求,布设各类 系统服务、Web服务和数据库服务,实现应用、数据、设备层上的欺骗,同时用户可根据业务系统特 点,在伪装服务上开启相关缺陷,实现自定义缺陷,例如永恒之蓝、Struts漏洞等。 当攻击者突破边界在内网开始漫游时,展现在眼前的是一个虚实结合的网络环境。伪装的系统通过 诱导攻击者释放攻击载荷,吸引火力,并将其引诱至蜜网中,隔离真实网络环境。同时防守方事先在伪 装服务中添加的虚假业务数据,能够诱使攻击者误以为完成数据窃取或拿到远程控制权限,但其所有违 法行为均被完整记录,作为取证的证据。支持业务学习模式,针对不同场景特点,伪装出办公网或DMZ区真实服务。 用户可自定义服务标识、伪装数据等,并支持真实的访问交互,实现高度仿真交互的伪装服务。
X 如何全面感知整个内网的威胁动态,是攻防对抗中最需要关注的一个难点,尤其是当企业发展到一 定规模后,内网架构变得更加复杂,当出现单点被突破的情况后,定位攻击事件的速度可以说决定了企 业的止损程度。 将蜜罐技术应用在威胁感知领域,通过在内网边界和敏感位置部署具备威胁感知能力的探针节点, 结合流量分析设备,可以很好地解决定位攻击时滞后性强及误报高的问题。攻击者信息搜集的过程势必 需要嗅探到网络端口、架构、应用、系统和数据等维度,在内网中布设诱饵探针节点形成高度逼真的分 布式蜜网,攻击者一旦尝试发送信息或建立初始连接,就一定会被察觉,从而快速精准定位攻击事件。
通过在内网部署一定数量的探针节点,将威胁感知能力覆盖到内网的各个子网,谛听(D-Sensor) 不仅可以感知系统应用安全漏洞,防范针对特定漏洞生成的攻击载荷,而且可以感知病毒、木马及网 络蠕虫在网络中传播的行为特征,发现内网中存在的潜在威胁,同时探针节点支持全端口监听,可以 感知ping和arp探测,监测网络层、主机层以及业务层多维度攻击行为,真正做到对内网威胁态势的 全面感知。 当攻击者突破边界进入内网后,在横向渗透到核心资产之前,谛听(D-Sensor)所组成的威胁感 知网络在第一时间发起告警,同时将告警信息通过日志外发接口和API接口汇总至企业安全平台,实现 和其他防护设备的智能联动,共同抵御处置入侵事件。 单个探针感知能力强,支持全端口监听(1~65535),最大程度感知攻击。 基于Docker部署,整体轻量化,单个系统支持管理数百个探针节点,资产覆盖更全面。
溯源反制实践溯源反制是打破攻防不平衡的关键一步,企业通过蜜罐技术,在外网中部署蜜IP和蜜域名等伪装诱 饵,诱使攻击者前来,进而搜集攻击者信息,有效追踪攻击者。当防守方搜集到足够多攻击者信息时,能够 借助基础信息库对攻击者进行追踪和溯源,例如恶意程序样本、远程控制站点URL、攻击者IP等信息中暴露 出的代码特征、站点注册信息、IP地理位置等,从而定位攻击者实体,借助法律手段追究攻击者责任。
完整的入侵时间线及记录文件可作为追究攻击者法律责任的有效证据,对网络不法分子实现震慑。 当攻击者在互联网上通过浏览器直接或使用代理访问蜜罐时,谛听(D-Sensor)能够通过WebRTC 和其他技术,精准获取攻击者的设备指纹、社交信息、位置信息从而精准定位攻击者。
安全人员通过记录和分析攻击者的行为特征和逆向遗留程序,结合攻击者在用户业务系统或其他互 联网应用中遗留的身份信息可准确定位攻击者真实身份。 与此同时,谛听(D-Sensor)监测到攻击行为后立即生成告警信息,结合伪装服务记录的行为日 志,完整记录其行为形成攻击者入侵时间线,同时以Syslog的形式自动分发告警日志,联动其他设备进 行处置预警信息。 获取入侵者的多种真实IP信息,如外网 IP 、内网 IP 、代理 IP 等。 记录入侵者的攻击手法,如系统服务支持记录 shell 命令、数据库服务支持记录数据库操作命令、 Web 类支持记录 Payload 等,多维度定位攻击者自然人身份。
方案优势行业案例 金融行业客户简介
客户目前员工总数超过7万人,是中国位居前列的大型股份制银行。
场景描述
总行充分调研后决定给各分行办公网和生产网络部署威胁感知系统,办公网与生产网之间网络隔离。 由于内网的复杂性,要求内网威胁感知系统不能改变原有网络拓扑,可对攻击事件实时预警,并 具有高度伪装性能,有效迷惑攻击者。 考虑到需要在多个分行部署,要求支持全局部署统一管理,并且保证蜜罐节点本身的安全性。
长亭科技为客户部署谛听(D-Sensor),通过在真实网络环境中部署监测节点,监听扫描和攻击 行为,将攻击流量重定向至由伪装组件搭建的蜜网环境中,从而实现混淆攻击者目标,延缓攻击进程, 记录攻击行为的功能。 由于办公网和生产网之间完全隔离,部署两套独立的管理节点,分别管理办公网和生产网的探针。 谛听(D-Sensor)产生的日志通过Syslog的方式和原有的SOC平台对接,实现对内网威胁动态的全面感知。
除在内网中部署蜜罐系统实现对内网威胁情况进行探测外,该银行也在外网部署了溯源蜜罐,专门 开辟一个不存在的二级域名并将其解析至该伪装页面。在重保期间,根据蜜罐告警信息自动调整防火墙策略,实现对恶意IP一定时间范围的封禁,从而在攻击者尚未开展真实攻击之前将其阻挡在安全防护系统 之外。此外,外网蜜罐具有溯源功能,可采集到攻击者设备指纹、社交信息、真实及代理IP等详尽信息, 一方面可帮助企业安全人员更为全面地了解攻击者,另一方面可为后续采取法律手段提供充足证据。
行业案例 电力行业客户简介
某省级电网公司隶属于中国南方电网,负责某省的电网规划、建设、运行、管理和电力销售。
场景描述
信息中心主要负责电网环境内各个部门之间信息传输、安全保障等工作。重保期间,针对外网的 边界防御具备相对完备的防守能力,但是针对内网存在的威胁,由于内网人员众多、设备复杂,无法 保证所有进入网络的外接设备等均安全可控,急需一套能够全面感知内网威胁动态的产品。同时由于 内网网络相对分散,重保期间无法提供大量人力做到各区域监控,需集中管理监控功能。
长亭科技针对该省电网实际拓扑情况,在DMZ区域和数据中心部署两套独立的管理节点。在各网 络区域共布设100台探针节点,每台探针上绑定若干内网IP,开启监听模式。其中任意一个IP被攻击 者触碰,即可在管理界面触发相应告警并记录日志,日志中“目的IP”信息显示受攻击的IP地址。安 全人员可以由此排查该IP所在网段发生的攻击行为,同时根据“攻击者IP”信息锁定发起攻击的主机 并及时采取应急措施。同一个探针节点上配置多个IP(多个网段的IP或同一网段多个IP),可实现利 用较少探针节点覆盖较多网段的效果。 该实践可在虚拟机资源较为紧张或被检测网段较多的情况下节约资源和减少工作量。
剑幕主机安全检测系统是默安科技自主研发的一套适用于混合云场景的下一代主机安全检测与防护系统,能够将割裂的主机安全状态进行统一的安全管理,一站式解决主机安全风险问题。通过在系统内部署Agent完成对主机数据的嗅探和采集,集中到私有化部署的云端进行大数据分析,结合多种机器学习检测引擎及业务共识机制,有效发现系统风险及异常入侵行为,实现全生命周期的主机安全检测与响应闭环。
轻量级Agent模式
快速精准
与欺骗防御深度结合
实时响应
思福迪SAFETY零信任安全访问系统,零信任网关与资产隐身不可见,防止嗅探及DOS攻击,从任何访问来源或资产之间访问,均需进行SPA认证。基于访问关系,动态检测与分析访问客体(账号、设备、IP等)与访问主体的特征,进行动态权限回收,确保最小权限原则。
身份鉴别
资产隐匿
最小权限授权
实时访问分析
领先的企业数字化服务平台
客服电话:400-0972-788
