牛品推薦第三十一期
非凡安全幻影蜜罐
近年來,網路安全建設從合規需求為主,轉變為更重視如何才能有效對抗真實攻擊。由於蜜罐技術不同於DPI流量檢測、EDR端點檢測技術,它帶來的是一種新安全能力:欺騙防禦能力,能夠在攻防對抗中主動誘捕、溯源反制,扭轉攻防不對稱的現狀,所以蜜罐在近兩三年得以有更大的市場需求。
另外,隨著企業使用者的業務上雲、遠端辦公等趨勢,企業的出口邊界越來越模糊,攻擊者入侵的途徑方式越來越多,只是在邊界上集中部署安全裝置已不能完全應對威脅,客戶需要補充欺騙防禦的安全能力,而蜜罐能夠“埋伏”在真實資產中,對抗處於暗處的攻擊者,誘捕到潛伏在內網中的威脅,滿足使用者的需求,故介於上述行業背景,
釋出本期牛品推薦——非凡安全幻影蜜罐。
牛品推薦
第三十一期
標籤
01
欺騙防禦 高捕獲率 高模擬度 可溯源可反制
使用者痛點
02
1、網路威脅加劇,蜜罐部署成本高
隨著使用者的網路邊界變得越來越模糊,攻擊可能來自四面八方,使用者希望藉助蜜罐主動誘捕到潛在的攻擊甚至是橫向攻擊,這便要求蜜罐能在不同的網路場景中大量部署,但同時又不希望增加部署成本和管理成本。
2、普通蜜罐模擬性不足,定製化需求增加
欺騙防禦技術可以讓攻擊者在蜜罐上停留,相當於消耗了攻擊者有限的時間和資源,間接的保護了真實資產。但為了讓攻擊者停留得更久,便要求蜜罐能仿得夠真,往往需要根據客戶的業務系統,進行蜜罐定製。
3、攻擊類別易界定,但攻擊身份資訊難溯源
蜜罐可以檢測到攻擊者的入侵手段,但往往難以較全面留存攻擊者入侵蜜罐的相關證據,同時只能溯源到攻擊行為,難以溯源到攻擊者的真實身份。
4、傳統蜜罐產品缺少威脅處置能力
蜜罐若檢測來自內網的攻擊,相當於是捕獲到內網的失陷主機,客戶希望蜜罐系統本身擁有快速處置的手段,比如能夠將失陷主機隔離,避免影響範圍擴大。
總的來說,使用者希望擁有一款:“高捕獲率、高模擬度、溯源全面,同時具備反制處置能力”的蜜罐,這四個方面也是評價一款蜜罐的重要指標。
解決方案
03
攻擊誘捕與威脅檢測系統(簡稱:幻影系統)是非凡安全自主研發的蜜罐系統,不同於傳統的威脅對抗產品,幻影系統透過“攻擊吸引、模擬牽制、溯源捕獲、處置”,可在攻防對抗中捕獲更多攻擊威脅,消耗攻擊者更多資源和時間,並可對攻擊進行全面的溯源,以及採取多種反制處置措施。
吸引攻擊:
透過SDN軟體定義網路技術部署大量蜜罐,設定大量誘餌,以及採用獨特的威脅引流技術主動吸引攻擊,威脅捕獲率可達100%;
模擬牽制:
根據客戶的網路環境,可自適應調整高互動蜜罐的部署策略,同時支援擬動態克隆功能,使用者無需額外定製開發便可模擬有動態互動功能的真實業務系統:透過對真實業務系統進行流量學習,形成機器記憶,生成的克隆蜜罐可與真實業務系統一樣進行前後端的資料互動,迷惑攻擊者使之流連忘返;
溯源捕獲:
對攻擊行為以及攻擊者身份進行全面溯源,產生內生威脅情報,扭轉攻防過程資訊不對稱的局面;
處置:
可對內網威脅採取一鍵微隔離,對外網威脅採取多種攻擊反制手段。
技術亮點
04
1、攻擊吸引-基於SDN技術全網蜜罐部署
高捕獲率部署模式:
幻影系統基於SDN的模擬欺騙節點批次化部署技術,可將誘捕能力釋出到全網各個網段,無須在客戶伺服器中安裝agent,極大提高駭客攻擊蜜罐的機率。如下圖例子所示,在運維區旁路trunk接入幻影系統,便可在各個網路區域、網段快速生成多個高互動的蜜罐。
2、模擬牽制-擬動態模擬與完全模擬
幻影系統除了內建大量的高互動蜜罐,還支援模擬客戶的動態網站,模擬後的蜜罐與真實業務系統一樣可進行前後端的資料互動,比如支援:“搜尋查詢、登陸驗證、賬號註冊”等動態互動,只有仿得像,才可以迷惑攻擊者,讓客戶在蜜罐上停留得更久。
同時還支援完全模擬其它TCP協議的應用,比如完全模擬客戶自建的漏洞靶場、工控應用、IOT裝置等。
3、溯源捕獲-高分辯率駭客畫像
洛卡爾物質交換定律:凡物體與物體之間發生接觸後會存在物質的轉移,目標物體會從源物體上帶走一些物質,同時也會將自身的一些物質遺留在原物體上。洛卡爾物質交換定律告訴我們,犯罪行為人只要實施犯罪行為,必然會在犯罪現場直接或間接地作用於被侵害客體及其周圍環境,會自覺或不自覺地遺留下痕跡。
駭客入侵蜜罐同樣會留下痕跡,會被幻影系統記錄並分析出駭客畫像。幻影系統駭客畫像支援5個維度,包括:裝置指紋、位置資訊、社交指紋、反向探測-漏洞資訊、攻擊者標籤,5個維度具體的溯源資訊如下圖所示。
4、溯源捕獲-攻擊鏈取證技術
幻影系統基於MITRE ATT&CK理念,從“網路層、應用層、主機層”對攻擊行為全量溯源,提取攻擊入侵證據:“攻擊特徵取證、行為取證、日誌取證、病毒取證”,全面還原攻擊者入侵過程:探測掃描、滲透攻擊、攻陷蜜罐、後門遠控、跳板攻擊。
使用者可在幻影系統的web集中管理介面上,一鍵提取指定攻擊源的攻擊鏈條日誌,還原入侵蜜罐的過程,輸出入侵證據。
5、處置與聯動
外網威脅處置:
非凡幻影系統具備了多種不同烈度的攻擊反制;
內網威脅處置:
無需聯動第三方裝置或者在主機預裝Agent,幻影系統可一鍵微隔離下線失陷主機;
聯動能力:
擁有豐富的API以及標準syslog輸出介面,可與第三方裝置進行快速聯動。
使用者反饋
05
透過幻影系統內建的擬動態模擬功能,高效地模擬了8個電網業務系統,在攻防演練對抗中,有效吸引了大量攻擊火力,同時促進了攻擊者真實身份的溯源。
——某省級電網客戶
非凡幻影系統實現了5個IDC機房節點的蜜網覆蓋,部署了大量的內網蜜罐以及網際網路蜜罐,成功地將欺騙防禦能力補充到我省運營商的安全防護體系中,提升了IDC的安全保障水平。
——某省級運營商
透過部署100+套蜜罐,實現市、區、縣多級組網的全威脅監測覆蓋,讓攻擊者在大量的蜜罐與誘餌中迷失,精準的捕獲到潛在的攻擊行為。
——某地市公安局
其實我們部署了不少流量安全檢測裝置,但是發現幻影系統在內網威脅監測,尤其是橫向攻擊威脅監測這方面,捕獲得更多且更準,發現不少潛在的病毒主機。
——某地市稅務局
幻影系統擁有靈活的部署能力,只需一套幻影系統,就能透過探針將蜜罐能力釋出到資料中心、辦公網、甚至公有云上,滿足了我司的蜜罐覆蓋需求,同時降低管理成本。
——某大型製造業公司
我們POC測試了多家廠商,非凡幻影系統在蜜罐部署、模擬、溯源方面都有不錯表現,其優秀的技術支撐也是我們選擇跟非凡合作的原因之一。
——深圳某證券公司
安全牛評
隨著網際網路的迅猛發展和廣泛應用,使用者網路安全防護意識已普遍增強,企業均部署了多種網路安全防護裝置對自身業務進行防護。在這樣的發展形勢之下,一種新型的攻擊方式孕育而生,那就是 APT (Advanced Persistent Threat)攻擊。對於此類攻擊,傳統的防禦手段收效甚微。而蜜罐作為一項欺騙防禦技術,是透過蜜罐內設定的漏洞、敏感資訊等引誘入侵者攻擊的系統,從而降低使用者計算機受攻擊的風險,並且為尋找攻擊解決方案提供了機會與時間。非凡安全研發的幻影蜜罐系統正是基於使用者在攻防對抗中主動誘捕、溯源反制需求而研製,提高了使用者對於攻擊行為誘捕的能力。