股票簡稱:奇安信 股票程式碼:688561
如何購買 7*24小時應急響應 +86(10)57836300 中文-繁体 登入 註冊
奇安信集團
首頁 > 企業動態 > 公司新聞 > 攻防|“兵器譜”愚人節特刊:頂級的獵人 往往都是以獵物的姿態出現的

企業動態

攻防|“兵器譜”愚人節特刊:頂級的獵人 往往都是以獵物的姿態出現的

釋出日期:2021-04-01 作者:奇安信

分享到:

愚人,如果“愚弄”好友,是玩笑、joke。如果是愚弄敵人對手,那就是更高明的攻守之道。

從《孫子兵法》的“兵者,詭道也”,到孫臏添兵減灶、誘敵深入的馬陵之戰,再到《無間道》電影裏假裝傳遞含有“內鬼”信息的信封,欺騙誘捕在各種攻防博弈中無所不在.

魔高一丈,道高一尺。網絡攻防實戰演習戰場上,攻防博弈不斷演變革新。過去,防守方一直處於被動防守困境,任何防護措施上的疏漏,都會導致防守方功虧一簣。隨着

防守方引入蜜罐(攻擊誘捕技術)後,一舉扭轉了攻防不對等的狀況。


對於“蜜罐”名字的由來,其實是狩獵有關。在以前,蜜罐是用來抓熊的。通過偽裝成“食物”引誘熊前來享用,最後獵人再將熊一舉拿下。

在數字世界中,蜜罐技術已經成為網絡安全中的一種入侵誘餌,目的是引誘黑客前來攻擊,並收集黑客相關的證據和信息,為反制提供基礎。

如果將“蜜罐”模擬成現實中的人,TA更像是一位外表傻白甜,看似人畜無害,但卻善於偽裝、套路滿分的“擒場高手”。欲擒故縱是TA的絕招,“甜度”越高,迷惑性越強。無數攻擊者以為得手,殊不知自己已進入了她設計的“温柔陷阱”。



“蜜罐”還是一位“名門閨秀”。國際權威諮詢機構Gartner一直大力推介欺騙誘捕即蜜罐技術,該技術於2016年首次入圍Gartner十大安全與風險趨勢。Gartner預測,欺騙誘捕平台將成為未來網絡安全建設的重要組成部分,其市場規模保持着快速增長的態勢,2019-2024的複合增長率將超過19%,每年的市場規模超過20億美金。

奇安信集團連續多年深度參與國家實戰攻防演習,基於豐富的實戰對抗經驗,以及天眼的實戰化威脅檢測和運營能力,研發了奇安信“蜜罐”,即網神攻擊誘捕平台。

該平台基於欺騙誘捕技術和精心構造的漏洞陷阱、混淆攻擊目標,對所發現的攻擊威脅流量進行牽引、隔離,以及攻擊特徵的取證、溯源及反制,有效保護內部真實的資產,實現主動安全防禦。


攻擊誘捕平台是奇安信天眼從被動威脅檢測到主動威脅防禦的有效補充,極大增強了實戰攻防演習過程中的體系化對抗能力。在2020年國家級實戰攻防演習中,奇安信網神攻擊誘捕平台曾成功溯源到攻擊者的信息,協助客户提交溯源報告,得分取得佳績,立下不少戰功。

藉助天眼新一代威脅感知系統的全流量網絡分析能力,奇安信蜜罐可快速構建出符合真實業務環境的“幻象”,具備極強的仿真能力和欺騙性。與此同時,管理員可通過集中管理平台,將“仿真誘餌”快速下發的網絡的各個區域,全面覆蓋了攻擊鏈的每一個環節,可對攻擊行為進行無死角誘捕,從而極大的降低了該類產品的部署和維護成本。

該產品具有以下優勢:

五大產品價值,構建實戰化防守金鐘罩

早期突破後檢測

沒有任何安全解決方案可以阻止網絡上所有攻擊的發生,但是攻擊誘捕平台利用欺騙技術使攻擊者相信已經在組織的內部網絡上立足,使其產生一種錯誤的安全感。平台可以從容監視和記錄黑客的行為,這些攻擊者行為和技術信息可用於進一步保護網絡免受攻擊。



減少誤報和風險

大量的誤報都會阻礙安全工作,過多的噪音可能導致IT團隊忽略了潛在的真正威脅。攻擊誘捕技術理論上不會產生任何誤報,可以做到觸碰即告警,告警即發現,減輕用户安全運維的負擔。

從傳統被動防禦向主動防禦演進

攻擊誘捕平台基於實戰攻防演習、重大安全保障活動的最佳實踐,採用欺騙偽裝技術,聯合奇安信雲端威脅情報、天眼未知威脅檢測系統,對流量實施動態的誘騙捕獲,並根據行為進行溯源、分析,推動了企業安全體系從被動防禦向主動防禦的進化。

降低企業攻擊誘捕系統的建設成本

攻擊誘捕平台創新的提出攻擊流量檢測+SDN的方式進行流量牽引,根據攻擊行為進行智能的分發和應答,主動仿真等技術,降低了蜜罐系統對業務仿真的依賴,在較低的覆蓋率的情況下也能保證誘捕的效率極大程度降低了企業攻擊誘捕系統的建設成本。


協助企業在實戰攻防演習防守中獲得佳績

多協議、多場景化的攻擊反制以及攻擊行為的分析,可以協助防守方在實戰攻防演習防守過程中追蹤到黑客的自然人身份,從而獲得更好的戰績。

八大使用場景,更主動、更智能、更具反制能力

公網、內網探測場景

用於探測攻擊者的端口掃描行為。



實戰攻防演習初期,可以對探測行為的告警列表進行導出,對攻擊IP採取封禁措施

漏洞型蜜罐場景

用於發現攻擊者利用特定漏洞的攻擊行為。

仿真蜜罐場景

模擬客户真實資產系統界面,誘導在內網橫向移動的攻擊者訪問,輸入相關信息用於反制溯源。

反釣魚蜜罐場景

用於模擬企業的 PC辦公終端。在辦公終端蜜罐運行釣魚木馬,造成肉雞上線假象,攻擊者拉取誘餌文件後,可在攻擊者主機運行進行反制。

數據庫反制蜜罐場景

數據庫反制蜜罐內置mysql服務器,當攻擊者使用低版本存在漏洞的mysql客户端進行連接時,mysql反制蜜罐可以獲取攻擊者主機信息。

中間件蜜罐場景

模擬常用的一些WEB中間件,用於測試或進行反制。

操作系統模擬蜜罐場景

用於操作系統模擬,可在上面進行自定義修改,定製安裝程序。

開源蜜罐場景

開源蜜罐,主要用於內網監測、SSH登錄模擬。

結語

大量的實戰攻防演習已經證明,蜜罐(欺騙誘捕技術)是一項極具價值的主動防禦技術,目前已經在運營商、金融等多個行業中取得了良好的應用效果。隨着該技術的迅猛發展,將對攻防對抗產生革命性的影響。

換句話説,在即將展開的實戰攻防演習中,如果防守方能用好“蜜罐”技術,實現欺騙誘捕,等待攻擊方的,也許天天都是“愚人節”。