基于蜜罐实现拟态仿真与主动欺骗防御
基于蜜罐实现拟态仿真与主动欺骗防御
吸引攻击:通过SDN软件定义网络技术部署大量蜜罐,设置大量诱饵,以及采用独特的威胁引流技术主动吸引攻击,威胁捕获率可达100%;
仿真牵制:根据客户的网络环境,可自适应调整高交互蜜罐的部署策略,同时支持拟动态克隆功能,用户无需额外定制开发便可仿真有动态交互功能的真实业务系统:通过对真实业务系统进行流量学习,形成机器记忆,生成的克隆蜜罐可与真实业务系统一样进行前后端的数据交互,迷惑攻击者使之流连忘返;
溯源捕获:对攻击行为以及攻击者身份进行全面溯源,产生内生威胁情报,扭转攻防过程信息不对称的局面;
处置:可对内网威胁采取一键微隔离,对外网威胁采取多种攻击反制手段。
技术亮点
1、攻击吸引-基于SDN技术全网蜜罐部署
高捕获率部署模式:幻影系统基于SDN的仿真欺骗节点批量化部署技术,可将诱捕能力发布到全网各个网段,无须在客户服务器中安装agent,极大提高黑客攻击蜜罐的概率。如下图例子所示,在运维区旁路trunk接入幻影系统,便可在各个网络区域、网段快速生成多个高交互的蜜罐。
2、仿真牵制-拟动态仿真与完全仿真
幻影系统除了内置大量的高交互蜜罐,还支持仿真客户的动态网站,仿真后的蜜罐与真实业务系统一样可进行前后端的数据交互,比如支持:“搜索查询、登陆验证、账号注册”等动态交互,只有仿得像,才可以迷惑攻击者,让客户在蜜罐上停留得更久。
同时还支持完全仿真其它TCP协议的应用,比如完全仿真客户自建的漏洞靶场、工控应用、IOT设备等。
3、溯源捕获-高分辩率黑客画像
洛卡尔物质交换定律:凡物体与物体之间发生接触后会存在物质的转移,目标物体会从源物体上带走一些物质,同时也会将自身的一些物质遗留在原物体上。洛卡尔物质交换定律告诉我们,犯罪行为人只要实施犯罪行为,必然会在犯罪现场直接或间接地作用于被侵害客体及其周围环境,会自觉或不自觉地遗留下痕迹。
黑客入侵蜜罐同样会留下痕迹,会被幻影系统记录并分析出黑客画像。幻影系统黑客画像支持5个维度,包括:设备指纹、位置信息、社交指纹、反向探测-漏洞信息、攻击者标签,5个维度具体的溯源信息如下图所示。
4、溯源捕获-攻击链取证技术
幻影系统基于MITRE ATT&CK理念,从“网络层、应用层、主机层”对攻击行为全量溯源,提取攻击入侵证据:“攻击特征取证、行为取证、日志取证、病毒取证”,全面还原攻击者入侵过程:探测扫描、渗透攻击、攻陷蜜罐、后门远控、跳板攻击。
用户可在幻影系统的web集中管理界面上,一键提取指定攻击源的攻击链条日志,还原入侵蜜罐的过程,输出入侵证据。
5、处置与联动
外网威胁处置:非凡幻影系统具备了多种不同烈度的攻击反制;
内网威胁处置:无需联动第三方设备或者在主机预装Agent,幻影系统可一键微隔离下线失陷主机;
联动能力:拥有丰富的API以及标准syslog输出接口,可与第三方设备进行快速联动。
用户反馈
通过幻影系统内置的拟动态仿真功能,高效地仿真了8个电网业务系统,在攻防演练对抗中,有效吸引了大量攻击火力,同时促进了攻击者真实身份的溯源。
——某省级电网客户
非凡幻影系统实现了5个IDC机房节点的蜜网覆盖,部署了大量的内网蜜罐以及互联网蜜罐,成功地将欺骗防御能力补充到我省运营商的安全防护体系中,提升了IDC的安全保障水平。
——某省级运营商
通过部署100+套蜜罐,实现市、区、县多级组网的全威胁监测覆盖,让攻击者在大量的蜜罐与诱饵中迷失,精准的捕获到潜在的攻击行为。
——某地市公安局
其实我们部署了不少流量安全检测设备,但是发现幻影系统在内网威胁监测,尤其是横向攻击威胁监测这方面,捕获得更多且更准,发现不少潜在的病毒主机。
——某地市税务局
幻影系统拥有灵活的部署能力,只需一套幻影系统,就能通过探针将蜜罐能力发布到数据中心、办公网、甚至公有云上,满足了我司的蜜罐覆盖需求,同时降低管理成本。
——某大型制造业公司
我们POC测试了多家厂商,非凡幻影系统在蜜罐部署、仿真、溯源方面都有不错表现,其优秀的技术支撑也是我们选择跟非凡合作的原因之一。
——深圳某证券公司
安全牛评
随着互联网的迅猛发展和广泛应用,用户网络安全防护意识已普遍增强,企业均部署了多种网络安全防护设备对自身业务进行防护。在这样的发展形势之下,一种新型的攻击方式孕育而生,那就是 APT (Advanced Persistent Threat)攻击。对于此类攻击,传统的防御手段收效甚微。而蜜罐作为一项欺骗防御技术,是通过蜜罐内设置的漏洞、敏感信息等引诱入侵者攻击的系统,从而降低用户计算机受攻击的风险,并且为寻找攻击解决方案提供了机会与时间。非凡安全研发的幻影蜜罐系统正是基于用户在攻防对抗中主动诱捕、溯源反制需求而研制,提高了用户对于攻击行为诱捕的能力。