重磅发布|主机安全联动蜜罐解决方案助力大型攻防演练 – 作者:安全狗safedog

经过一段时间的开发与筹备,安全狗于3月23日正式迎来主机安全联动蜜罐解决方案的落地!

在此前,安全狗根据实际的安全场景,结合近几年概念的演进和大量的安全实践,融合近年攻防对抗中的实战经验,开发出了涵盖主机安全、容器安全、微隔离、补丁管理等安全需求的产品矩阵,形成了安全狗的工作负载安全解决方案。

云眼作为其中四件套之一,采用先进的自适应安全架构及端点检测及响应(EDR)解决方案,提供云+端的云安全管理平台为用户解决公有云、私有云和混合云环境中可能遇到的安全及管理问题。云眼主要包含资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块,各个模块进行联动,模块间数据联通,形成闭环系统,为企业提供强有力的采集、检测、监测、防御、捕获能力,对主机进行全方位的安全防护。

此次升级后的云眼,与之前最大的区别在于微蜜罐的引入以及能与蜜罐诱捕系统产生联动,以此解决目前以APT攻击为首的,对网络安全威胁较高的黑客攻击技术与手段。不仅适用于日常的安全防御体系的建设与完善,也适用于近年热门的“大型攻防演练”场景。

主机安全联动蜜罐解决方案扭转被动局面

当前主流的网络安全防御体系,一般是由防火墙、入侵检测和防御、Web应用防火墙以及杀毒软件组成,虽然从某种程度上也实现了纵深防御,但是这些安全产品的运作方式主要是依赖已知攻击特征库对网络流量进行模式匹配,而对于新型攻击、0day漏洞利用和APT等攻击方式却无能无力。

有“恶意商业间谍威胁”行为之称的APT重则“撼动”国家安全系统,轻则勒索百万到上亿勒索赎金。在APT对国家、社会和企业的危害越来越明显且越来越大的局势之下,企业用户等防守方亟需采用“主动攻势”扭转这种“被动”、不平衡的对抗局面。

新版云眼升级的功能之一,即蜜罐,则能有效协助防守方“化被动为主动”。新版云眼可识别已知,尤其是未知威胁等入侵行为,在入侵行为对信息系统发生影响之前,通过及时且精准的预警,有效地避免、转移、降低信息系统面临的风险,由此“扭转局势”,让企业用户等防守方“占上风”。

image.png

主机安全联动蜜罐解决方案以假作真 诱敌深入

特点1:新版云眼支持微蜜罐功能“以假乱真”

在原先的功能基础上,新版云眼可支持微蜜罐功能。通过对指定的主机设置不同的端口监听策略,当监听端口被攻击时,若部署了云幻蜜罐系统,则将攻击流量引导到该端口对应的蜜罐系统上;若未部署蜜罐系统则阻断攻击者攻击行为。云眼设置的蜜罐端口被攻击时实时生成告警事件,告警事件能够通过手机和邮箱进行推送。

(1)事前

1.支持对指定的主机设置不同的端口监听策略;

2.支持针对全局设置IP白名单。

(2)事中

1.持续监听端口当被攻击时,若部署蜜罐主机,则将攻击流量引导到部署好该端口对应服务的蜜罐主机,若未部署则阻断攻击者攻击行为;

2.蜜罐端口被攻击时支持实时生成告警事件,告警支持推送到手机和邮箱。

(3)事后

1.支持记录和回放攻击者在蜜罐主机的攻击行为;

2.支持隔离蜜罐主机与真实业务环境;

3.支持识别攻击者硬件指纹。

通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对诱饵实施攻击,并将攻击方困在仿真的业务环境中,给攻击方真实的反馈。在攻击方未察觉的情况下对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机。能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

特点2:新版云眼联动蜜罐诱捕系统“诱敌深入”

(1)联动原理

当攻击者进行攻击时,蜜罐诱捕节点能够迅速检测到攻击行为,并且将攻击流量引入蜜罐系统,使其远离真实网络,同时延缓攻击进程,为用户争取应急响应时间。与此同时,对攻击者进行全程监控,详细记录攻击步骤、攻击工具和攻击手段,作为日后取证的依据。

在云眼服务端同步云幻蜜罐列表及各蜜罐支持的服务,配置监听端口,下发策略至相关服务器。当攻击者直接对真实服务器进行攻击时,真实服务器部署了云眼客户端,通过端口持续进行监听,一旦云眼客户端发现蜜罐端口被攻击,则实施反馈事件信息并将攻击流量引入蜜罐系统。

(2)联动的优势

9p6PBEgM_ne4q.png

通过新版云眼和蜜罐诱捕系统的联动,可实现构建全网仿真环境、摆脱被动挨打局面、解决内网安全盲点、对抗高级未知威胁、完整定位证据源头等优势。

为大型攻防演练增设的更多功能

除了以上提到的2个功能特点外,在结合多年来大型攻防演练的实战经验以及安全前沿技术,新版云眼还新增一系列功能助力用户更好地应对即将到来的实战演练:

(1)新增支持账号防护功能,有效控制和管理账号

支持禁止创建系统账号(Windows系统适用);

支持禁止账号提权(Linux系统适用),开启后用户组禁止转入账号,阻止账号提权;

支持禁止账号创建(Linux系统适用),开启后将无法创建新账号。

(2)客户端兼容国产化产品ARM架构的CPU

满足更多用户的兼容需求

(3)资产采集web容器增加中创的采集

(4)优化漏洞风险及入侵威胁概览模块,安全“看”得见

支持展示各个模块下风险及入侵事件的发现及处置分布图

新版云眼的发布,将更好地为更多企业用户及时、准确、到位、省时省力地守护最后一道防线安全。

主机安全联动蜜罐解决方案助力大型攻防演练

从2016年《网络安全法》的颁布开始,国家开始每年进行大型攻防演练。历时5次的大型攻防演练也慢慢地从“小打小闹”等一些常规方法转变成“出其不意”、“出乎意料”等的打法,比如满天飞的0day、进攻型脚本后门版本升级、进攻流量隧道加密、免杀、不落地等各种招数、利用供应链间接入侵,等等“非常规”操作涌现使得整体演练环境趋向于实战规模场景。虽然这无疑让各行各业里参加的企业单位组织等“头痛不已”,但也算是为真实的攻击事件做提前准备。

面对大型攻防演练的逼近,安全狗主机安全联动蜜罐解决方案的落地对于经常困顿在“被动挨打”局面的企业单位而言无疑是暗室逢灯。

针对信息采集踩点、获得突破口、由外向内渗透拿下主机权限、最后逐步接近靶标,并拿下目标的红队攻击路径,主机安全联动蜜罐解决方案通过模拟服务,监听端口连接并记录数据包,可以实现端口扫描和暴力破解的检测等,从而进行精准告警。

从2015年安全狗第一版云眼诞生后,随着上百次版本迭代、高额研发费用的投入,云眼的功能不断增加,安全能力也越发完善,不仅为多个行业客户成功提供了持续且稳定的安全能力,也获得国内外多个专业咨询机构以及行业内权威媒体的认可,在历年的大型攻防演练活动中得到很好的应用。此次新版本的升级,也获得众多客户的关注。

除了此次蜜罐层面的功能升级,安全狗还推出了面向攻防演练的新一代整体安全服务方案。(可点击这里了解)通过专业团队、工具以及专业运营流程提出的新一代整体安全保障思路,涵盖风险管理能力、检测和响应能力、合规驱动管理能力、内外部数据安全保障能力、快速自动化能力、攻防对抗演练能力、新攻击面响应能力在内,能体系化、持续化地解决网络安全建设核心问题。

为了帮助更多客户“轻松”地应对即将到来的大型攻防演练活动,安全狗新版云眼特意预留试用机会,如果您是新客户,可以扫描下方的二维码填写表格,申请试用资格,如果您已经是安全狗的客户,则可以联系对应的销售进行升级。

云眼新版试用申请表21.3.23.png

(扫码申请试用)

更多阅读

重磅!安全狗发布面向攻防实战的整体保障解决方案

来源:freebuf.com 2021-03-23 10:23:41 by: 安全狗safedog

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论