默安科技“二代蜜罐”在红蓝对抗中的应用 – 作者:默安科技

引 言

“在国内的大型攻防演练活动中，默安科技的蜜罐方案一直有着出色的表现，凭借特有的设备指纹等技术描绘出攻击者画像，帮助防守者捕获大量攻击者的网络身份、姓名、电话、照片等真人信息，很大程度地扭转了攻防不对称的局面。”

传统的蜜罐方案在攻防实战中，遇到诸多的挑战：

1. 一般来说，高交互环境只覆盖10%到20%的业务，如果攻击者直接对真实的IP、端口发起攻击，而不发起扫描时，当前的蜜罐方案难以捕捉。

2. 蜜罐方案要产生效果，非常依赖于攻击者的触碰，而提升效果最简单的办法就是扩大欺骗防御的节点，但随着资产量级的上升，节点的部署和维护成本都会成倍上升。

3. 高交互蜜罐扩展欺骗防御节点要求具备很强的技术功底，会进一步带来安全人才方面的压力。

“二代蜜罐”解决方案

默安科技“二代蜜罐”解决方案以极低的成本，实现对企业资产与业务的全量欺骗防御覆盖，从内外网大规模的威胁感知、自定义深度攻击溯源、攻击反制等多个维度，帮助防守方在红蓝对抗中改变“攻防不对等”的状态，最终夺取这场战役的胜利。

01 旁路请求分发  低成本大面积覆盖

默安科技“二代蜜罐”方案基于旁路请求分发技术和拟态虚假应答技术，以极低的成本，做到对企业资产和业务的全量欺骗防御覆盖；提供的高交互仿真资产，能够极大程度地耗尽攻击方的精力和时间。

基于资产脆弱性状态与攻击者入侵深度，支持用户一键编排欺骗网络，构建动态欺骗网络，让攻击者无法看到真实的企业资产信息与网络拓扑；同时开放API，用户可结合其它安全产品，自动化构建动态欺骗网络。

 02 中继节点  内网快速全面部署

由于攻防的不对称性，攻击者在暗，防守者在明，攻击者找到一个弱点就可以突破，防守者却要保证所有资产100%安全；而且攻击者还有可能使用0day、社工等难以防御的攻击手法，因此，在红蓝对抗中有较大概率会被突破到内网。

默安科技“二代蜜罐”解决方案通过“中继节点”填满各个网段，无论攻击者在内网中的何处隐蔽，只要他进行下一步动作，都会轻易将其捕获，从而尽早找出攻击者所在的“内网立足点”。

方案采用蜜罐产品+“中继节点”组合的方式部署，通过创建高交互蜜罐，“中继节点”覆盖内网，可简单、快速实现大面积覆盖。“中继节点”通过获取网络中空闲IP将攻击流量诱导至沙箱内，实现伪装节点的全面覆盖，实现单台设备覆盖多VLAN多IP的场景，满足数据中心多安全域，集团性企业多分支机构的轻量部署与统一管理。

默安科技“二代蜜罐”方案部署示意图

值得一提的是，“总部严防死守，分支相对松懈”是目前集团性企业存在的一个普遍问题，导致一旦攻击者对总部进行攻击就被封禁，然而攻击者转过头来先攻击分支，再通过分支作为跳板攻击总部，大部分都能取得成功。

默安科技的“二代蜜罐”方案通过集中管理中心，除了实现统一监控、设备管理外，还可做到威胁情报的实时同步，攻击过总部的攻击者，在总部封禁的同时，也将在分支机构实施封禁，或者攻击其中一个分支的攻击者，将在总部和其他分支同步封禁。

03 自定义深度攻击溯源

默安科技“二代蜜罐”方案的溯源功能不仅仅是传统的基于IP地址、物理位置的溯源，更是精确到人的溯源，能够区分自动化的机器程序和人的行为，并且不被VPN、代理所蒙蔽，追溯到真实的信息。

基于默安科技的专利技术，该方案能够对感知到的攻击事件进行深度溯源，提供人机识别、网络身份识别、指纹持久化种植、攻击IP识别、物理位置识别等多种功能。默安科技设备指纹技术给黑客植入MoresecID，即使黑客更换IP地址，也会被准确地识别出来。并且，该溯源功能支持自定义，更好地满足用户的差异化需求。

04 如同“狙击手”般的攻击反制功能

默安科技“二代蜜罐”方案具有先进的攻击反制功能，可获取攻击者的敏感信息，包含当前使用设备以及账户的多种信息，获取全面的威胁情报。

通过该方案的高级反制功能，能够对攻击者执行更进一步的操作，从而实现对其行为的精确分析，了解更详细的攻击手法。该反制功能帮助防守方如同拥有“狙击手”一般，建立反情报体系，并实现精准反制。

来源：freebuf.com 2020-08-13 16:57:21 by: 默安科技