默安科技“二代蜜罐”在红蓝对抗中的应用 – 作者:默安科技

引 言

“在国内的大型攻防演练活动中,默安科技的蜜罐方案一直有着出色的表现,凭借特有的设备指纹等技术描绘出攻击者画像,帮助防守者捕获大量攻击者的网络身份、姓名、电话、照片等真人信息,很大程度地扭转了攻防不对称的局面。”

传统的蜜罐方案在攻防实战中,遇到诸多的挑战:

1. 一般来说,高交互环境只覆盖10%到20%的业务,如果攻击者直接对真实的IP、端口发起攻击,而不发起扫描时,当前的蜜罐方案难以捕捉。

2. 蜜罐方案要产生效果,非常依赖于攻击者的触碰,而提升效果最简单的办法就是扩大欺骗防御的节点,但随着资产量级的上升,节点的部署和维护成本都会成倍上升。

3. 高交互蜜罐扩展欺骗防御节点要求具备很强的技术功底,会进一步带来安全人才方面的压力。

“二代蜜罐”解决方案

默安科技“二代蜜罐”解决方案以极低的成本,实现对企业资产与业务的全量欺骗防御覆盖,从内外网大规模的威胁感知、自定义深度攻击溯源、攻击反制等多个维度,帮助防守方在红蓝对抗中改变“攻防不对等”的状态,最终夺取这场战役的胜利。

01 旁路请求分发  低成本大面积覆盖

默安科技“二代蜜罐”方案基于旁路请求分发技术和拟态虚假应答技术,以极低的成本,做到对企业资产和业务的全量欺骗防御覆盖;提供的高交互仿真资产,能够极大程度地耗尽攻击方的精力和时间。

基于资产脆弱性状态与攻击者入侵深度,支持用户一键编排欺骗网络,构建动态欺骗网络,让攻击者无法看到真实的企业资产信息与网络拓扑;同时开放API,用户可结合其它安全产品,自动化构建动态欺骗网络。图片[1]-默安科技“二代蜜罐”在红蓝对抗中的应用 – 作者:默安科技-安全小百科

 02 中继节点  内网快速全面部署

由于攻防的不对称性,攻击者在暗,防守者在明,攻击者找到一个弱点就可以突破,防守者却要保证所有资产100%安全;而且攻击者还有可能使用0day、社工等难以防御的攻击手法,因此,在红蓝对抗中有较大概率会被突破到内网。

默安科技“二代蜜罐”解决方案通过“中继节点”填满各个网段,无论攻击者在内网中的何处隐蔽,只要他进行下一步动作,都会轻易将其捕获,从而尽早找出攻击者所在的“内网立足点”。

方案采用蜜罐产品+“中继节点”组合的方式部署,通过创建高交互蜜罐,“中继节点”覆盖内网,可简单、快速实现大面积覆盖。“中继节点”通过获取网络中空闲IP将攻击流量诱导至沙箱内,实现伪装节点的全面覆盖,实现单台设备覆盖多VLAN多IP的场景,满足数据中心多安全域,集团性企业多分支机构的轻量部署与统一管理。图片[2]-默安科技“二代蜜罐”在红蓝对抗中的应用 – 作者:默安科技-安全小百科

默安科技“二代蜜罐”方案部署示意图

值得一提的是,“总部严防死守,分支相对松懈”是目前集团性企业存在的一个普遍问题,导致一旦攻击者对总部进行攻击就被封禁,然而攻击者转过头来先攻击分支,再通过分支作为跳板攻击总部,大部分都能取得成功。

默安科技的“二代蜜罐”方案通过集中管理中心,除了实现统一监控、设备管理外,还可做到威胁情报的实时同步,攻击过总部的攻击者,在总部封禁的同时,也将在分支机构实施封禁,或者攻击其中一个分支的攻击者,将在总部和其他分支同步封禁。

03 自定义深度攻击溯源

默安科技“二代蜜罐”方案的溯源功能不仅仅是传统的基于IP地址、物理位置的溯源,更是精确到人的溯源,能够区分自动化的机器程序和人的行为,并且不被VPN、代理所蒙蔽,追溯到真实的信息。

基于默安科技的专利技术,该方案能够对感知到的攻击事件进行深度溯源,提供人机识别、网络身份识别、指纹持久化种植、攻击IP识别、物理位置识别等多种功能。默安科技设备指纹技术给黑客植入MoresecID,即使黑客更换IP地址,也会被准确地识别出来。并且,该溯源功能支持自定义,更好地满足用户的差异化需求。

04 如同“狙击手”般的攻击反制功能

默安科技“二代蜜罐”方案具有先进的攻击反制功能,可获取攻击者的敏感信息,包含当前使用设备以及账户的多种信息,获取全面的威胁情报。

通过该方案的高级反制功能,能够对攻击者执行更进一步的操作,从而实现对其行为的精确分析,了解更详细的攻击手法。该反制功能帮助防守方如同拥有“狙击手”一般,建立反情报体系,并实现精准反制。

来源:freebuf.com 2020-08-13 16:57:21 by: 默安科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论