春秋云阵蜜罐:仿得真、抓得全、易分析 – 作者:Joneqiong

兵者,诡道也。故能而示之不能,用而示之不用,近而示之远,远而示之近。利而诱之,乱而取之,实而备之,强而避之,怒而挠之,卑而骄之,佚而劳之,亲而离之,攻其无备,出其不意。此兵家之胜,不可先传也。

——《孙子兵法》

 

 

攻防博弈需“出其不意,智慧破局”

 

网络空间的对抗无时无刻不在发生,攻防之间的较量实质上是情报获取能力的博弈,谁先暴露自己的薄弱点,谁就会落于下风。在以往若干年的对抗中,防御方通常会利用各类安全设备、加密鉴权等来武装自己,练就一身“金钟罩”和“铜皮铁骨”,力图把攻击者的攻击化解于体系之外。

 

然而近年来随着“新基建”浪潮下的数字化转型加快,万物互联已渐成型,网络架构愈加复杂和多元化,无意间架设起来的各类间接数据通道变得愈加难以察觉,接触内部数据的人员身份也在系统的边界内外多重转换,这一切都让“金钟罩”上薄弱的“罩门”越来越多,博弈获胜的天平在逐渐向攻击者一侧倾斜。即使如美国五角大楼这样的军政要地、谷歌、索尼等网络防护严密的商业巨头均有被成功突破的网络安全事件。

 

图片[1]-春秋云阵蜜罐:仿得真、抓得全、易分析 – 作者:Joneqiong-安全小百科

网络安全防御者亟待解决的问题

 

显然,单纯的“铜皮铁骨”已不能防御和隔绝来自外部的各类高级别攻击,必须要有相应的技术手段对已经隐蔽的、进入系统机体内部的威胁进行发现和处置。这也正是蜜罐蜜网系统在近两年受到广泛关注的原因。

 

前文已经提到,网络空间的对抗是攻防两端的情报式对抗,防御者必须更多、更准确的获取到攻击者的信息才能在博弈中占得先机。攻击者在刚进入系统内部时在信息层面上处于弱势,必须小心翼翼的利用各种工具获取系统内部信息、探测薄弱点和高价值目标。而这正是蜜罐蜜网的价值所在,一方面在其探测中将其定位,一方面也诱骗攻击者使其以为已经获得了高价值目标,并不断的把精力留存在这个蜜罐创造的虚拟空间中

 

蜜罐蜜网系统就像信息系统机体内部设置的“淋巴系统”,分布于信息系统的各类关键位置,攻击者一旦触碰,隐秘的报警即被触发,从而实现对所有攻击的零误报,同时其在虚拟空间的各类数字指纹、社交账号、系统相关信息、使用的攻击工具等也均被详细的留存起来。而最棒的是,这个“淋巴系统”对已知还是未知、常规还是高级的攻击一概有效

 

选择蜜罐必须考量的三个关键点

 

那么,什么样的蜜罐系统才是好用并且实用的呢?通常从以下几个方面考量。

图片[2]-春秋云阵蜜罐:仿得真、抓得全、易分析 – 作者:Joneqiong-安全小百科

 

1仿得真,捕得到

 

众所周知,蜜罐实质上是欺骗式防御技术,只有高仿真、高甜度的蜜罐才能成功欺骗诱导攻击者,并让攻击者陷入“沉浸式”体验。是否仿的足够真、场景足够甜,是选择蜜罐的首要考量点。

 

春秋云阵蜜罐以平行仿真系列技术为核心,能够依据现实网络系统进行细粒度场景仿真,模拟各类高逼真的典型网络业务场景,欺骗并诱导攻击者不断深入,进而实现高甜度诱捕、零误报发现、高处置防御,为防御体系构建一个全新的优势维度。

 

  • 数百种应用仿真:以往提到蜜罐,大多会分为低交互蜜罐和高交互蜜罐两类,通过在这些蜜罐上对常用的端口、服务、应用等做仿真或部署,来吸引攻击者的注意,进而对其实现诱捕。春秋云阵蜜罐自带数百种这样的仿真服务或应用,直接在后台勾选即可启用或关闭

     

  • “高甜度”蜜罐设计:捕获精明的“猎物”需要更高级的陷阱。春秋云阵提供智能化高交互式界面,防御者可基于浏览器的远程桌面对内置靶标中的web服务页面、数据库字段、其他常用服务账号,甚至其中的仿真数据等进行任意配置和修改,将通用陷阱修改为与周围信息系统环境完全一致的“高甜度”仿真蜜罐。系统自带爬取工具,也可指定URL进行自动化数据学习和爬取;

     

  • 随需构建和配置蜜网:如果说一个蜜罐是给了攻击者一个房间进行探索的话,那蜜网就相当于给了攻击者一栋大楼,可以让他们长时间的留存在一个由防御者营造的虚假多层空间中,不断的暴露自身的更多信息。春秋云阵基于平行仿真系列技术和网络靶场构建的“春秋云”底层架构,全面支持利用自有的各类靶标进行简单可视化的蜜网构建;

     

  • 多类型诱饵部署:春秋云阵支持多类型信息诱饵模式,防御者可以从后台页面中导出相应诱饵文件或信息,快速喷洒到互联网、内网主机或一些重要信息片段的内部,引诱攻击者进到蜜罐陷阱中。

     

 

 2抓得全,证据足

 

上面第一条“仿得真”是为了诱捕攻击者,而这第二点则为了在攻击者进到蜜罐后获取其更多信息。在网络空间中,任意的访问行为都会或多或少的留存下相应的信息线索,如何能精准、有效、清晰的获得这些平时不易察觉的数据是蜜罐价值的一大呈现

 

春秋云阵能够从流量和蜜罐靶标两个层面,全面获取和识别攻击者各类信息,主要包括:

  • 识别攻击者ip等五元组信息;

     

  • 识别攻击者应用的各类扫描或arp、DoS等攻击流量模式;

     

  • 记录攻击者的操作系统、浏览器指纹、cookie信息、社交账号等身份相关信息,详细留存攻击者在攻击过程中所使用或生成的工具、文本等各类样本证据,以及全部攻击流量;

     

  • 根据春秋云阵专家系统存有的六大类一百余种确定手法,可识别攻击者在进入蜜罐系统后的所有攻击行为。

     

 

3易分析,看得清

 

在捕获到足够的攻击者信息后,下一步的关键就是溯源和定位。春秋云阵具备非常易用的数据查询和分析能力,可梳理出关键攻击节点信息并完成溯源分析

 

  • 独创“罐内威胁和罐外威胁”双视角分析模式:首先将触碰和探测蜜罐入口的行为定义为罐外威胁,而将真正通过漏洞利用等方式进入到蜜罐仿真场景后的行为定义为罐内威胁。通常罐外威胁数据量较大,有大量的探测和尝试行为;而罐内威胁则基本是攻击者明确的攻击行为,数量较少,但行为轨迹明确而简练;

 

  • 支持多维表达式级联“高级检索”例如有些攻击者在尝试攻击时,会借助工具使用多个ip同时发起攻击,像进行漏洞扫描或密码爆破等,这时候就可以利用攻击中的特征进行级联查询,确定这些攻击者ip之间的关联关系等;

     

  • 完整威胁ip画像:针对任意一个威胁ip,可对其攻击的整个尝试和渗透过程进行基于时间线的展示,清晰的呈现出攻击者的各类虚拟身份信息、攻击手法、攻击路径及结果等信息,一目了然的掌握其攻击方式方法、目的及路径等;

     

图片[3]-春秋云阵蜜罐:仿得真、抓得全、易分析 – 作者:Joneqiong-安全小百科

 

  • 态势感知和可视化报表展示:为了更好的体现一段时间内蜜罐所在位置的安全态势和情况,针对罐内威胁和罐外威胁,春秋云阵均提供了高可视化态势感知图表,利用多种大数据技术从时间趋势、攻击者地理位置分布、攻击手段分布、攻击数量等多个维度进行分析和展示,同时支持报表的多种格式导出。

 

 

专业的产品更有专业的服务加持

 

春秋云阵具有简单易实施的部署特点。主要由仿真蜜罐以及数据管控中心两个部分组成,支持私有云化环境部署、独立设备部署等多种模式。

 

同时,永信至诚网络安全服务专家团队基于多年的攻防对抗及咨询服务经验,可根据用户的信息系统部署情况、网络架构、安全级别等定向设计具有自身特色的部署方案。在不影响现有网络的安全架构下,利用春秋云阵蜜罐系统高仿真、高甜度、零误报、易部署等的特性,提升其在网络攻防对抗中的成效,及时发现和捕获攻击者,延缓和阻断攻击,全面保护信息资产安全。

来源:freebuf.com 2020-07-08 11:43:58 by: Joneqiong

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论