近年來(lái)，網(wǎng)絡(luò)安全建設(shè)從合規(guī)需求為主，轉(zhuǎn)變?yōu)楦匾暼绾尾拍苡行?duì)抗真實(shí)攻擊。由于蜜罐技術(shù)不同于DPI流量檢測(cè)、EDR端點(diǎn)檢測(cè)技術(shù)，它帶來(lái)的是一種新安全能力：欺騙防御能力，能夠在攻防對(duì)抗中主動(dòng)誘捕、溯源反制，扭轉(zhuǎn)攻防不對(duì)稱的現(xiàn)狀，所以蜜罐在近兩三年得以有更大的市場(chǎng)需求。

　　另外，隨著企業(yè)用戶的業(yè)務(wù)上云、遠(yuǎn)程辦公等趨勢(shì)，企業(yè)的出口邊界越來(lái)越模糊，攻擊者入侵的途徑方式越來(lái)越多，只是在邊界上集中部署安全設(shè)備已不能完全應(yīng)對(duì)威脅，客戶需要補(bǔ)充欺騙防御的安全能力，而蜜罐能夠“埋伏”在真實(shí)資產(chǎn)中，對(duì)抗處于暗處的攻擊者，誘捕到潛伏在內(nèi)網(wǎng)中的威脅，滿足用戶的需求，故介于上述行業(yè)背景，發(fā)布本期牛品推薦——非凡安全幻影蜜罐。

　　牛品推薦

　　第三十一期

　　標(biāo)簽

　　01

　　欺騙防御 高捕獲率 高仿真度 可溯源可反制

　　用戶痛點(diǎn)

　　02

　　1、網(wǎng)絡(luò)威脅加劇，蜜罐部署成本高

　　隨著用戶的網(wǎng)絡(luò)邊界變得越來(lái)越模糊，攻擊可能來(lái)自四面八方，用戶希望借助蜜罐主動(dòng)誘捕到潛在的攻擊甚至是橫向攻擊，這便要求蜜罐能在不同的網(wǎng)絡(luò)場(chǎng)景中大量部署，但同時(shí)又不希望增加部署成本和管理成本。

　　2、普通蜜罐仿真性不足，定制化需求增加

　　欺騙防御技術(shù)可以讓攻擊者在蜜罐上停留，相當(dāng)于消耗了攻擊者有限的時(shí)間和資源，間接的保護(hù)了真實(shí)資產(chǎn)。但為了讓攻擊者停留得更久，便要求蜜罐能仿得夠真，往往需要根據(jù)客戶的業(yè)務(wù)系統(tǒng)，進(jìn)行蜜罐定制。

　　3、攻擊類別易界定，但攻擊身份信息難溯源

　　蜜罐可以檢測(cè)到攻擊者的入侵手段，但往往難以較全面留存攻擊者入侵蜜罐的相關(guān)證據(jù)，同時(shí)只能溯源到攻擊行為，難以溯源到攻擊者的真實(shí)身份。

　　4、傳統(tǒng)蜜罐產(chǎn)品缺少威脅處置能力

　　蜜罐若檢測(cè)來(lái)自內(nèi)網(wǎng)的攻擊，相當(dāng)于是捕獲到內(nèi)網(wǎng)的失陷主機(jī)，客戶希望蜜罐系統(tǒng)本身?yè)碛锌焖偬幹玫氖侄?，比如能夠?qū)⑹葜鳈C(jī)隔離，避免影響范圍擴(kuò)大。

　　總的來(lái)說(shuō)，用戶希望擁有一款：“高捕獲率、高仿真度、溯源全面，同時(shí)具備反制處置能力”的蜜罐，這四個(gè)方面也是評(píng)價(jià)一款蜜罐的重要指標(biāo)。

　　解決方案

　　03

　　攻擊誘捕與威脅檢測(cè)系統(tǒng)（簡(jiǎn)稱：幻影系統(tǒng)）是非凡安全自主研發(fā)的蜜罐系統(tǒng)，不同于傳統(tǒng)的威脅對(duì)抗產(chǎn)品，幻影系統(tǒng)通過(guò)“攻擊吸引、仿真牽制、溯源捕獲、處置”，可在攻防對(duì)抗中捕獲更多攻擊威脅，消耗攻擊者更多資源和時(shí)間，并可對(duì)攻擊進(jìn)行全面的溯源，以及采取多種反制處置措施。

　　吸引攻擊：通過(guò)SDN軟件定義網(wǎng)絡(luò)技術(shù)部署大量蜜罐，設(shè)置大量誘餌，以及采用獨(dú)特的威脅引流技術(shù)主動(dòng)吸引攻擊，威脅捕獲率可達(dá)100%；

　　仿真牽制：根據(jù)客戶的網(wǎng)絡(luò)環(huán)境，可自適應(yīng)調(diào)整高交互蜜罐的部署策略，同時(shí)支持?jǐn)M動(dòng)態(tài)克隆功能，用戶無(wú)需額外定制開(kāi)發(fā)便可仿真有動(dòng)態(tài)交互功能的真實(shí)業(yè)務(wù)系統(tǒng)：通過(guò)對(duì)真實(shí)業(yè)務(wù)系統(tǒng)進(jìn)行流量學(xué)習(xí)，形成機(jī)器記憶，生成的克隆蜜罐可與真實(shí)業(yè)務(wù)系統(tǒng)一樣進(jìn)行前后端的數(shù)據(jù)交互，迷惑攻擊者使之流連忘返；

　　溯源捕獲：對(duì)攻擊行為以及攻擊者身份進(jìn)行全面溯源，產(chǎn)生內(nèi)生威脅情報(bào)，扭轉(zhuǎn)攻防過(guò)程信息不對(duì)稱的局面；

　　處置：可對(duì)內(nèi)網(wǎng)威脅采取一鍵微隔離，對(duì)外網(wǎng)威脅采取多種攻擊反制手段。

　　技術(shù)亮點(diǎn)

　　04

　　1、攻擊吸引-基于SDN技術(shù)全網(wǎng)蜜罐部署

　　高捕獲率部署模式：幻影系統(tǒng)基于SDN的仿真欺騙節(jié)點(diǎn)批量化部署技術(shù)，可將誘捕能力發(fā)布到全網(wǎng)各個(gè)網(wǎng)段，無(wú)須在客戶服務(wù)器中安裝agent，極大提高黑客攻擊蜜罐的概率。如下圖例子所示，在運(yùn)維區(qū)旁路trunk接入幻影系統(tǒng)，便可在各個(gè)網(wǎng)絡(luò)區(qū)域、網(wǎng)段快速生成多個(gè)高交互的蜜罐。

　　2、仿真牽制-擬動(dòng)態(tài)仿真與完全仿真

　　幻影系統(tǒng)除了內(nèi)置大量的高交互蜜罐，還支持仿真客戶的動(dòng)態(tài)網(wǎng)站，仿真后的蜜罐與真實(shí)業(yè)務(wù)系統(tǒng)一樣可進(jìn)行前后端的數(shù)據(jù)交互，比如支持：“搜索查詢、登陸驗(yàn)證、賬號(hào)注冊(cè)”等動(dòng)態(tài)交互，只有仿得像，才可以迷惑攻擊者，讓客戶在蜜罐上停留得更久。

　　同時(shí)還支持完全仿真其它TCP協(xié)議的應(yīng)用，比如完全仿真客戶自建的漏洞靶場(chǎng)、工控應(yīng)用、IOT設(shè)備等。

　　3、溯源捕獲-高分辯率黑客畫像

　　洛卡爾物質(zhì)交換定律：凡物體與物體之間發(fā)生接觸后會(huì)存在物質(zhì)的轉(zhuǎn)移，目標(biāo)物體會(huì)從源物體上帶走一些物質(zhì)，同時(shí)也會(huì)將自身的一些物質(zhì)遺留在原物體上。洛卡爾物質(zhì)交換定律告訴我們，犯罪行為人只要實(shí)施犯罪行為，必然會(huì)在犯罪現(xiàn)場(chǎng)直接或間接地作用于被侵害客體及其周圍環(huán)境，會(huì)自覺(jué)或不自覺(jué)地遺留下痕跡。

　　黑客入侵蜜罐同樣會(huì)留下痕跡，會(huì)被幻影系統(tǒng)記錄并分析出黑客畫像?；糜跋到y(tǒng)黑客畫像支持5個(gè)維度，包括：設(shè)備指紋、位置信息、社交指紋、反向探測(cè)-漏洞信息、攻擊者標(biāo)簽，5個(gè)維度具體的溯源信息如下圖所示。

　　4、溯源捕獲-攻擊鏈取證技術(shù)

　　幻影系統(tǒng)基于MITRE ATT&CK理念，從“網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層”對(duì)攻擊行為全量溯源，提取攻擊入侵證據(jù)：“攻擊特征取證、行為取證、日志取證、病毒取證”，全面還原攻擊者入侵過(guò)程：探測(cè)掃描、滲透攻擊、攻陷蜜罐、后門遠(yuǎn)控、跳板攻擊。

　　用戶可在幻影系統(tǒng)的web集中管理界面上，一鍵提取指定攻擊源的攻擊鏈條日志，還原入侵蜜罐的過(guò)程，輸出入侵證據(jù)。

　　5、處置與聯(lián)動(dòng)

　　外網(wǎng)威脅處置：非凡幻影系統(tǒng)具備了多種不同烈度的攻擊反制；

　　內(nèi)網(wǎng)威脅處置：無(wú)需聯(lián)動(dòng)第三方設(shè)備或者在主機(jī)預(yù)裝Agent，幻影系統(tǒng)可一鍵微隔離下線失陷主機(jī)；

　　聯(lián)動(dòng)能力：擁有豐富的API以及標(biāo)準(zhǔn)syslog輸出接口，可與第三方設(shè)備進(jìn)行快速聯(lián)動(dòng)。

　　用戶反饋

　　05

　　通過(guò)幻影系統(tǒng)內(nèi)置的擬動(dòng)態(tài)仿真功能，高效地仿真了8個(gè)電網(wǎng)業(yè)務(wù)系統(tǒng)，在攻防演練對(duì)抗中，有效吸引了大量攻擊火力，同時(shí)促進(jìn)了攻擊者真實(shí)身份的溯源。

　　——某省級(jí)電網(wǎng)客戶

　　非凡幻影系統(tǒng)實(shí)現(xiàn)了5個(gè)IDC機(jī)房節(jié)點(diǎn)的蜜網(wǎng)覆蓋，部署了大量的內(nèi)網(wǎng)蜜罐以及互聯(lián)網(wǎng)蜜罐，成功地將欺騙防御能力補(bǔ)充到我省運(yùn)營(yíng)商的安全防護(hù)體系中，提升了IDC的安全保障水平。

　　——某省級(jí)運(yùn)營(yíng)商

　　通過(guò)部署100+套蜜罐，實(shí)現(xiàn)市、區(qū)、縣多級(jí)組網(wǎng)的全威脅監(jiān)測(cè)覆蓋，讓攻擊者在大量的蜜罐與誘餌中迷失，精準(zhǔn)的捕獲到潛在的攻擊行為。

　　——某地市公安局

　　其實(shí)我們部署了不少流量安全檢測(cè)設(shè)備，但是發(fā)現(xiàn)幻影系統(tǒng)在內(nèi)網(wǎng)威脅監(jiān)測(cè)，尤其是橫向攻擊威脅監(jiān)測(cè)這方面，捕獲得更多且更準(zhǔn)，發(fā)現(xiàn)不少潛在的病毒主機(jī)。

　　——某地市稅務(wù)局

　　幻影系統(tǒng)擁有靈活的部署能力，只需一套幻影系統(tǒng)，就能通過(guò)探針將蜜罐能力發(fā)布到數(shù)據(jù)中心、辦公網(wǎng)、甚至公有云上，滿足了我司的蜜罐覆蓋需求，同時(shí)降低管理成本。

　　——某大型制造業(yè)公司

　　我們POC測(cè)試了多家廠商，非凡幻影系統(tǒng)在蜜罐部署、仿真、溯源方面都有不錯(cuò)表現(xiàn)，其優(yōu)秀的技術(shù)支撐也是我們選擇跟非凡合作的原因之一。

　　——深圳某證券公司

　　安全牛評(píng)

　　隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用，用戶網(wǎng)絡(luò)安全防護(hù)意識(shí)已普遍增強(qiáng)，企業(yè)均部署了多種網(wǎng)絡(luò)安全防護(hù)設(shè)備對(duì)自身業(yè)務(wù)進(jìn)行防護(hù)。在這樣的發(fā)展形勢(shì)之下，一種新型的攻擊方式孕育而生，那就是 APT （Advanced Persistent Threat）攻擊。對(duì)于此類攻擊，傳統(tǒng)的防御手段收效甚微。而蜜罐作為一項(xiàng)欺騙防御技術(shù)，是通過(guò)蜜罐內(nèi)設(shè)置的漏洞、敏感信息等引誘入侵者攻擊的系統(tǒng)，從而降低用戶計(jì)算機(jī)受攻擊的風(fēng)險(xiǎn)，并且為尋找攻擊解決方案提供了機(jī)會(huì)與時(shí)間。非凡安全研發(fā)的幻影蜜罐系統(tǒng)正是基于用戶在攻防對(duì)抗中主動(dòng)誘捕、溯源反制需求而研制，提高了用戶對(duì)于攻擊行為誘捕的能力。