经纬信安蜜罐系统
2023-6-14 10:56:9 Author: www.aqniu.com(查看原文) 阅读量:29 收藏

经纬信安蜜罐系统

日期:2023年06月14日 阅:97

随着 AI、5G、IPv6等高新技术逐渐普及,在提升网络性能、创新网络安全解决方案的同时,新型攻击也不断显露,防不胜防。据统计,平均每秒可以侦测到5个软件变体,平均不到一分钟就会遭受一个勒索软件攻击,每小时超过100个未知的恶意软件攻击,每天有100万个新的恶意文件产生。然而,企业平均需要100天才能侦破受到的攻击。

目前主要网络安全防御措施存在许多问题,如:基于已知规则库的更新,几乎不能防御未知攻击、高误报率,真正的攻击被大量的误报所掩盖、安全设备检查加密流量却影响网络性能、重边界轻内部等等。而攻击者往往只要发现一个问题就能攻破防线。

如今,新型威胁尤其是APT、0day攻击迅速增加,需要欺骗防御等新型主动防御方式改变攻防不对称局面。

一.产品概述

经纬信安自主研发的戍将攻击诱捕平台(简称戍将)以攻击者视角,基于ATT&CK的攻击者全链路欺骗防御,以PPDR自适应安全架构,实现威胁感知、攻击诱捕、行为分析、溯源取证、联动防御,自适应闭环解决网络威胁问题。产品已广泛应用于政府、军队、金融、通信、交通、电力、教育、医疗等众多领域。

戍将架构图

攻击转移:在业务网段内的空闲主机上部署轻量级的微蜜罐;无探针模式的蜜饵、蜜标;空闲IP地址的小探针;以及自动获取大量空闲IP地址的大探针模式,仿佛天罗地网,真真假假,一旦攻击者攻击诱捕节点的开放端口,攻击流量就被转向后端蜜网中对应的蜜罐;

深入诱捕:在多个诱捕节点能访问到的公共区域的一台主机上集中部署实体蜜罐,与从诱捕节点转移过来的攻击流量进行响应,对攻击者形成高交互反馈,同时记录攻击者在其内部的行为;

智能分析:事件汇总引擎收集来自诱捕端和蜜网中捕获的行为,实时产生威胁告警事件,并在数据库中持久化。形成事件分析、攻击链分析、黑客画像、溯源分析,并全流量取证分析。同时,生成全单位的内生情报,形成共享机制,先发制人;

联防联控:戍将的旁路阻断系统能自动切断恶意攻击,戍将也能联动防火墙、WAF实现攻击源自动封堵。

戍将平台能尽早发现网络攻击、监测和防御高级威胁,极低误报,旁路部署,不限场景,不限行业,应用广泛。戍将平台一键扩展蜜针,海量触角,让攻击无处遁形。内置威胁情报,多方位立体化综合分析,提供响应策略,根据响应策略自动阻断攻击IP。后端深入诱捕,让攻击者流连忘返;可有效改变攻防不对称状况,是对传统检测防御能力的增强和补充。

二.核心功能

01蜜网管理

简单方便的观察、部署、管理蜜罐和探针。可通过桥接和转发两种方式部署蜜罐,用户可以根据自己的需求自定义蜜罐。可通过单个蜜罐关联、蜜罐模板关联、选择多个模板等方式自主设置蜜网。

02威胁情报

实时更新平台捕获的威胁情报数据和本地攻击情报数据。在戍将威胁情报库中搜索目标IP的相关信息,包括属地、IP属性以及情报库中该IP发起的所有攻击事件记录。可通过IP地址查询本地攻击情报的详细信息。

03威胁感知

高仿真蜜罐吸引攻击者,在攻击者侦查阶段就能第一时间有效感知入侵行为,引诱、迷惑攻击者,提供几乎无缺陷的检测,有效快速识别威胁。

04攻击诱捕

将防御蜜阵部署在当前环境的网络系统中,实现攻击全链路欺骗防御,对攻击者的战术、技术和过程进行检测、防御和响应,从攻击者的视角进行主动诱捕,并对攻击进行隔离、阻断。

05威胁分析

记录攻击行为,自动分析攻击者采用的战术、技术和步骤,对攻击行为回放,分析攻击路径,还原整个攻击链,预测攻击者的意图,评估攻击者下一步将采取的技术手段,预测预防。实时更新平台捕获的攻击事件,全面展示攻击事件的信息,包括类型、描述和等级以及该事件的处置情况。对攻击者IP进行关联分析和路径分析,分析攻击了哪个蜜罐、探针和真实资产。

06威胁处置

实时展示戍将攻击诱捕平台与防火墙等设备的联动处置情况,处置建议和处置结果。突出显示行为不正常的内网IP,并显示风险等级和处置建议。统计由蜜罐捕获的攻击者口令爆破所用的词典、阻断列表等信息,为客户提供参考防患未然。

07溯源取证

攻击溯源取证,攻击链路回溯,定位攻击者指纹信息(IP地址、MAC地址、操作系统版本、设备型号等),追踪攻击者;有效解决“谁进来了不知道、是敌是友不知道、干了什么不知道”的问题。

三.技术优势和特色

01广布诱饵,丰富触角

从攻击者探测阶段获取攻击者信息,预防攻击。部署方案采用大探针,一键获取外网和内网空闲IP,自动扩大映射点,攻击者更容易踩到蜜罐。

02全链路深入诱捕

自研专利技术的基于ATT&CK攻击者全链路欺骗防御,在攻击者必经之路设置欺骗点,诱使攻击者攻击仿真的系统,自动推送攻击者感兴趣的蜜罐,记录攻击者完整的攻击链信息。

基于ATT&CK攻击者全链路欺骗防御

03拟态诱捕,高仿真

拟态蜜罐通过学习网络环境,自动模拟网络中的脆弱性环境以及仿真业务环境,形成孪生系统,记录攻击者细粒度行为,反馈真实业务加固防护。

04动态场景变换,增强迷惑性

根据环境场景情况智能部署适应性的场景蜜罐,并能够自动适应动态变化的场景蜜罐,增强对攻击者的迷惑性。

05内置威胁情报,多方位立体分析

基于全球海量多元威胁情报,大数据分析行业情报数据,进行多方位立体化综合分析,提供快速响应情报,根据响应策略自动阻断攻击IP。

06溯源反制,主动防御

通过溯源获取攻击者20余种社交信息、位置信息、设备信息;达到准确定位、溯源和反制攻击者。

07自动化阻断

基于流量监测取证,全天候感知网络空间攻击态势,综合情报信息搜集,实现全方位威胁感知可视分析。配置有旁路阻断系统,根据自定义策略判断,自动阻断恶意攻击。

四.应用案例

某大型商业银行HW方案

发现问题:

发现重大安全隐患和威胁:

(1)发现业务系统高危漏洞;

(2)发现7001端口的weblogic攻击;

(3)部分业务存在拒绝服务情况。

解决问题:

反馈客户攻击信息,及时上报攻击情况,并及时处理:

  • 系统启动阻断功能,及时隔离攻击病毒
  • 对漏洞升级打补丁,全面清除受感染设备  
  • 提供漏洞缓解措施和方案,同时联动其他安全设备,强化终端业务安全管控。

政府案例

案例单位:江苏省生态环境厅

案例名称:《基于失陷预警的纵横立体监测预警方案》(以第一名的成绩被评为优秀实践案例)

解决方案:

1、实时风险分析,及时发出主机失陷预警。基于蜜针和主机agent,实现纵向和横向流量全覆盖,有效识别暴力破解、异常登录、本地提权、系统后门、webshell等可疑操作,快速定位受害目标及攻击源头,并提供响应手段。

2、攻击诱捕,还原攻击者画像。利用仿真蜜网,吸引攻击流量,结合主机失陷预警,实现攻击诱捕、行为分析、溯源取证等功能,深入诱捕攻击者。

方案价值:

充分挖掘现有系统已知风险,实时监测全网纵向和横向流量,有效识别入侵行为,及时预警,让安全防护和入侵探测可视化。增强实战攻防能力,提升整体安全防御能力。

国企案例

案例单位:某大型国企集团

案例名称:《综合预警主动防御平台》

解决方案:

1、将蜜罐暴露面充分前置

2、第一时间发现攻击并告警

3、实时联动防火墙阻断攻击

4、精准捕获攻击、实时主动防御

方案价值:

攻击诱捕不再仅仅用于重保期间,还是日常网络安全检查和防御的高效产品,从事中检测成为事前检测,从事中防御提前到事前防御;从主动检测到主动防御,大大节省了研判时间和人工效率,不仅关注狩猎的过程,也看狩猎成果;剔除噪声告警,精准捕获攻击、实时主动防御,让安全更高效。

经纬信安(LalonSec)成立于2015年11月,是中关村高新技术企业、国家高新技术企业,获得安全牛《2020年中国网络安全行业全景图》威胁捕捉优秀厂商代表,数世咨询《 2020年中国网络安全能力图谱》欺骗防御技术优秀安全厂商代表。公司总部位于北京,在南京、杭州设有子公司。


文章来源: https://www.aqniu.com/vendor/96908.html
如有侵权请联系:admin#unsafe.sh