企业在安全建设过程中常面临多样化的安全风险与威胁,痛点颇多:资产不清晰导致安全运维工作难以有效开展;内网脆弱性普通,易被黑客渗透获取权限;勒索病毒、挖矿病毒等威胁事件频发且无法有效定位源头;入侵取证难且准确率得不到保证……
内网常见威胁
而传统内网安全解决方案的短板导致难以完整解决现有问题——
使用IDS检测内网:同网段的流量都需要镜像,流量庞大增加链路负载;IDS性能要求高、成本高;海量告警量无法决策;IDS无法检测“东西向”流量的攻击事件…
使用传统漏扫设备:资产梳理功能弱;可入侵漏洞挖掘能力弱;不具备漏洞管理功能…
鉴于以上安全威胁与需求,国舜股份特推出自主研发的网络蜜罐攻击诱捕与威胁感知系统(简称“网络蜜罐”),只需部署一台网络蜜罐设备,便可自动构建企业、单位的网络空间资产网,监测内网资产漏洞风险,同时可在内网各个网络区域生成网络蜜罐陷阱,实时监测内网安全事件。
国舜网络蜜罐攻击诱捕和威胁感知系统
不同于国内传统的蜜罐部署,国舜网络蜜罐攻击诱捕与威胁感知系统无需安装agent,无需流量镜像,无需流量牵引,基于真实环境的全网蜜罐部署模式让“网络蜜罐”在内网无处不在,且已获得相应专利。
国舜网络蜜罐系统是具有高中率、高欺骗性、高精度定位内网安全威胁的新一代蜜罐系统,以”攻击诱捕引擎+资产风险监测引擎“组成“主动+被动”模式的攻击诱捕与威胁检测解决方案。
产品架构图
【事前】梳理资产,监测内网主机漏洞风险,可入侵漏洞监测(POC验证)。
【事中】网络蜜罐蜜罐全网部署,基于攻击链取证技术、诱饵欺骗技术对入侵攻击者进行诱捕。
【事后】基于黑客画像技术对攻击者进行溯源,同时判断失陷主机的失陷原因(存在漏洞被攻陷),进行失陷主机处置。
高命中率部署模式:网络蜜罐基于多网段部署蜜罐专利技术,无需镜像、流量牵引、安装agent,实现全内网蜜罐部署。如图所示,在运维区旁路trunk接入网络蜜罐,便可在各个网络区域、网段快速生成多个高交互的虚拟蜜罐。
只需在界面上添加蜜罐IP、对应vlan号,就可在相应区域的网段中生成高交互虚拟蜜罐,相当于每个网段的资产均设置了陷阱,大大提高内网横向攻击蜜罐的概率。
网络蜜罐拥有多个蜜罐模板,每个蜜罐模板设置了不同的陷阱服务(高交互服务),用户可快速在内网中部署不同类型的蜜罐。同时可结合网络蜜罐资产扫描功能,识别每个网络区域具体开放了哪些类型的应用或服务,在相应区域部署相应模板的蜜罐,以假乱真,让黑客无法分辨是蜜罐还是真实主机。
同时,支持接入业务仿真系统到网络蜜罐中,网络蜜罐系统将捕捉所有黑客攻击行为,获取攻击情报及溯源。
仿真业务系统即用户的真实业务系统:比如OA系统、ERP系统、VPN系统、邮箱系统等,用户可单独搭建这些系统并存放测试数据,用于接入网络蜜罐,高度模拟真实业务,诱捕攻击。
网络蜜罐产品结合网络攻击行为分析和蜜罐行为分析,极大地提高了攻击链条的取证准确率,将攻击分为:探测扫描、渗透攻击、攻陷蜜罐、后门远控、跳板攻击五大阶段。
用户及监管单位可以一键提取攻击链条日志,形成取证证据。
网络蜜罐支持在真实服务器上设置蜜罐诱饵。蜜罐诱饵是设置在真实服务器中的虚假文件,在黑客攻陷服务器后,通过预设的蜜罐诱饵(虚假文件)对其造成误导,反被动为主动,使其攻击目标转向蜜罐,间接保护其他资产。
黑客入侵蜜罐所留下的痕迹会被网络蜜罐蜜罐记录并分析出黑客画像。网络蜜罐黑客画像支持5个维度的溯源信息,包括:设备指纹、位置信息、社交指纹、反向探测-漏洞信息、资产登记信息。
网络蜜罐支持漏洞扫描、资产梳理等主动探测的功能,如果攻击主机是内网主机,用户可以查看资产登记信息,快速定位攻击主机(内网失陷主机),同时可通过漏洞探测,分析内网攻击主机的失陷原因,查看是否由于存在相关可入侵漏洞导致,有助于失陷主机处置。
网络蜜罐融入了主动探测风险的思路。针对主机脆弱性监测,引入“可入侵漏洞”的识别技术,采用PoC验证式漏洞检测技术,即通过向目标系统发送真实的“攻击”载荷,分析目标系统变化和返回内容,判断是否存在漏洞,这些漏洞都是公开并可利用的高危漏洞。
同时支持版本漏洞扫描、弱口令暴破。具体优势——
网络蜜罐可为重大安全保障行动提供防御支撑:通过”主动探测风险+被动诱捕攻击“,摸清家底,认清风险,找出漏洞的同时,实现全内网蜜罐部署,高效、快速地诱捕内网攻击行为,包括APT攻击,病毒传播等,及时发现失陷主机并进行攻击溯源,保障内网系统安全稳定运行。
