国舜网络蜜罐：“主动+被动”精确定位威胁，全周期强化内网安全

国舜股份 · 公众号 · · 2021-05-24 14:45

正文

企业在安全建设过程中常面临多样化的安全风险与威胁，痛点颇多：资产不清晰导致安全运维工作难以有效开展；内网脆弱性普通，易被黑客渗透获取权限；勒索病毒、挖矿病毒等威胁事件频发且无法有效定位源头；入侵取证难且准确率得不到保证……

国舜股份以自主研发的攻击诱捕与威胁检测系统（以下简称“网络蜜罐”）助力弥补传统内网安全解决方案的短板及现有难题的解决，只需部署一台网络蜜罐设备，便可自动构建企业、单位的网络空间资产网，监测内网资产漏洞风险，同时可在内网各个网络区域生成网络蜜罐陷阱，实时监测内网安全事件。

优势

“ 主动+被动” 模式

国舜网络蜜罐是具有高中率、高欺骗性、高精度定位内网安全威胁的新一代蜜罐系统，以”攻击诱捕引擎+资产风险监测引擎“组成“主动+被动”模式的攻击诱捕与威胁检测解决方案。

优势

贯穿全周期

【事前】梳理资产，监测内网主机漏洞风险，可入侵漏洞监测（POC验证）。

【事中】网络蜜罐蜜罐全网部署，基于攻击链取证技术、诱饵欺骗技术对入侵攻击者进行诱捕。

【事后】基于黑客画像技术对攻击者进行溯源，同时判断失陷主机的失陷原因（存在漏洞被攻陷），进行失陷主机处置。

产品特色

01 全网段蜜罐快速覆盖

高命中率部署模式：网络蜜罐基于多网段部署蜜罐专利技术，无需镜像、流量牵引、安装agent，实现全内网蜜罐部署。如图所示，在运维区旁路trunk接入网络蜜罐，便可在各个网络区域、网段快速生成多个高交互的虚拟蜜罐。

只需在界面上添加蜜罐IP、对应vlan号，就可在相应区域的网段中生成高交互虚拟蜜罐，相当于每个网段的资产均设置了陷阱，大大提高内网横向攻击蜜罐的概率。

02 高交互与高仿真蜜罐

网络蜜罐拥有多个蜜罐模板，每个蜜罐模板设置了不同的陷阱服务（高交互服务），用户可快速在内网中部署不同类型的蜜罐。同时可结合网络蜜罐资产扫描功能，识别每个网络区域具体开放了哪些类型的应用或服务，在相应区域部署相应模板的蜜罐，以假乱真，让黑客无法分辨是蜜罐还是真实主机。

同时，支持接入业务仿真系统到网络蜜罐中，网络蜜罐系统将捕捉所有黑客攻击行为，获取攻击情报及溯源。

仿真业务系统即用户的真实业务系统：比如OA系统、ERP系统、VPN系统、邮箱系统等，用户可单独搭建这些系统并存放测试数据，用于接入网络蜜罐，高度模拟真实业务，诱捕攻击。

03 入侵攻击链取证技术

网络蜜罐结合网络攻击行为分析和蜜罐行为分析，极大地提高了攻击链条的取证准确率，将攻击分为：探测扫描、渗透攻击、攻陷蜜罐、后门远控、跳板攻击五大阶段。

用户及监管单位可以一键提取攻击链条日志，形成取证证据。

04 设置诱饵主动欺骗

网络蜜罐支持在真实服务器上设置蜜罐诱饵。蜜罐诱饵是设置在真实服务器中的虚假文件，在黑客攻陷服务器后，通过预设的蜜罐诱饵（虚假文件）对其造成误导，反被动为主动，使其攻击目标转向蜜罐，间接保护其他资产。

05 高分辨率黑客画像

黑客入侵蜜罐所留下的痕迹会被网络蜜罐蜜罐记录并分析出黑客画像。网络蜜罐黑客画像支持5个维度的溯源信息，包括：设备指纹、位置信息、社交指纹、反向探测-漏洞信息、资产登记信息。

网络蜜罐支持漏洞扫描、资产梳理等主动探测的功能，如果攻击主机是内网主机，用户可以查看资产登记信息，快速定位攻击主机（内网失陷主机），同时可通过漏洞探测，分析内网攻击主机的失陷原因，查看是否由于存在相关可入侵漏洞导致，有助于失陷主机处置。

06 主动探测资产风险

网络蜜罐融入了主动探测风险的思路。针对主机脆弱性监测，引入“可入侵漏洞”的识别技术，采用PoC验证式漏洞检测技术，即通过向目标系统发送真实的“攻击”载荷，分析目标系统变化和返回内容，判断是否存在漏洞，这些漏洞都是公开并可利用的高危漏洞。

同时支持版本漏洞扫描、弱口令暴破。