云蜜罐技术(德迅猎鹰)诞生

    数字化程度高且高价值信息密集的行业,如金融、能源、互联网、政府、教育、医疗、军工等行业,面对日益规模化、专业化的网络攻击,渐渐不再满足于一味的防守加固。除了巩固防线之外,他们愈发看重主动出击、感知更大范围内的攻击,进而形成自己的网络威胁情报系统,争取尽可能多的攻击隔离于业务系统和高价值数据防御体系之外。

    云蜜罐正是作为主动防御利器而存在的,通过快捷的大量部署,达到高度仿真进而保护真实资产的目的,通过攻击牵制的手段防止攻击范围扩大,以攻击告警、攻击信息记录、攻击日志生成等手段留存关键攻击信息,供后续分析溯源。

什么是云蜜罐?

    传统防御方式的主旨是将攻击者拒之门外,然而随着攻击手段的多样化、隐蔽化、复杂化,传统的防御方式往往疲于应付,比如利用0day漏洞的APT攻击,传统的基于规则和特征库的安全产品很难察觉。出现问题时安全运维人员只能做事后修补,而实际上攻击者早已渗透到内网并潜伏。企业需要一种技术手段,主动对抗攻击行为,采取有利于防守方的技术措施,对攻击者形成震慑,保护数据安全。

    蜜罐是一个攻击诱骗系统,通过使用蜜罐模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易被攻击的目标,伪装成用户的业务应用,使攻击者误认为是欲攻击的目标对象。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时,让攻击者在蜜罐上耗费时间,可以延缓对真正目标的攻击,捕获更多攻击者的信息进行反制,使目标系统得到保护。

国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。

蜜罐是用来吸引那些入侵者,目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。

云蜜罐(德迅猎鹰)用来应对何种场景?

    云蜜罐因其可进行快速部署,辅以“黑洞蜜罐”、“克隆蜜罐”等独特功能,达到高度仿真真实业务系统、大规模快速部署蜜罐的目的。

    在日常内网防护场景中,云蜜罐可以做到全面精准感知威胁并报警,记录攻击信息供后续分析及形成自身针对性强、高价值威胁情报,最终通过与防御类产品的联动,达到立体化防御的目标。不仅如此,云蜜罐还可以有针对性发现勒索病毒、蠕虫病毒、僵尸网络等网络攻击事件,在攻击爆发前占据有利局面。

    在高对抗的攻击事件响应及攻防演练过程中,云蜜罐更是优势尽显。云蜜罐可以通过对新型攻击进行发现及数据收集,及时发现并阻断攻击,通过记录攻击信息及对攻击者进行画像,而达到溯源反制的目的,助力攻防演练得分。

    蜜罐技术强大而灵活,不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作,与 IDS相比,蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务,也没有任何合法用户,但并不是网络上的空闲设备。因此,任何流入或者流出蜜罐的网络通信都可以是做可疑的,是网络正在被攻击的一种标志。

蜜罐的主要目标是容忍入侵者攻击自身,在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时,收集这些信息,从而根据其调整网络安全策略,提高系统安全性能。同时蜜罐还具有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用。 

用户困扰:

----0day漏洞攻击无法识别,未知风险难以抵御
----入侵者进入内网后无法及时发觉
----入侵者成功内网防御无纵深,真实内网信息一览无遗
----入侵者来去无踪,被动且无法取证

 解决方案:

----基于攻击行为分析,捕获0day未知攻击
----感知攻击行为和攻击事件
----构建内网迷墙,吸引攻击者进入,延缓攻击
----捕获攻击者信息,匹配攻击者自然人身份

 德迅猎鹰(云蜜罐)防护过程:

德迅猎鹰防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。

(1)诱骗环境构建:

通过构建欺骗性数据、文件等,增加蜜罐环境甜度,引诱攻击者入侵系统,实现攻击交互目的。交互度高低取决于诱骗环境仿真度与真实性,目前主要有模拟环境仿真和真实系统构建方案。

模拟环境仿真方案通过模拟真实系统的重要特征吸引攻击者,具备易部署优势。利用一种或多种开源蜜罐进行模拟仿真,多蜜罐结合方案有利于不同蜜罐的优势集成;将仿真程序与虚拟系统结合构建蜜罐自定义架构,提高交互度;对硬件利用模拟器实现硬件虚拟化,避免实际硬件破坏。然而,虚拟特性使模拟环境仿真方案存在被识别风险。

真实系统构建方案则采用真实软硬件系统作为运作环境,降低识别率,极大提高了攻击交互度。

在软件系统方面,采用真实系统接口真实主机服务、业务运作系统等,具备较高欺骗性与交互度,但其维护代价较高且受保护资源面临着一定被损害风险。在硬件设备方面,可直接利用真实设备进行攻击信息诱捕。在低能耗场景下采用真实软硬件设备引诱攻击者具有一定优势,然而对于某些数据交互频繁的业务系统内,存在高能耗、不易部署、维护成本大等缺陷。

(2)入侵行为监控:

在攻击者入侵德迅猎鹰系统后,可利用监视器、特定蜜罐、监控系统等对其交互行为进行监控记录,重点监控流量、端口、内存、接口、权限、漏洞、文件、文件夹等对象,避免攻击造成实际破坏,实现攻击可控性。如模块监控、事件监控、攻击监控、操作监控、活动监控等。

上述攻击入侵行为监控中,不同方案的侧重点不同,高交互蜜罐则需更强监控力度。由于监控范围无法全面覆盖,可能导致监控缺失后果,致使攻击者利用监控盲区损害系统,同时,较大监控范围易捕捉更多信息,全方位访问监控成为一种相对安全措施。

(3)后期处理措施:

监控攻击行为所获得数据,可用于数据可视化、流量分类、攻击分析、攻击识别、警报生成、攻击溯源、反向追踪等。具体处理措施为:提取基础数据,以图表方式展示统计数据;分析关联度,提供入侵行为电子证据;分类恶意特征,过滤恶意用户;分析数据包信息,识别潜在安全威胁;利用水平检测识别攻击分类,后期处理措施以分析方式,使防御系统分析收集数据,掌握攻击信息,实现改善系统防御方案的良性循环。

云蜜罐如何更完善解决面临的困境?

图片

威胁感知+攻击链还原,更全面

蜜罐实现全面威胁感知,覆盖面大、诱捕面广。不止将蜜罐应用在内网攻击流量监测的层面,当流量访问蜜罐后,第一时间判定接触到不应被访问蜜罐的为攻击流量。同时,扩散思维将部署在外网的云蜜罐看作一种对全网范围威胁的攻击感知和数据收集的工具,可以通过域名接入的方式将云蜜罐快速覆盖潜在威胁入口,在更高的维度上全面进行攻击信息的整合和对威胁的感知响应,依据安全态势对防御体系进行及时的调整。

感知威胁、进而捕获攻击数据是部署蜜罐的主要目的之一,德迅云威胁控制中心将晦涩难懂的数据流转化分析为易于检索、定位、浏览的攻击日志,通过清晰呈现攻击者从入侵到攻击执行的完整攻击路线实现攻击链还原。掌握“何时、何地、何种路径、何种攻击、何种命令”等详尽信息,使云蜜罐对捕获攻击有全面了解。

牵制攻击者+识别攻击者,更精准

通过部署蜜罐的方式进行攻击引流与攻击牵制,从而实现对真实系统的保护,这是众多用户选择部署蜜罐来进行网络安全防御的另一重目的。有效部署云蜜罐可以起到吸引攻击火力的作用,部署在真实系统周围的高仿真云蜜罐足以“以假乱真”,通过模拟企业真实业务,构造虚拟业务陷阱。

这样既避免攻击者直接攻入真实系统、接触到核心数据,又能延长攻击者在蜜罐系统中停留的时间,以便捕获到更多攻击数据及对应攻击者信息。德迅云安全多年网络攻防实战经验与深厚累积攻击数据,能够精准识别攻击者背后的组织、家族、攻击行为特征,对这些信息进行整合,生成攻击者画像,在后续攻击事件处理中占据主动权。

安全产品联动联防,更立体

云蜜罐拥有极强的攻击溯源能力,从核心层获取丰富的攻击行为数据,对这些数据进行分类溯源处理,使蜜罐系统实现深度溯源与反渗透。同时,以溯源到的数据信息加黑名单封禁、震慑甚至抓捕攻击者的方式,争取在本不对等的攻防对抗中扭转不利局面、占据主动权。

为用户提供完善的全网攻击溯源服务,既可以获取到攻击者IP、设备物理地址、个人社交账号、实时地理位置等详尽信息,对攻击源及攻击者身份进行精准匹配,协助客户找到攻击源,并将攻击源进行黑名单标注,实现溯源反制

产品特色:

1分钟快速构建内网主动防御系统:无侵入、轻量级的软件客户端安装,实现网络自动覆盖可快速在企业内网形成蜜网入口,轻松排兵布阵。

Web蜜罐配套协议蜜罐,以假乱真延缓攻击:多种真实蜜罐和服务形成的蜜罐系统,使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。

隐密取证,抓获自然人:通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像,提供完整攻击信息,为溯源、抓捕攻击者提供有效依据。

转移战场,高度内网安全保障:将攻击流量引出内网转移战场到SaaS蜜网环境,并从网络隔离、流量单向控制等维度配置安全防护系统,保证系统自身不被攻击者识别和破坏。

捕获0day攻击等高级新型威胁:蜜网流量纯粹,无干扰流量,基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。

安全专家服务一键接入:德迅云安全蜜罐管理平台由专家团队监控维护,一旦发现安全风险,及时分析预警,配合客户进行应急响应。

结语:

德迅猎鹰(云蜜罐)为面临更多网络攻击、需要形成自身立体主动防御的行业客户而生,可解决日常网络防护及高对抗性网络安全事件响应的实际需求,并且已经以自身的应用表现展现了自身的价值。我们由衷相信在知道创宇专业能力加持与云蜜罐产品自身不断优化创新下,在未来会通过“云蜜罐”为更多网络快速搭建主动防御系统,完善网络安全防护建设,与各行各业共同努力,倾尽全力保障网络安全、实现社会稳定与国家安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/279975.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MySQL的概述与安装

一、数据库的基本概念: 1.1 数据: 1) 描述事物的符号记录称为数据(Data)。数字、文字、图形、图像、声音、档案记录等 都是数据。 2)数据是以“记录”的形式按照统一的格式进行存储的,而不是…

Ubuntu 如何安装 Beyond Compare?

Ubuntu20.04安装Beyond Compare 4.3.7 一、官网下载方式一:方法二:使用 .deb 包安装 二、安装相关依赖和bcompare三、破解常见错误解决方法 ) 文件比较工具Beyond Compare是一套由Scooter Software推出的文件比较工具。主要用途是对比两个文件夹或者文件…

2024-3-13,14(CSS)

1.复合选择器 有两个或者多个基础选择器,通过不同的方式组合而成。 目的是更加准确高效的选择目标元素(标签) 分类: 后代选择器:选中某个元素的所有后代元素 写法:父选择器 子选择器 {CSS属性}&#x…

【导论】数据可信流通 从运维信任到技术信任

信任 信任概念由于其抽象性和结构复杂性,在社会学、心理学、营销学、经济学、管理学等不同 的领域定义是不同的,但是达成共识的观点是:信任是涉及交易或交换关系的基础。 信任的基石 ①身份可确认,②利益可依赖,③能…

内网渗透学习-环境搭建

1、环境搭建测试 虚拟机网络环境配置,模拟外网和内网 主机操作系统网络内网ip外网ip物理主机window10vmnet8192.168.70.1攻击机kali Linuxvmnet8192.168.70.134域控主机win server 2008 r2vmnet0192.168.52.138域成员主机win server 2k3vmnet0192.168.52.141服务器…

ThingsBoard Edge 安装部署

文章目录 一、概述1.官方文档2.部署说明3.安装准备3.1. 克隆服务器3.2.安装 Docker3.3.安装 Java 113.4.安装 PostgreSQL3.5.下载安装包 二、安装部署1.创建 Edge 实例2.创建数据库3.Edge 服务安装3.1.安装服务3.2.配置 Edge3.3.运行安装脚本3.4.重新启动服务 4.访问 Edge5.故障…

C#,图论与图算法,图着色问题(Graph Coloring)的威尔士-鲍威尔(Welch Powell Algorithm)算法与源代码

Welsh, D.J.A. and Powell, M.B. (1967) An Upper Bound for the Chromatic Number of a Graph and Its Application to Timetabling Problems. 《The Computer Journal》, 10, 85-86. 《The Computer Journal》 1 图着色算法概述 1967年,Welsh和Powell算法引入了图色数的上…

linux最佳入门(笔记)

1、内核的主要功能 2、常用命令 3、通配符:这个在一些启动文件中很常见 4、输入/输出重定向 意思就是将结果输出到别的地方,例如:ls标准会输出文件,默认是输出到屏幕,但是用>dir后,是将结果输出到dir文…

golang面试题总结

零、go与其他语言 0、什么是面向对象 在了解 Go 语言是不是面向对象(简称:OOP) 之前,我们必须先知道 OOP 是啥,得先给他 “下定义” 根据 Wikipedia 的定义,我们梳理出 OOP 的几个基本认知: …

房屋租赁系统|基于JSP技术+ Mysql+Java+ B/S结构的房屋租赁系统设计与实现(可运行源码+数据库+设计文档)

推荐阅读100套最新项目 最新ssmjava项目文档视频演示可运行源码分享 最新jspjava项目文档视频演示可运行源码分享 最新Spring Boot项目文档视频演示可运行源码分享 2024年56套包含java,ssm,springboot的平台设计与实现项目系统开发资源(可…

软考 系统架构设计师系列知识点之系统性能(1)

所属章节: 第2章. 计算机系统基础知识 第9节. 系统性能 系统性能是一个系统提供给用户的所有性能指标的集合。它既包括硬件性能(如处理器主频、存储器容量、通信带宽等)和软件性能(如上下文切换、延迟、执行时间等)&a…

vulnhub-----SickOS靶机

文章目录 1.信息收集2.curl命令反弹shell提权利用POC 1.信息收集 ┌──(root㉿kali)-[~/kali/vulnhub/sockos] └─# arp-scan -l Interface: eth0, type: EN10MB, MAC: 00:0c:29:10:3c:9b, IPv4: 10.10.10.10 Starting arp-scan 1.9.8 with 256…

十四、GPT

在GPT-1之前,传统的 NLP 模型往往使用大量的数据对有监督的模型进行任务相关的模型训练,但是这种有监督学习的任务存在两个缺点:预训练语言模型之GPT 需要大量的标注数据,高质量的标注数据往往很难获得,因为在很多任务…

SSL---VPN

文章目录 目录 一.SSL-VPN概述 优点 二.SSL协议的工作原理 三.虚拟网关技术 用户认证方式 本地认证 服务器认证: 证书匿名认证 Web代理 Web-link和Web改写 端口转发 网络扩展(允许UDP协议) 总结 一.SSL-VPN概述 SLL VPN是一种基于HTTPS&am…

如何在尽量不损害画质的前提下降低视频占内存大小?视频格式科普及无损压缩软件推荐

大家好呀,相比大家都有对视频画质和体积的追求和取舍,那么,如何才能在不牺牲画质的前提下,尽可能的将视频大小降低到极致呢? 首先我们要了解视频的构成,要想降低视频的体积大小,我们可以从以下几…

在centOS服务器安装docker,并使用docker配置nacos

遇到安装慢的情况可以优先选择阿里镜像 安装docker 更新yum版本 yum update安装所需软件包 yum install -y yum-utils device-mapper-persistent-data lvm2添加Docker仓库 yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.rep…

JavaScript中对象属性的顺序问题

我们首先需要了解的是,在JavaScript中,对象的属性名只能是字符串或者symbol。假设我们给将属性名设置为非string和symbol类型,都会被隐式转换成字符串。 let a {1: 1,true: true, } // 等同于 let a {1: 1,true: true, }a[{}] {} a[()>…

【Elasticsearch】windows安装elasticsearch教程及遇到的坑

一、安装参考 1、安装参考:ES的安装使用(windows版) elasticsearch的下载地址:https://www.elastic.co/cn/downloads/elasticsearch ik分词器的下载地址:https://github.com/medcl/elasticsearch-analysis-ik/releases kibana可视化工具下载…

vue 基于elementUI/antd-vue, h函数实现message中嵌套链接跳转到指定路由 (h函数点击事件的写法)

效果如图: 点击message 组件中的 工单管理, 跳转到工单管理页面。 以下是基于vue3 antd-vue 代码如下: import { message } from ant-design-vue; import { h, reactive, ref, watch } from vue; import { useRouter } from vue-router; c…

将FastSAM中的TextPrompt迁移到MobileSAM中

本博文简单介绍了SAM、FastSAM与MobileSAM,主要关注于TextPrompt功能的使用。从性能上看MobileSAM是最实用的,但其没有提供TextPrompt功能,故而参考FastSAM中的实现,在MobileSAM中嵌入TextPrompt类。并将TextPrompt能力嵌入到MobileSAM官方项目提供的gradio.py部署代码中,…