2020年,于国于企业而言都是艰难的一年,可是越是艰难,越要不忘初心,坚持成长。
近年来,随着攻防手段的不断演变,不论是交锋日益激烈的网络安全日常防护,还是常态化的网络攻防演练,高对抗性俨然成为了网络安全攻防的本质。市场在明确对抗重要性这一前提下,越发注重能够摆脱“原地等待被动挨打”现象的主动防御,而可以实现网络威胁诱捕与溯源的蜜罐技术就这样逐渐得到广泛关注。
基于知道创宇十余年国内外网络安全大数据积淀,“创宇蜜罐”在经历了三年的威胁诱捕和溯源技术创新、产品打磨落地后,终于在2020年收获了属于它的极速成长过程。
创宇蜜罐客户案例
网络安全没有捷径,必须依赖于技术的厚积薄发。做足准备的创宇蜜罐在这一年中发挥自身创新技术与产品优势,在竞争激烈的市场中脱颖而出。
01 突破创新,深钻诱捕溯源技术
(1)关于诱捕技术
创宇蜜罐通用版和定制版已累计打造用于诱捕的蜜罐50余种,覆盖操作系统、数据库、中间件、常用软件、Web网站等多种类型。客户可自定义网站名称、LOGO,配合知道创宇安全研究团队提供的“养”罐方案更新数据库内容和网站资讯等,让蜜罐更加逼真、更具迷惑性。
将客户环境中部署的多个蜜罐构建成蜜场(LAN),让黑客在蜜场之间穿梭、流连忘返,以为自己攻入了客户的真实内网,殊不知自己的攻击行动都被安全管理人员实时监控。
创宇蜜罐部署架构
(2)关于溯源技术
创宇蜜罐在传统IP溯源方式的基础上,借助强大的溯源插件可以获取黑客在网络活动中多种虚拟身份。
通过对黑客所用客户端指纹生成唯一的指纹ID,该指纹ID与知道创宇云防御体系所识别的攻击者指纹ID保持一致,可以根据该ID识别攻击者在全网的攻击历史,做到全网范围的流量溯源和数据联动。
在此基础上,结合腾讯威胁情报和知道创宇安全大脑,对攻击源及攻击者身份进行精准匹配,协助客户找到攻击源,并对攻击源进行黑名单标注,实现溯源反制。
创宇蜜罐溯源流程
(3)关于部署形态
创宇蜜罐提供私有化以及云端SaaS部署两种形式,是目前市场上唯一一款可提供SaaS部署方式的蜜罐产品。
云端SaaS可实现1分钟快速构建部署。同时提供SaaS智能域名一键接入功能,自成高敏感性子域名,在攻击者使用子域名爆破攻击的必经之路上设置陷阱,提高攻击捕获可能性。
创宇蜜罐SaaS版模式对于中大型企业以及安全合规要求严格的客户,私有化部署通过在各个防御网区放置陷阱入口,感知并将攻击诱骗进蜜罐中隔离,快速构建欺骗防御环境。
创宇蜜罐私有版版模式
(4)关于自身安全
创宇蜜罐采用旁路部署的方式,无外部访问权限,与客户真实网络资产不会发生任何直接联系,能够实现蜜罐跟客户真实网络环境的隔离。
创宇蜜罐的操作系统由知道创宇自研,有严格的安全策略,可实现跟外部环境的隔离。所以即使黑客把创宇蜜罐攻破,也无法将其作为跳板,横向对客户其它网络资产进行攻击。
02 厚积薄发,成就独特产品优势
(1)全网溯源、攻击重现
创宇蜜罐基于知道创宇的全网安全大数据库,在这些安全大数据库的支撑下,创宇蜜罐可实现覆盖国内、外的全网攻击溯源,可进行精准黑客画像,包括其使用的IP、设备物理地址、个人社交账号、实时地理位置等。
知道创宇安全大数据库
案例一
创宇蜜罐及时发现勒索病毒,为用户保护真实资产安全。XX单位在网络安全防护方案中配备了创宇蜜罐及创宇盾,创宇蜜罐发现黑客在蜜罐中进行字典口令爆破攻击,爆破成功后攻击者修改了账号密码,随即上传勒索病毒,创宇蜜罐实时发出告警通知客户单位管理人员,管理人员即刻将攻击源IP加入创宇盾黑名单,防止黑客对真实网络资产发起攻击。
蜜罐部署情况及攻击截获情况:
蜜罐部署情况
发现某内网IP不断对全端口发起扫描,确定对445端口大量扫描,协助客户设备排查:
发现中毒机器,防止内网横向攻击:
案例二
2020年专项安全演练,某省级事业单位在外网放置蜜罐伪装成本单位的行政系统,将诱惑性强的域名解析到蜜罐地址上,应对攻击方针对外网资产侦察、踩点事件。
7天捕获威胁请求67w+次,10+起口令爆破、1起 webshell 上传。经过创宇蜜罐威胁分析引擎分析可以清晰看到每一次的攻击命令,第一时间将危险攻击源IP上报给处置组做封禁。
最后再通过全网溯源数据库,得到攻击者完整画像,获取到该攻击者的毕业院校、工作单位、地理位置等信息。
(2)覆盖全国的安全服务团队
创宇蜜罐可共享公司丰富的服务团队资源:
300+销售及售前人员,覆盖华北、华中、华南、西南、西北等片区,客户遍及金融、能源、医疗、教育、政府、国企、央企、IT互联网等行业,为客户提供周到的产品解决方案咨询服务。
200+安服、技服、客服团队,为客户提供安装部署、升级运维、使用咨询、安全分析等专业服务。
03 无惧挑战,打造复杂场景下的产品应用
(1)蜜罐部署管理
创宇蜜罐提供SaaS版与私有版的部署方案,适用于多网络场景的客户;客户端支持直连与中继模式,无论是单网段还是跨网段场景,都能通过控制中心快速构建蜜场环境。强大的蜜场提供多种蜜罐类型与定制业务场景服务,构建出的蜜场环境能够与实际网络环境保持统一,具有强大的迷惑性。
(2)攻击路线还原
捕获数据是蜜罐的主要目的,创宇蜜罐威胁控制中心将晦涩难懂的数据流转换为易于检索、定位的攻击日志。攻击日志能够清晰的呈现攻击者从入侵到攻击执行的完整攻击路线,让用户清楚的了解到攻击者什么时候攻击了什么蜜罐、采用了什么手段、执行了哪些命令等,并且提供攻击源数据全文检索服务来作为工具,不依赖系统的独立分析。
(3)精准溯源画像
欺骗防御是一种主动安全防御机制,其最主要的特征就是能够分析捕获到的数据,从而了解攻击者使用的方法并对其溯源形成画像,便于事后追溯。创宇蜜罐数据分析中心将攻击数据进行全面分析后生成一个个的可视化画像,融入了捕获到的攻击者丰富的指纹信息,可以直观的看到该攻击者的常用手段、攻击路径以及可能与之相关联的攻击者。
(4)实时攻击大屏
当蜜场构建完成后,创宇蜜罐还提供了数据丰富的风险大屏,全面动态展示网络资产保护状态,供用户进行观测。通过大屏实时监测在蜜罐中的攻击行为,对当前活跃在蜜罐中的攻击者、攻击手段等数据了如指掌。
(5)有效告警通知
一旦攻击者踩入蜜罐陷阱,创宇蜜罐会第一时间发现,并通过站内信、邮件等方式实时对用户做告警。对异常的蜜罐及客户端连接状态也会进行消息上报,让用户能够及时处理突发情况,保证系统稳定运行。
(6)攻击阻断联动
支持数据推送实现消息联动,可以将蜜罐平台所记录的黑客威胁数据字段根据需要利用SYSLOG推送到其它安全可视化平台上。这样就提供了足够的威胁情报数据分析的来源日志,并且实现与其他第三方设备联动阻断的能力。
(7)威胁态势报告
基于对威胁事件的统计分析,并结合全网威胁情报,创宇蜜罐能够根据威胁数据生成客户网络威胁态势报告、评估威胁指标、预测威胁走势并给出防护建议。整体安全局势一目了然,方便安全管理人员进行态势评估与趋势分析,提前加固,防患于未然。
创宇蜜罐后台数据1
创宇蜜罐后台数据2
04 未来可期,应对更为严峻的安全挑战
在网络安全形势日益严峻的环境下,国家出台若干网络安全政策,推动整个行业蓬勃发展,各行各业信息化基础建设都逐步将网络安全纳入核心考察项目。
蜜罐产品已经在攻防对抗、等保2.0、网络靶场等业务场景下展示了优秀的检测防御能力,发挥了重要作用。一方面是对真实资产的保护,一方面是对黑客攻击手法还原,可以协助公安机关找到黑客。并且在数据敏感的金融、工业领域;饱受勒索病毒之苦的医疗、教育行业;积极开展网络靶场应用的科研机构;网络安全倡导及先行者的政府机构;业务稳定要求非常高的IT互联网企业等等多行业中,蜜罐产品都可以适用,为其网络资产保驾护航,找到攻击的始作俑者。
创宇蜜罐也可以及时发现勒索病毒攻击、0day漏洞攻击、挖矿等网络攻击行为,保护客户网络资产,降低网络安全风险。
蜜罐从以往的开源应用,到逐步走向商业化并得到良好的市场认知,用了数十年。在未来,创宇蜜罐将无惧挑战,走向一个新的历史阶段,为客户带来更大的应用价值,为网络安全主动防御领域开启新的篇章。