威脅感知+攻擊鏈還原,更全面
云蜜罐實現(xiàn)全面威脅感知,覆蓋面大、誘捕面廣��。不止將蜜罐應(yīng)用在內(nèi)網(wǎng)攻擊流量監(jiān)測的層面�����,當流量訪問蜜罐后��,第一時間判定接觸到不應(yīng)被訪問蜜罐的為攻擊流量�����。同時��,擴散思維將部署在外網(wǎng)的云蜜罐看作一種對全網(wǎng)范圍威脅的攻擊感知和數(shù)據(jù)收集的工具,可以通過域名接入的方式將云蜜罐快速覆蓋潛在威脅入口���,在更高的維度上全面進行攻擊信息的整合和對威脅的感知響應(yīng)��,依據(jù)安全態(tài)勢對防御體系進行及時的調(diào)整。
感知威脅�、進而捕獲攻擊數(shù)據(jù)是部署蜜罐的主要目的之一,云蜜罐威脅控制中心將晦澀難懂的數(shù)據(jù)流轉(zhuǎn)化分析為易于檢索��、定位���、瀏覽的攻擊日志,通過清晰呈現(xiàn)攻擊者從入侵到攻擊執(zhí)行的完整攻擊路線實現(xiàn)攻擊鏈還原����。掌握“何時�、何地、何種路徑��、何種攻擊���、何種命令”等詳盡信息��,使云蜜罐對捕獲攻擊有全面了解。
牽制攻擊者+識別攻擊者���,更精準
通過部署蜜罐的方式進行攻擊引流與攻擊牽制�����,從而實現(xiàn)對真實系統(tǒng)的保護�����,這是眾多用戶選擇部署蜜罐來進行網(wǎng)絡(luò)安全防御的另一重目的���。有效部署云蜜罐可以起到吸引攻擊火力的作用��,部署在真實系統(tǒng)周圍的高仿真云蜜罐足以“以假亂真”,通過模擬企業(yè)真實業(yè)務(wù)����,構(gòu)造虛擬業(yè)務(wù)陷阱。
這樣既避免攻擊者直接攻入真實系統(tǒng)�����、接觸到核心數(shù)據(jù)�,又能延長攻擊者在蜜罐系統(tǒng)中停留的時間,以便捕獲到更多攻擊數(shù)據(jù)及對應(yīng)攻擊者信息�����。云蜜罐結(jié)合知道創(chuàng)宇多年網(wǎng)絡(luò)攻防實戰(zhàn)經(jīng)驗與深厚累積攻擊數(shù)據(jù)�,能夠精準識別攻擊者背后的組織��、家族���、攻擊行為特征,對這些信息進行整合�,生成攻擊者畫像,在后續(xù)攻擊事件處理中占據(jù)主動權(quán)�。
安全產(chǎn)品聯(lián)動聯(lián)防,更立體
云蜜罐擁有極強的攻擊溯源能力���,從核心層獲取豐富的攻擊行為數(shù)據(jù)����,對這些數(shù)據(jù)進行分類溯源處理���,使蜜罐系統(tǒng)實現(xiàn)深度溯源與反滲透��。同時��,以溯源到的數(shù)據(jù)信息加黑名單封禁���、震懾甚至抓捕攻擊者的方式,爭取在本不對等的攻防對抗中扭轉(zhuǎn)不利局面����、占據(jù)主動權(quán)。
云蜜罐與知道創(chuàng)宇數(shù)據(jù)庫創(chuàng)宇安全大腦實現(xiàn)互通���,為用戶提供完善的全網(wǎng)攻擊溯源服務(wù)����,既可以獲取到攻擊者IP�、設(shè)備物理地址、個人社交賬號����、實時地理位置等詳盡信息���,對攻擊源及攻擊者身份進行精準匹配�����,協(xié)助客戶找到攻擊源���,并將攻擊源進行黑名單標注,實現(xiàn)溯源反制;也可以將云蜜罐收集到的威脅情報反饋給創(chuàng)宇安全大腦���,完善黑客數(shù)據(jù)庫����。
4、實際應(yīng)用價值幾何?
某金融客戶及時惡意攻擊阻斷:
客戶部署云蜜罐(包括域名接入�、客戶端接兩種類型云蜜罐)并在下級子單位進行了同步分配和部署,每天每個子單位部署的蜜罐都會記錄數(shù)百攻擊日志����、十余個惡意IP,還有試圖利用蜜罐進行橫向滲透的攻擊者�����。通過蜜罐對于攻擊數(shù)據(jù)的全面記錄��,及時對惡意攻擊進行了全面的阻斷�����,保護客戶的網(wǎng)絡(luò)空間資產(chǎn)����。
某政府客戶深度牽制網(wǎng)絡(luò)攻擊:
客戶采用公有云進行蜜罐部署,并開啟全端口監(jiān)測的“黑洞蜜罐”功能��,蜜罐客戶端每天可以捕獲到上千條攻擊日志,通過云蜜罐系統(tǒng)威脅分析發(fā)現(xiàn)有攻擊者在對蜜罐IP進行全端口掃描�����,并且在發(fā)現(xiàn)某端口部署的Struts2蜜罐后�����,在蜜罐中停留了2天����,試圖利用了Struts2的漏洞進一步突破,但最終未能得手�����。
某高?�?蛻艄シ姥菥毸菰吹梅郑?/strong>
某高?�?蛻粼泼酃匏菰窗l(fā)現(xiàn)攻防演練期間攻擊者IP攻擊60多個��,其中18個IP近期被創(chuàng)宇安全大腦打上了“惡意”標簽���,并且其中一個IP攻防演練期間在全網(wǎng)的攻擊量突增�,攻擊的行業(yè)中高校占比高達98%����,依賴于蜜罐上報的數(shù)據(jù)及其他多方情報對比得出該IP詳細身份,客戶將溯源分析報告提交至組委會����,最終獲得500加分。
云蜜罐為面臨更多網(wǎng)絡(luò)攻擊�����、需要形成自身立體主動防御的行業(yè)客戶而生���,可解決日常網(wǎng)絡(luò)防護及高對抗性網(wǎng)絡(luò)安全事件響應(yīng)的實際需求�����,并且已經(jīng)以自身的應(yīng)用表現(xiàn)展現(xiàn)了自身的價值�。我們由衷相信在知道創(chuàng)宇專業(yè)能力加持與云蜜罐產(chǎn)品自身不斷優(yōu)化創(chuàng)新下�����,在未來會通過“云蜜罐”為更多網(wǎng)絡(luò)快速搭建主動防御系統(tǒng),完善網(wǎng)絡(luò)安全防護建設(shè)�����,與各行各業(yè)共同努力����,傾盡全力保障網(wǎng)絡(luò)安全、實現(xiàn)社會穩(wěn)定與國家安全����。
