侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

重磅發(fā)布|主機(jī)安全聯(lián)動(dòng)蜜罐解決方案助力大型攻防演練

2021-03-24 10:35
來源: 粵訊

經(jīng)過一段時(shí)間的開發(fā)與籌備,安全狗于今日正式迎來主機(jī)安全聯(lián)動(dòng)蜜罐解決方案的落地!

在此前,安全狗根據(jù)實(shí)際的安全場(chǎng)景,結(jié)合近幾年概念的演進(jìn)和大量的安全實(shí)踐,融合近年攻防對(duì)抗中的實(shí)戰(zhàn)經(jīng)驗(yàn),開發(fā)出了涵蓋主機(jī)安全、容器安全、微隔離、補(bǔ)丁管理等安全需求的產(chǎn)品矩陣,形成了安全狗的工作負(fù)載安全解決方案。

云眼作為其中四件套之一,采用先進(jìn)的自適應(yīng)安全架構(gòu)及端點(diǎn)檢測(cè)及響應(yīng)(EDR)解決方案,提供云+端的云安全管理平臺(tái)為用戶解決公有云、私有云和混合云環(huán)境中可能遇到的安全及管理問題。云眼主要包含資產(chǎn)管理、安全體檢、安全監(jiān)控、漏洞風(fēng)險(xiǎn)、入侵威脅、合規(guī)基線、威脅情報(bào)等多個(gè)功能模塊,各個(gè)模塊進(jìn)行聯(lián)動(dòng),模塊間數(shù)據(jù)聯(lián)通,形成閉環(huán)系統(tǒng),為企業(yè)提供強(qiáng)有力的采集、檢測(cè)、監(jiān)測(cè)、防御、捕獲能力,對(duì)主機(jī)進(jìn)行全方位的安全防護(hù)。

此次升級(jí)后的云眼,與之前最大的區(qū)別在于微蜜罐的引入,以及能與蜜罐誘捕系統(tǒng)產(chǎn)生聯(lián)動(dòng),以此解決目前以APT攻擊為首的,對(duì)網(wǎng)絡(luò)安全威脅較高的黑客攻擊技術(shù)與手段。不僅適用于日常的安全防御體系的建設(shè)與完善,也適用于近年熱門的“大型攻防演練”場(chǎng)景。

主機(jī)安全聯(lián)動(dòng)蜜罐解決方案“扭轉(zhuǎn)”被動(dòng)局面

當(dāng)前主流的網(wǎng)絡(luò)安全防御體系,一般是由防火墻、入侵檢測(cè)和防御、Web應(yīng)用防火墻以及殺毒軟件組成,雖然從某種程度上也實(shí)現(xiàn)了縱深防御,但是這些安全產(chǎn)品的運(yùn)作方式主要是依賴已知攻擊特征庫對(duì)網(wǎng)絡(luò)流量進(jìn)行模式匹配,而對(duì)于新型攻擊、0day漏洞利用和APT等攻擊方式卻無能無力。

有“惡意商業(yè)間諜威脅”行為之稱的APT重則“撼動(dòng)”國(guó)家安全系統(tǒng),輕則勒索百萬到上億勒索贖金。在APT對(duì)國(guó)家、社會(huì)和企業(yè)的危害越來越明顯且越來越大的局勢(shì)之下,企業(yè)用戶等防守方亟需采用“主動(dòng)攻勢(shì)”扭轉(zhuǎn)這種“被動(dòng)”、不平衡的對(duì)抗局面。

新版云眼升級(jí)的功能之一,即蜜罐,則能有效協(xié)助防守方“化被動(dòng)為主動(dòng)”。新版云眼可識(shí)別已知,尤其是未知威脅等入侵行為,在入侵行為對(duì)信息系統(tǒng)發(fā)生影響之前,通過及時(shí)且精準(zhǔn)的預(yù)警,有效地避免、轉(zhuǎn)移、降低信息系統(tǒng)面臨的風(fēng)險(xiǎn),由此“扭轉(zhuǎn)局勢(shì)”,讓企業(yè)用戶等防守方“占上風(fēng)”。

主機(jī)安全聯(lián)動(dòng)蜜罐解決方案“以假作真 誘敵深入”

特點(diǎn)1:新版云眼支持微蜜罐功能“以假亂真”

在原先的功能基礎(chǔ)上,新版云眼可支持微蜜罐功能。通過對(duì)指定的主機(jī)設(shè)置不同的端口監(jiān)聽策略,當(dāng)監(jiān)聽端口被攻擊時(shí),若部署了云幻蜜罐系統(tǒng),則將攻擊流量引導(dǎo)到該端口對(duì)應(yīng)的蜜罐系統(tǒng)上;若未部署蜜罐系統(tǒng)則阻斷攻擊者攻擊行為。云眼設(shè)置的蜜罐端口被攻擊時(shí)實(shí)時(shí)生成告警事件,告警事件能夠通過手機(jī)和郵箱進(jìn)行推送。

(1)事前

1.支持對(duì)指定的主機(jī)設(shè)置不同的端口監(jiān)聽策略;

2.支持針對(duì)全局設(shè)置IP白名單。

(2)事中

1.持續(xù)監(jiān)聽端口當(dāng)被攻擊時(shí),若部署蜜罐主機(jī),則將攻擊流量引導(dǎo)到部署好該端口對(duì)應(yīng)服務(wù)的蜜罐主機(jī),若未部署則阻斷攻擊者攻擊行為;

2.蜜罐端口被攻擊時(shí)支持實(shí)時(shí)生成告警事件,告警支持推送到手機(jī)和郵箱。

(3)事后

1.支持記錄和回放攻擊者在蜜罐主機(jī)的攻擊行為;

2.支持隔離蜜罐主機(jī)與真實(shí)業(yè)務(wù)環(huán)境;

3.支持識(shí)別攻擊者硬件指紋。

通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)誘餌實(shí)施攻擊,并將攻擊方困在仿真的業(yè)務(wù)環(huán)境中,給攻擊方真實(shí)的反饋。在攻擊方未察覺的情況下對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī)。能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

特點(diǎn)2:新版云眼聯(lián)動(dòng)蜜罐誘捕系統(tǒng)“誘敵深入”

(1)聯(lián)動(dòng)原理

當(dāng)攻擊者進(jìn)行攻擊時(shí),蜜罐誘捕節(jié)點(diǎn)能夠迅速檢測(cè)到攻擊行為,并且將攻擊流量引入蜜罐系統(tǒng),使其遠(yuǎn)離真實(shí)網(wǎng)絡(luò),同時(shí)延緩攻擊進(jìn)程,為用戶爭(zhēng)取應(yīng)急響應(yīng)時(shí)間。與此同時(shí),對(duì)攻擊者進(jìn)行全程監(jiān)控,詳細(xì)記錄攻擊步驟、攻擊工具和攻擊手段,作為日后取證的依據(jù)。

重磅發(fā)布|主機(jī)安全聯(lián)動(dòng)蜜罐解決方案助力大型攻防演練

在云眼服務(wù)端同步云幻蜜罐列表及各蜜罐支持的服務(wù),配置監(jiān)聽端口,下發(fā)策略至相關(guān)服務(wù)器。當(dāng)攻擊者直接對(duì)真實(shí)服務(wù)器進(jìn)行攻擊時(shí),真實(shí)服務(wù)器部署了云眼客戶端,通過端口持續(xù)進(jìn)行監(jiān)聽,一旦云眼客戶端發(fā)現(xiàn)蜜罐端口被攻擊,則實(shí)施反饋事件信息并將攻擊流量引入蜜罐系統(tǒng)。

(2)聯(lián)動(dòng)的優(yōu)勢(shì)

通過新版云眼和蜜罐誘捕系統(tǒng)的聯(lián)動(dòng),可實(shí)現(xiàn)構(gòu)建全網(wǎng)仿真環(huán)境、擺脫被動(dòng)挨打局面、解決內(nèi)網(wǎng)安全盲點(diǎn)、對(duì)抗高級(jí)未知威脅、完整定位證據(jù)源頭等優(yōu)勢(shì)。

特點(diǎn)3:為大型攻防演練增設(shè)的更多功能

除了以上提到的2個(gè)功能特點(diǎn)外,在結(jié)合多年來大型攻防演練的實(shí)戰(zhàn)經(jīng)驗(yàn)以及安全前沿技術(shù),新版云眼還新增一系列功能助力用戶更好地應(yīng)對(duì)即將到來的實(shí)戰(zhàn)演練:

(1)新增支持賬號(hào)防護(hù)功能

支持禁止創(chuàng)建系統(tǒng)賬號(hào)(Windows系統(tǒng)適用)

支持禁止賬號(hào)提權(quán)(Linux系統(tǒng)適用),開啟后用戶組禁止轉(zhuǎn)入賬號(hào),阻止賬號(hào)提權(quán)

支持禁止賬號(hào)創(chuàng)建(Linux系統(tǒng)適用),開啟后將無法創(chuàng)建新賬號(hào)

(2)客戶端兼容國(guó)產(chǎn)化產(chǎn)品ARM架構(gòu)的CPU

滿足更多用戶的兼容需求

資產(chǎn)采集web容器增加中創(chuàng)的采集

優(yōu)化漏洞風(fēng)險(xiǎn)及入侵威脅概覽模塊

支持展示各個(gè)模塊下風(fēng)險(xiǎn)及入侵事件的發(fā)現(xiàn)及處置分布圖

新版云眼的發(fā)布,將更好地為更多企業(yè)用戶及時(shí)、準(zhǔn)確、到位、省時(shí)省力地守護(hù)最后一道防線安全。

主機(jī)安全聯(lián)動(dòng)蜜罐解決方案助力大型攻防演練

從2016年《網(wǎng)絡(luò)安全法》的頒布開始,國(guó)家開始每年進(jìn)行大型攻防演練。歷時(shí)5次的大型攻防演練也慢慢地從“小打小鬧”等一些常規(guī)方法轉(zhuǎn)變成“出其不意”、“出乎意料”等的打法,比如滿天飛的0day、進(jìn)攻型腳本后門版本升級(jí)、進(jìn)攻流量隧道加密、免殺、不落地等各種招數(shù)、利用供應(yīng)鏈間接入侵,等等“非常規(guī)”操作涌現(xiàn)使得整體演練環(huán)境趨向于實(shí)戰(zhàn)規(guī)模場(chǎng)景。雖然這無疑讓各行各業(yè)里參加的企業(yè)單位組織等“頭痛不已”,但也算是為真實(shí)的高級(jí)持續(xù)性威脅等攻擊事件做提前準(zhǔn)備。

面對(duì)2021年大型攻防演練的逼近,安全狗主機(jī)安全聯(lián)動(dòng)蜜罐解決方案的落地對(duì)于經(jīng)常困頓在“被動(dòng)挨打”局面的企業(yè)單位而言無疑是暗室逢燈。

針對(duì)信息采集踩點(diǎn)、獲得突破口、由外向內(nèi)滲透拿下主機(jī)權(quán)限、最后逐步接近靶標(biāo),并拿下目標(biāo)的紅隊(duì)攻擊路徑,主機(jī)安全聯(lián)動(dòng)蜜罐解決方案通過模擬服務(wù),監(jiān)聽端口連接并記錄數(shù)據(jù)包,可以實(shí)現(xiàn)端口掃描和暴力破解的檢測(cè)等,從而進(jìn)行精準(zhǔn)告警。

從2015年安全狗第一版云眼誕生后,隨著上百次版本迭代、高額研發(fā)費(fèi)用的投入,云眼的功能不斷增加,安全能力也越發(fā)完善,不僅為多個(gè)行業(yè)客戶成功提供了持續(xù)且穩(wěn)定的安全能力,也獲得國(guó)內(nèi)外多個(gè)專業(yè)咨詢機(jī)構(gòu)以及行業(yè)內(nèi)權(quán)威媒體的認(rèn)可,在歷年的大型攻防演練活動(dòng)中得到很好的應(yīng)用。此次新版本的升級(jí),也獲得眾多客戶的關(guān)注。

除了此次蜜罐層面的功能升級(jí),安全狗還推出了面向攻防演練的新一代整體安全服務(wù)方案。通過專業(yè)團(tuán)隊(duì)、工具以及專業(yè)運(yùn)營(yíng)流程提出的新一代整體安全保障思路,涵蓋風(fēng)險(xiǎn)管理能力、檢測(cè)和響應(yīng)能力、合規(guī)驅(qū)動(dòng)管理能力、內(nèi)外部數(shù)據(jù)安全保障能力、快速自動(dòng)化能力、攻防對(duì)抗演練能力、新攻擊面響應(yīng)能力在內(nèi),能體系化、持續(xù)化地解決網(wǎng)絡(luò)安全建設(shè)核心問題。

為了幫助更多客戶“輕松”地應(yīng)對(duì)即將到來的大型攻防演練活動(dòng),安全狗新版云眼特意預(yù)留試用機(jī)會(huì),如果您是新客戶,可以掃描下方的二維碼填寫表格,申請(qǐng)?jiān)囉觅Y格,如果您已經(jīng)是安全狗的客戶,則可以聯(lián)系對(duì)應(yīng)的銷售進(jìn)行升級(jí)。

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請(qǐng)聯(lián)系我們。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評(píng)論

暫無評(píng)論

安防 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號(hào)