經(jīng)過一段時(shí)間的開發(fā)與籌備，安全狗于今日正式迎來主機(jī)安全聯(lián)動(dòng)蜜罐解決方案的落地！

在此前，安全狗根據(jù)實(shí)際的安全場(chǎng)景，結(jié)合近幾年概念的演進(jìn)和大量的安全實(shí)踐，融合近年攻防對(duì)抗中的實(shí)戰(zhàn)經(jīng)驗(yàn)，開發(fā)出了涵蓋主機(jī)安全、容器安全、微隔離、補(bǔ)丁管理等安全需求的產(chǎn)品矩陣，形成了安全狗的工作負(fù)載安全解決方案。

云眼作為其中四件套之一，采用先進(jìn)的自適應(yīng)安全架構(gòu)及端點(diǎn)檢測(cè)及響應(yīng)（EDR）解決方案，提供云＋端的云安全管理平臺(tái)為用戶解決公有云、私有云和混合云環(huán)境中可能遇到的安全及管理問題。云眼主要包含資產(chǎn)管理、安全體檢、安全監(jiān)控、漏洞風(fēng)險(xiǎn)、入侵威脅、合規(guī)基線、威脅情報(bào)等多個(gè)功能模塊，各個(gè)模塊進(jìn)行聯(lián)動(dòng)，模塊間數(shù)據(jù)聯(lián)通，形成閉環(huán)系統(tǒng)，為企業(yè)提供強(qiáng)有力的采集、檢測(cè)、監(jiān)測(cè)、防御、捕獲能力，對(duì)主機(jī)進(jìn)行全方位的安全防護(hù)。

此次升級(jí)后的云眼，與之前最大的區(qū)別在于微蜜罐的引入，以及能與蜜罐誘捕系統(tǒng)產(chǎn)生聯(lián)動(dòng)，以此解決目前以APT攻擊為首的，對(duì)網(wǎng)絡(luò)安全威脅較高的黑客攻擊技術(shù)與手段。不僅適用于日常的安全防御體系的建設(shè)與完善，也適用于近年熱門的“大型攻防演練”場(chǎng)景。

主機(jī)安全聯(lián)動(dòng)蜜罐解決方案“扭轉(zhuǎn)”被動(dòng)局面

當(dāng)前主流的網(wǎng)絡(luò)安全防御體系，一般是由防火墻、入侵檢測(cè)和防御、Web應(yīng)用防火墻以及殺毒軟件組成，雖然從某種程度上也實(shí)現(xiàn)了縱深防御，但是這些安全產(chǎn)品的運(yùn)作方式主要是依賴已知攻擊特征庫對(duì)網(wǎng)絡(luò)流量進(jìn)行模式匹配，而對(duì)于新型攻擊、0day漏洞利用和APT等攻擊方式卻無能無力。

有“惡意商業(yè)間諜威脅”行為之稱的APT重則“撼動(dòng)”國(guó)家安全系統(tǒng)，輕則勒索百萬到上億勒索贖金。在APT對(duì)國(guó)家、社會(huì)和企業(yè)的危害越來越明顯且越來越大的局勢(shì)之下，企業(yè)用戶等防守方亟需采用“主動(dòng)攻勢(shì)”扭轉(zhuǎn)這種“被動(dòng)”、不平衡的對(duì)抗局面。

新版云眼升級(jí)的功能之一，即蜜罐，則能有效協(xié)助防守方“化被動(dòng)為主動(dòng)”。新版云眼可識(shí)別已知，尤其是未知威脅等入侵行為，在入侵行為對(duì)信息系統(tǒng)發(fā)生影響之前，通過及時(shí)且精準(zhǔn)的預(yù)警，有效地避免、轉(zhuǎn)移、降低信息系統(tǒng)面臨的風(fēng)險(xiǎn)，由此“扭轉(zhuǎn)局勢(shì)”，讓企業(yè)用戶等防守方“占上風(fēng)”。

主機(jī)安全聯(lián)動(dòng)蜜罐解決方案“以假作真 誘敵深入”

特點(diǎn)1：新版云眼支持微蜜罐功能“以假亂真”

在原先的功能基礎(chǔ)上，新版云眼可支持微蜜罐功能。通過對(duì)指定的主機(jī)設(shè)置不同的端口監(jiān)聽策略，當(dāng)監(jiān)聽端口被攻擊時(shí)，若部署了云幻蜜罐系統(tǒng)，則將攻擊流量引導(dǎo)到該端口對(duì)應(yīng)的蜜罐系統(tǒng)上；若未部署蜜罐系統(tǒng)則阻斷攻擊者攻擊行為。云眼設(shè)置的蜜罐端口被攻擊時(shí)實(shí)時(shí)生成告警事件，告警事件能夠通過手機(jī)和郵箱進(jìn)行推送。

（1）事前

1．支持對(duì)指定的主機(jī)設(shè)置不同的端口監(jiān)聽策略；

2．支持針對(duì)全局設(shè)置IP白名單。

（2）事中

1．持續(xù)監(jiān)聽端口當(dāng)被攻擊時(shí)，若部署蜜罐主機(jī)，則將攻擊流量引導(dǎo)到部署好該端口對(duì)應(yīng)服務(wù)的蜜罐主機(jī)，若未部署則阻斷攻擊者攻擊行為；

2．蜜罐端口被攻擊時(shí)支持實(shí)時(shí)生成告警事件，告警支持推送到手機(jī)和郵箱。

（3）事后

1．支持記錄和回放攻擊者在蜜罐主機(jī)的攻擊行為；

2．支持隔離蜜罐主機(jī)與真實(shí)業(yè)務(wù)環(huán)境；

3．支持識(shí)別攻擊者硬件指紋。

通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)誘餌實(shí)施攻擊，并將攻擊方困在仿真的業(yè)務(wù)環(huán)境中，給攻擊方真實(shí)的反饋。在攻擊方未察覺的情況下對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)。能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

特點(diǎn)2：新版云眼聯(lián)動(dòng)蜜罐誘捕系統(tǒng)“誘敵深入”

（1）聯(lián)動(dòng)原理

當(dāng)攻擊者進(jìn)行攻擊時(shí)，蜜罐誘捕節(jié)點(diǎn)能夠迅速檢測(cè)到攻擊行為，并且將攻擊流量引入蜜罐系統(tǒng)，使其遠(yuǎn)離真實(shí)網(wǎng)絡(luò)，同時(shí)延緩攻擊進(jìn)程，為用戶爭(zhēng)取應(yīng)急響應(yīng)時(shí)間。與此同時(shí)，對(duì)攻擊者進(jìn)行全程監(jiān)控，詳細(xì)記錄攻擊步驟、攻擊工具和攻擊手段，作為日后取證的依據(jù)。

在云眼服務(wù)端同步云幻蜜罐列表及各蜜罐支持的服務(wù)，配置監(jiān)聽端口，下發(fā)策略至相關(guān)服務(wù)器。當(dāng)攻擊者直接對(duì)真實(shí)服務(wù)器進(jìn)行攻擊時(shí)，真實(shí)服務(wù)器部署了云眼客戶端，通過端口持續(xù)進(jìn)行監(jiān)聽，一旦云眼客戶端發(fā)現(xiàn)蜜罐端口被攻擊，則實(shí)施反饋事件信息并將攻擊流量引入蜜罐系統(tǒng)。

（2）聯(lián)動(dòng)的優(yōu)勢(shì)

通過新版云眼和蜜罐誘捕系統(tǒng)的聯(lián)動(dòng)，可實(shí)現(xiàn)構(gòu)建全網(wǎng)仿真環(huán)境、擺脫被動(dòng)挨打局面、解決內(nèi)網(wǎng)安全盲點(diǎn)、對(duì)抗高級(jí)未知威脅、完整定位證據(jù)源頭等優(yōu)勢(shì)。

特點(diǎn)3：為大型攻防演練增設(shè)的更多功能

除了以上提到的2個(gè)功能特點(diǎn)外，在結(jié)合多年來大型攻防演練的實(shí)戰(zhàn)經(jīng)驗(yàn)以及安全前沿技術(shù)，新版云眼還新增一系列功能助力用戶更好地應(yīng)對(duì)即將到來的實(shí)戰(zhàn)演練：

（1）新增支持賬號(hào)防護(hù)功能

支持禁止創(chuàng)建系統(tǒng)賬號(hào)（Windows系統(tǒng)適用）

支持禁止賬號(hào)提權(quán)（Linux系統(tǒng)適用），開啟后用戶組禁止轉(zhuǎn)入賬號(hào)，阻止賬號(hào)提權(quán)

支持禁止賬號(hào)創(chuàng)建（Linux系統(tǒng)適用），開啟后將無法創(chuàng)建新賬號(hào)

（2）客戶端兼容國(guó)產(chǎn)化產(chǎn)品ARM架構(gòu)的CPU

滿足更多用戶的兼容需求

資產(chǎn)采集web容器增加中創(chuàng)的采集

優(yōu)化漏洞風(fēng)險(xiǎn)及入侵威脅概覽模塊

支持展示各個(gè)模塊下風(fēng)險(xiǎn)及入侵事件的發(fā)現(xiàn)及處置分布圖

新版云眼的發(fā)布，將更好地為更多企業(yè)用戶及時(shí)、準(zhǔn)確、到位、省時(shí)省力地守護(hù)最后一道防線安全。

主機(jī)安全聯(lián)動(dòng)蜜罐解決方案助力大型攻防演練

從2016年《網(wǎng)絡(luò)安全法》的頒布開始，國(guó)家開始每年進(jìn)行大型攻防演練。歷時(shí)5次的大型攻防演練也慢慢地從“小打小鬧”等一些常規(guī)方法轉(zhuǎn)變成“出其不意”、“出乎意料”等的打法，比如滿天飛的0day、進(jìn)攻型腳本后門版本升級(jí)、進(jìn)攻流量隧道加密、免殺、不落地等各種招數(shù)、利用供應(yīng)鏈間接入侵，等等“非常規(guī)”操作涌現(xiàn)使得整體演練環(huán)境趨向于實(shí)戰(zhàn)規(guī)模場(chǎng)景。雖然這無疑讓各行各業(yè)里參加的企業(yè)單位組織等“頭痛不已”，但也算是為真實(shí)的高級(jí)持續(xù)性威脅等攻擊事件做提前準(zhǔn)備。

面對(duì)2021年大型攻防演練的逼近，安全狗主機(jī)安全聯(lián)動(dòng)蜜罐解決方案的落地對(duì)于經(jīng)常困頓在“被動(dòng)挨打”局面的企業(yè)單位而言無疑是暗室逢燈。

針對(duì)信息采集踩點(diǎn)、獲得突破口、由外向內(nèi)滲透拿下主機(jī)權(quán)限、最后逐步接近靶標(biāo)，并拿下目標(biāo)的紅隊(duì)攻擊路徑，主機(jī)安全聯(lián)動(dòng)蜜罐解決方案通過模擬服務(wù)，監(jiān)聽端口連接并記錄數(shù)據(jù)包，可以實(shí)現(xiàn)端口掃描和暴力破解的檢測(cè)等，從而進(jìn)行精準(zhǔn)告警。

從2015年安全狗第一版云眼誕生后，隨著上百次版本迭代、高額研發(fā)費(fèi)用的投入，云眼的功能不斷增加，安全能力也越發(fā)完善，不僅為多個(gè)行業(yè)客戶成功提供了持續(xù)且穩(wěn)定的安全能力，也獲得國(guó)內(nèi)外多個(gè)專業(yè)咨詢機(jī)構(gòu)以及行業(yè)內(nèi)權(quán)威媒體的認(rèn)可，在歷年的大型攻防演練活動(dòng)中得到很好的應(yīng)用。此次新版本的升級(jí)，也獲得眾多客戶的關(guān)注。

除了此次蜜罐層面的功能升級(jí)，安全狗還推出了面向攻防演練的新一代整體安全服務(wù)方案。通過專業(yè)團(tuán)隊(duì)、工具以及專業(yè)運(yùn)營(yíng)流程提出的新一代整體安全保障思路，涵蓋風(fēng)險(xiǎn)管理能力、檢測(cè)和響應(yīng)能力、合規(guī)驅(qū)動(dòng)管理能力、內(nèi)外部數(shù)據(jù)安全保障能力、快速自動(dòng)化能力、攻防對(duì)抗演練能力、新攻擊面響應(yīng)能力在內(nèi)，能體系化、持續(xù)化地解決網(wǎng)絡(luò)安全建設(shè)核心問題。

為了幫助更多客戶“輕松”地應(yīng)對(duì)即將到來的大型攻防演練活動(dòng)，安全狗新版云眼特意預(yù)留試用機(jī)會(huì)，如果您是新客戶，可以掃描下方的二維碼填寫表格，申請(qǐng)?jiān)囉觅Y格，如果您已經(jīng)是安全狗的客戶，則可以聯(lián)系對(duì)應(yīng)的銷售進(jìn)行升級(jí)。