网络攻击诱捕平台
产品介绍
网络攻击诱捕平台 - 隐锋是基于SDN的仿真欺骗节点批量化部署技术,可将诱捕能力发布到全网各个网段,无须在客户服务器中安装Agent,极大提高黑客攻击蜜罐的概率。基于欺骗防御技术,通过诱骗攻击者入侵蜜罐陷阱,不仅可以零误报定位攻击威胁,而且可在真实攻击对抗中消耗攻击资源,溯源、反制攻击者,化攻防被动为主动。
|
|
产品介绍
1. 吸引-基于 SDN 技术全网蜜罐部署
高捕获率部署模式:物壹隐锋平台基于 SDN 的仿真欺骗节点批量化部署技术,可将诱 捕能力发布到全网各个网段,无须在客户服务器中安装 agent,极大提高黑客攻击蜜罐的概 率。如下图例子所示,在运维区旁路 trunk 接入物壹隐锋平台,便可在各个网络区域、网段 快速生成多个高交互的虚拟蜜罐。
2. 吸引-引流防御
传统的威胁处置是采取封堵 IP 的操作,但攻击者大概率会换 IP 再次发起攻击,防守方 只能疲于应对。
物壹隐锋平台支持引流防御,可将访问真实业务的攻击流量引流到仿真蜜罐,对于攻击 者来说,攻击的目标是真实业务,实际在内部已被替换成仿真业务蜜罐,攻击者无法命中真 实目标。相对真实封堵 IP,引流防御不仅直接保护了真实资产,而且有效消耗攻击资源。
通过引流防御,可主动捕获攻击流量,黑客命中蜜罐的概率达到 100%,解决了蜜罐被 动诱捕的弊端,并可主动对攻击者溯源、攻击反制,化被动为主动
3. 吸引-设置诱饵主动欺骗
物壹隐锋平台支持在真实服务器上设置蜜罐诱饵,蜜罐诱饵:是设置在真实服务器中的 虚假文件,在黑客攻陷服务器后,通过预设的蜜罐诱饵(虚假文件)对其造成误导,使其攻 击目标转向蜜罐,间接保护其他资产。
物壹隐锋平台支持的诱饵功能有 5 种,分别是:历史命令欺骗诱饵、主机名欺骗诱饵、SSH 公钥欺骗诱饵、office 诱饵、互联网诱饵。
4. 仿真牵制-业务仿真蜜罐物壹隐锋平台可快速生成完全模拟客户真实业务系统的蜜罐,仿真业务蜜罐可与真实业 务系统完全一致。通过部署完全仿真业务蜜罐,可吸引真实攻击者(人)来攻击,捕获黑客 攻击行为、溯源攻击者身份信息、社交账号等信息。
5. 仿真牵制-自适应高交互蜜罐
6. 溯源-高分辩率黑客画像
洛卡尔物质交换定律:凡物体与物体之间发生接触后会存在物质的转移,目标物体会从 源物体上带走一些物质,同时也会将自身的一些物质遗留在原物体上。洛卡尔物质交换定律 告诉我们,犯罪行为人只要实施犯罪行为,必然会在犯罪现场直接或间接地作用于被侵害客 体及其周围环境,会自觉或不自觉地遗留下痕迹。 黑客入侵蜜罐同样会留下痕迹,会被物壹隐锋平台记录并分析出黑客画像。物壹隐锋平
台黑客画像支持 5 个维度,包括:设备指纹、位置信息、社交指纹、反向探测-漏洞信息、攻 击者标签,5 个维度具体的溯源信息如下图所示。
由于物壹隐锋平台支持漏洞扫描主动探测的功能,如果攻击主机是内网主机,用户可通 过漏洞探测,分析内网攻击主机的失陷原因,查看是否由于存在相关可入侵漏洞导致,有助 于失陷主机处置
7. 溯源-攻击链取证技术
基于 MITRE ATT&CK 理念,从“网络层、应用层、主机层”对攻击行为全量溯源,提 取攻击入侵证据:“攻击特征取证、行为取证、日志取证、病毒取证”。全面还原攻击者入 侵过程:探测扫描、渗透攻击、攻限蜜罐、后门远控、跳板攻击。
用户可以一键提取攻击链条日志,形成取证证据。
8. 处置-不同烈度的攻击反制
攻击者访问仿真业务蜜罐时,支持主动对指定攻击者发起不同烈度的攻击反制行为,包 括:威慑反制、拒绝服务反制、木马诱骗反制、漏洞攻击反制,具体如下:
1) 威慑反制: 可不断弹框警告攻击者,比如灌输国家网络安全法、告知已获得相关 溯源信息,发挥蜜罐威慑作用,使攻击者放弃后续的攻击行为;可灵活指定对某个攻击 源 IP 地址发起威慑反制。
2) 拒绝服务反制:可使攻击者浏览器拒绝服务,可灵活指定对某个攻击源 IP 地址发 起拒绝服务反制。
3) 木马诱骗反制:可使攻击者下载某个文件时,替换成木马文件,诱骗攻击者下载 安装;可灵活指定对某个攻击源 IP 地址发起木马诱骗反制。
4) 漏洞攻击反制:支持一键扫描攻击源 IP 地址,探测攻击者主机的开放端口信息、 弱口令、漏洞等。
处置-情报联动
攻传统安全检测设备只能产生攻击 IP、恶意文件等较低价值的威胁情报,且误报率高。物 壹隐锋平台基于“五维度的黑客画像技术”、“攻击链检测技术”,可帮助客户收集更多更 高价值的威胁情报,包括:
同时支持通过丰富的 api 接口、标准的 syslog 日志输出告警日志输出情报到相关安全管