消除攻防对抗中的不平衡
站在攻击者角度,提前在攻击路上层层设防,辅设诱惑攻击者的”陷阱“,在内网即时被单点突破的情况下,能够做到让攻击者远离真实资产。
主动对抗攻击行为
扰乱攻击者认知
事件及时响应
开展反制措施
长亭科技在与多类客户沟通交流过程中,总结了蜜罐技术在防守体系的3个实践方向:通过欺骗伪装、威胁感知和溯源反制,实现和企业业务场景相结合,在攻防对抗中发挥实际作用。
基于蜜罐技术部署伪装真实业务的服务,通过虚假响应、有意混淆等伪装信息扰乱攻击者的自动化工具,阻挠或推翻攻击者的认知过程从而保护真正资产。
在内网边界和敏感位置部署具备威胁感知能力的探针节点,当攻击者尝试发送信息或建立初始连接时,快速准确定位攻击事件,全面感知内网中存在的潜在威胁。
在外网中部署蜜IP和蜜域名等伪装诱饵,诱使攻击者前来进而搜集攻击者信息,有效追踪攻击者,同时借助基础信息信息库进行追踪和溯源,从而定位攻击者实体,借助法律手段追踪攻击者责任。
方案优势
攻防经验丰富,熟知行业漏洞
具备丰富的攻防比赛经验,深入的安全研究能力获得业内及客户高度认可,在同级别产品中率先取得了标杆资质。
实时应急处置,7x24H迅速响应
结合定制化应急响应服务,及时协助排查安全风险,迅速恢复系统的保密性、完整性和可用性,有效降低安全损失。
开放API,联动防御
通过日志外发接口和API接口,接入企业SIEM平台,实现对蜜罐告警的及时感知与相应。
行业案例
金融行业
场景描述:
- 某大型股份制银行办公网与生产网相互隔离,要求不改变原有网络拓扑,支持全局部署统一管理,实现实时预警,并能有效迷惑攻击者。
解决方案:
- 通过在真实网络环境中部署监测节点,部署两套独立的管理节点,监听扫描和攻击行为,将攻击流量重定向至由伪装组件搭建的蜜网环境中,延缓攻击进程,同时在外网部署溯源蜜罐 记录攻击行为。
项目成果:
- 提高各网络区域的威胁感知能力,在发生入侵事件后,及时发现威胁,提前止损。
- 感知内网威胁态势,异常及时告警,完整记录攻击行为和过程,回溯攻击方法和意图。
- 外网蜜罐与防火墙联动,在攻击者发起攻击前将其阻挡在边界安全防护之外。
电力行业
场景描述:
- 某省级电网公司由于内网人员众多、设备复杂,无法保证所有进入网络的外接设备等均安全可控,同时,内网网络相对分散,重保期间无法提供大量人力做到各区域监控,需集中管理监控功能,能够感知内网威胁动态。
解决方案:
- 针对实际拓扑情况,在DMZ区域和数据中心部署两套独立的管理节点。在各网络区域布设100台探针节点,实时监听告警并记录日志,并实现利用较少探针节点覆盖较多网段的效果。
项目成果:
- 感知内网威胁态势,异常事件即时告警,完整记录攻击行为和过程,回溯攻击方法和意图。
- 探针轻量化弹性灵活部署,可部署在任意防护目标网段,与现有运维体系结合。
- 支持集中管理,易于维护,在重保活动期间减轻运维压力,成功感知到内网威胁事件。