基于攻防对抗思路的蜜罐实践方案

以欺骗伪装、威胁感知和溯源反制三个实践,消除“攻”和“防”之间的信息情报不对称,实现技术与业务的紧密结合,切实保护企业安全

消除攻防对抗中的不平衡

站在攻击者角度,提前在攻击路上层层设防,辅设诱惑攻击者的”陷阱“,在内网即时被单点突破的情况下,能够做到让攻击者远离真实资产。

  • 主动对抗攻击行为

  • 扰乱攻击者认知

  • 事件及时响应

  • 开展反制措施

长亭科技在与多类客户沟通交流过程中,总结了蜜罐技术在防守体系的3个实践方向:通过欺骗伪装、威胁感知和溯源反制,实现和企业业务场景相结合,在攻防对抗中发挥实际作用。

基于蜜罐技术部署伪装真实业务的服务,通过虚假响应、有意混淆等伪装信息扰乱攻击者的自动化工具,阻挠或推翻攻击者的认知过程从而保护真正资产。

在内网边界和敏感位置部署具备威胁感知能力的探针节点,当攻击者尝试发送信息或建立初始连接时,快速准确定位攻击事件,全面感知内网中存在的潜在威胁。

在外网中部署蜜IP和蜜域名等伪装诱饵,诱使攻击者前来进而搜集攻击者信息,有效追踪攻击者,同时借助基础信息信息库进行追踪和溯源,从而定位攻击者实体,借助法律手段追踪攻击者责任。

方案优势

  • 攻防经验丰富,熟知行业漏洞

    具备丰富的攻防比赛经验,深入的安全研究能力获得业内及客户高度认可,在同级别产品中率先取得了标杆资质。

  • 实时应急处置,7x24H迅速响应

    结合定制化应急响应服务,及时协助排查安全风险,迅速恢复系统的保密性、完整性和可用性,有效降低安全损失。

  • 开放API,联动防御

    通过日志外发接口和API接口,接入企业SIEM平台,实现对蜜罐告警的及时感知与相应。

行业案例

金融行业

场景描述:

  • 某大型股份制银行办公网与生产网相互隔离,要求不改变原有网络拓扑,支持全局部署统一管理,实现实时预警,并能有效迷惑攻击者。

解决方案:

  • 通过在真实网络环境中部署监测节点,部署两套独立的管理节点,监听扫描和攻击行为,将攻击流量重定向至由伪装组件搭建的蜜网环境中,延缓攻击进程,同时在外网部署溯源蜜罐 记录攻击行为。

项目成果:

  • 提高各网络区域的威胁感知能力,在发生入侵事件后,及时发现威胁,提前止损。
  • 感知内网威胁态势,异常及时告警,完整记录攻击行为和过程,回溯攻击方法和意图。
  • 外网蜜罐与防火墙联动,在攻击者发起攻击前将其阻挡在边界安全防护之外。

电力行业

场景描述:

  • 某省级电网公司由于内网人员众多、设备复杂,无法保证所有进入网络的外接设备等均安全可控,同时,内网网络相对分散,重保期间无法提供大量人力做到各区域监控,需集中管理监控功能,能够感知内网威胁动态。

解决方案:

  • 针对实际拓扑情况,在DMZ区域和数据中心部署两套独立的管理节点。在各网络区域布设100台探针节点,实时监听告警并记录日志,并实现利用较少探针节点覆盖较多网段的效果。

项目成果:

  • 感知内网威胁态势,异常事件即时告警,完整记录攻击行为和过程,回溯攻击方法和意图。
  • 探针轻量化弹性灵活部署,可部署在任意防护目标网段,与现有运维体系结合。
  • 支持集中管理,易于维护,在重保活动期间减轻运维压力,成功感知到内网威胁事件。