以欺骗伪装、威胁感知和溯源反制三个实践,消除“攻”和“防”之间的信息情报不对称,实现技术与业务的紧密结合,切实保护企业安全
消除攻防对抗中的不平衡
站在攻击者角度,提前在攻击路上层层设防,辅设诱惑攻击者的”陷阱“,在内网即时被单点突破的情况下,能够做到让攻击者远离真实资产。
主动对抗攻击行为
扰乱攻击者认知
事件及时响应
开展反制措施
长亭在与多类客户沟通交流过程中,总结了蜜罐技术在防守体系的3个实践方向:通过欺骗伪装、威胁感知和溯源反制,实现和企业业务场景相结合,在攻防对抗中发挥实际作用。
基于蜜罐技术部署伪装真实业务的服务,通过虚假响应、有意混淆等伪装信息扰乱攻击者的自动化工具,阻挠或推翻攻击者的认知过程从而保护真正资产。
在内网边界和敏感位置部署具备威胁感知能力的探针节点,当攻击者尝试发送信息或建立初始连接时,快速精准定位攻击事件,全面感知内网中存在的潜在威胁。
在外网中部署蜜IP和蜜域名等伪装诱饵,诱使攻击者前来进而搜集攻击者信息,有效追踪攻击者,同时借助基础信息信息库进行追踪和溯源,从而定位攻击者实体,借助法律手段追踪攻击者责任。
欺骗伪装实践
威胁感知实践
溯源反制实践
方案优势
攻防经验丰富,熟知行业漏洞
具备丰富的国际攻防比赛经验,深入的安全研究能力获得业内及客户高度认可,在同级别产品中率先取得了标杆资质。
实时应急处置,7x24H迅速响应
结合定制化应急响应服务,及时协助排查安全风险,迅速恢复系统的保密性、完整性和可用性,将安全损失降至最低。
开放API,联动防御
通过日志外发接口和API接口,接入企业SIEM平台,实现对蜜罐告警的及时感知与相应。
行业案例
金融行业
场景描述:
某大型股份制银行办公网与生产网相互隔离,要求不改变原有网络拓扑,支持全局部署统一管理,实现实时预警,并能有效迷惑攻击者。
解决方案:
通过在真实网络环境中部署监测节点,部署两套独立的管理节点,监听扫描和攻击行为,将攻击流量重定向至由伪装组件搭建的蜜网环境中,延缓攻击进程,同时在外网部署溯源蜜罐 记录攻击行为。
项目成果:
极大提高各网络区域的威胁感知能力,在发生入侵事件后,及时发现威胁,提前止损。
内网威胁态势全面感知,异常及时告警,完整记录攻击行为和过程,回溯攻击方法和意图。
外网蜜罐与防火墙联动,在攻击者发起攻击前将其阻挡在边界安全防护之外。