威脅感知+攻擊鏈還原����,更全面
云蜜罐實(shí)現(xiàn)全面威脅感知���,覆蓋面大、誘捕面廣�。不止將蜜罐應(yīng)用在內(nèi)網(wǎng)攻擊流量監(jiān)測(cè)的層面,當(dāng)流量訪問(wèn)蜜罐后��,第一時(shí)間判定接觸到不應(yīng)被訪問(wèn)蜜罐的為攻擊流量�。同時(shí),擴(kuò)散思維將部署在外網(wǎng)的云蜜罐看作一種對(duì)全網(wǎng)范圍威脅的攻擊感知和數(shù)據(jù)收集的工具,可以通過(guò)域名接入的方式將云蜜罐快速覆蓋潛在威脅入口����,在更高的維度上全面進(jìn)行攻擊信息的整合和對(duì)威脅的感知響應(yīng),依據(jù)安全態(tài)勢(shì)對(duì)防御體系進(jìn)行及時(shí)的調(diào)整�����。
感知威脅�、進(jìn)而捕獲攻擊數(shù)據(jù)是部署蜜罐的主要目的之一,云蜜罐威脅控制中心將晦澀難懂的數(shù)據(jù)流轉(zhuǎn)化分析為易于檢索��、定位����、瀏覽的攻擊日志,通過(guò)清晰呈現(xiàn)攻擊者從入侵到攻擊執(zhí)行的完整攻擊路線實(shí)現(xiàn)攻擊鏈還原����。掌握“何時(shí)、何地�、何種路徑、何種攻擊��、何種命令”等詳盡信息�����,使云蜜罐對(duì)捕獲攻擊有全面了解。
牽制攻擊者+識(shí)別攻擊者��,更精準(zhǔn)
通過(guò)部署蜜罐的方式進(jìn)行攻擊引流與攻擊牽制�����,從而實(shí)現(xiàn)對(duì)真實(shí)系統(tǒng)的保護(hù)��,這是眾多用戶(hù)選擇部署蜜罐來(lái)進(jìn)行網(wǎng)絡(luò)安全防御的另一重目的����。有效部署云蜜罐可以起到吸引攻擊火力的作用,部署在真實(shí)系統(tǒng)周?chē)母叻抡嬖泼酃拮阋浴耙约賮y真”���,通過(guò)模擬企業(yè)真實(shí)業(yè)務(wù)�����,構(gòu)造虛擬業(yè)務(wù)陷阱�。
這樣既避免攻擊者直接攻入真實(shí)系統(tǒng)���、接觸到核心數(shù)據(jù)���,又能延長(zhǎng)攻擊者在蜜罐系統(tǒng)中停留的時(shí)間,以便捕獲到更多攻擊數(shù)據(jù)及對(duì)應(yīng)攻擊者信息�����。云蜜罐結(jié)合知道創(chuàng)宇多年網(wǎng)絡(luò)攻防實(shí)戰(zhàn)經(jīng)驗(yàn)與深厚累積攻擊數(shù)據(jù)��,能夠精準(zhǔn)識(shí)別攻擊者背后的組織�����、家族��、攻擊行為特征�����,對(duì)這些信息進(jìn)行整合���,生成攻擊者畫(huà)像����,在后續(xù)攻擊事件處理中占據(jù)主動(dòng)權(quán)��。
安全產(chǎn)品聯(lián)動(dòng)聯(lián)防,更立體
云蜜罐擁有極強(qiáng)的攻擊溯源能力����,從核心層獲取豐富的攻擊行為數(shù)據(jù),對(duì)這些數(shù)據(jù)進(jìn)行分類(lèi)溯源處理��,使蜜罐系統(tǒng)實(shí)現(xiàn)深度溯源與反滲透�����。同時(shí)�,以溯源到的數(shù)據(jù)信息加黑名單封禁、震懾甚至抓捕攻擊者的方式����,爭(zhēng)取在本不對(duì)等的攻防對(duì)抗中扭轉(zhuǎn)不利局面、占據(jù)主動(dòng)權(quán)����。
云蜜罐與知道創(chuàng)宇數(shù)據(jù)庫(kù)創(chuàng)宇安全大腦實(shí)現(xiàn)互通,為用戶(hù)提供完善的全網(wǎng)攻擊溯源服務(wù)����,既可以獲取到攻擊者IP、設(shè)備物理地址�、個(gè)人社交賬號(hào)��、實(shí)時(shí)地理位置等詳盡信息,對(duì)攻擊源及攻擊者身份進(jìn)行精準(zhǔn)匹配���,協(xié)助客戶(hù)找到攻擊源���,并將攻擊源進(jìn)行黑名單標(biāo)注,實(shí)現(xiàn)溯源反制;也可以將云蜜罐收集到的威脅情報(bào)反饋給創(chuàng)宇安全大腦��,完善黑客數(shù)據(jù)庫(kù)���。
4�����、實(shí)際應(yīng)用價(jià)值幾何?
某金融客戶(hù)及時(shí)惡意攻擊阻斷:
客戶(hù)部署云蜜罐(包括域名接入�、客戶(hù)端接兩種類(lèi)型云蜜罐)并在下級(jí)子單位進(jìn)行了同步分配和部署�,每天每個(gè)子單位部署的蜜罐都會(huì)記錄數(shù)百攻擊日志、十余個(gè)惡意IP�����,還有試圖利用蜜罐進(jìn)行橫向滲透的攻擊者����。通過(guò)蜜罐對(duì)于攻擊數(shù)據(jù)的全面記錄��,及時(shí)對(duì)惡意攻擊進(jìn)行了全面的阻斷��,保護(hù)客戶(hù)的網(wǎng)絡(luò)空間資產(chǎn)����。
某政府客戶(hù)深度牽制網(wǎng)絡(luò)攻擊:
客戶(hù)采用公有云進(jìn)行蜜罐部署�,并開(kāi)啟全端口監(jiān)測(cè)的“黑洞蜜罐”功能,蜜罐客戶(hù)端每天可以捕獲到上千條攻擊日志���,通過(guò)云蜜罐系統(tǒng)威脅分析發(fā)現(xiàn)有攻擊者在對(duì)蜜罐IP進(jìn)行全端口掃描�����,并且在發(fā)現(xiàn)某端口部署的Struts2蜜罐后�,在蜜罐中停留了2天�����,試圖利用了Struts2的漏洞進(jìn)一步突破�,但最終未能得手。
某高校客戶(hù)攻防演練溯源得分:
某高?��?蛻?hù)云蜜罐溯源發(fā)現(xiàn)攻防演練期間攻擊者IP攻擊60多個(gè)���,其中18個(gè)IP近期被創(chuàng)宇安全大腦打上了“惡意”標(biāo)簽,并且其中一個(gè)IP攻防演練期間在全網(wǎng)的攻擊量突增�,攻擊的行業(yè)中高校占比高達(dá)98%���,依賴(lài)于蜜罐上報(bào)的數(shù)據(jù)及其他多方情報(bào)對(duì)比得出該IP詳細(xì)身份��,客戶(hù)將溯源分析報(bào)告提交至組委會(huì)����,最終獲得500加分����。
云蜜罐為面臨更多網(wǎng)絡(luò)攻擊、需要形成自身立體主動(dòng)防御的行業(yè)客戶(hù)而生���,可解決日常網(wǎng)絡(luò)防護(hù)及高對(duì)抗性網(wǎng)絡(luò)安全事件響應(yīng)的實(shí)際需求�,并且已經(jīng)以自身的應(yīng)用表現(xiàn)展現(xiàn)了自身的價(jià)值���。我們由衷相信在知道創(chuàng)宇專(zhuān)業(yè)能力加持與云蜜罐產(chǎn)品自身不斷優(yōu)化創(chuàng)新下�����,在未來(lái)會(huì)通過(guò)“云蜜罐”為更多網(wǎng)絡(luò)快速搭建主動(dòng)防御系統(tǒng)���,完善網(wǎng)絡(luò)安全防護(hù)建設(shè)���,與各行各業(yè)共同努力,傾盡全力保障網(wǎng)絡(luò)安全�、實(shí)現(xiàn)社會(huì)穩(wěn)定與國(guó)家安全。
