網(wǎng)絡(luò)攻擊誘捕平臺(tái)

產(chǎn)品介紹
網(wǎng)絡(luò)攻擊誘捕平臺(tái) - 隱鋒是基于SDN的仿真欺騙節(jié)點(diǎn)批量化部署技術(shù)，可將誘捕能力發(fā)布到全網(wǎng)各個(gè)網(wǎng)段，無須在客戶服務(wù)器中安裝Agent，極大提高黑客攻擊蜜罐的概率?；谄垓_防御技術(shù)，通過誘騙攻擊者入侵蜜罐陷阱，不僅可以零誤報(bào)定位攻擊威脅，而且可在真實(shí)攻擊對抗中消耗攻擊資源，溯源、反制攻擊者，化攻防被動(dòng)為主動(dòng)。

產(chǎn)品介紹

1. 吸引-基于 SDN 技術(shù)全網(wǎng)蜜罐部署

高捕獲率部署模式：物壹隱鋒平臺(tái)基于 SDN 的仿真欺騙節(jié)點(diǎn)批量化部署技術(shù)，可將誘 捕能力發(fā)布到全網(wǎng)各個(gè)網(wǎng)段，無須在客戶服務(wù)器中安裝 agent，極大提高黑客攻擊蜜罐的概 率。如下圖例子所示，在運(yùn)維區(qū)旁路 trunk 接入物壹隱鋒平臺(tái)，便可在各個(gè)網(wǎng)絡(luò)區(qū)域、網(wǎng)段 快速生成多個(gè)高交互的虛擬蜜罐。

2. 吸引-引流防御

傳統(tǒng)的威脅處置是采取封堵 IP 的操作，但攻擊者大概率會(huì)換 IP 再次發(fā)起攻擊，防守方 只能疲于應(yīng)對。
物壹隱鋒平臺(tái)支持引流防御，可將訪問真實(shí)業(yè)務(wù)的攻擊流量引流到仿真蜜罐，對于攻擊 者來說，攻擊的目標(biāo)是真實(shí)業(yè)務(wù)，實(shí)際在內(nèi)部已被替換成仿真業(yè)務(wù)蜜罐，攻擊者無法命中真 實(shí)目標(biāo)。相對真實(shí)封堵 IP，引流防御不僅直接保護(hù)了真實(shí)資產(chǎn)，而且有效消耗攻擊資源。
通過引流防御，可主動(dòng)捕獲攻擊流量，黑客命中蜜罐的概率達(dá)到 100%，解決了蜜罐被 動(dòng)誘捕的弊端，并可主動(dòng)對攻擊者溯源、攻擊反制，化被動(dòng)為主動(dòng)

3. 吸引-設(shè)置誘餌主動(dòng)欺騙

物壹隱鋒平臺(tái)支持在真實(shí)服務(wù)器上設(shè)置蜜罐誘餌，蜜罐誘餌：是設(shè)置在真實(shí)服務(wù)器中的 虛假文件，在黑客攻陷服務(wù)器后，通過預(yù)設(shè)的蜜罐誘餌（虛假文件）對其造成誤導(dǎo)，使其攻 擊目標(biāo)轉(zhuǎn)向蜜罐，間接保護(hù)其他資產(chǎn)。

物壹隱鋒平臺(tái)支持的誘餌功能有 5 種，分別是：歷史命令欺騙誘餌、主機(jī)名欺騙誘餌、SSH 公鑰欺騙誘餌、office 誘餌、互聯(lián)網(wǎng)誘餌。

4. 仿真牽制-業(yè)務(wù)仿真蜜罐

物壹隱鋒平臺(tái)可快速生成完全模擬客戶真實(shí)業(yè)務(wù)系統(tǒng)的蜜罐，仿真業(yè)務(wù)蜜罐可與真實(shí)業(yè) 務(wù)系統(tǒng)完全一致。通過部署完全仿真業(yè)務(wù)蜜罐，可吸引真實(shí)攻擊者（人）來攻擊，捕獲黑客 攻擊行為、溯源攻擊者身份信息、社交賬號等信息。

物壹隱鋒平臺(tái)內(nèi)置了多個(gè)仿真業(yè)務(wù)系統(tǒng)，用戶可直接使用。同時(shí)，也可以自定義新的仿 真業(yè)務(wù)蜜罐，可將多個(gè)真實(shí)業(yè)務(wù)系統(tǒng)接入物壹隱鋒平臺(tái)中，生成完全仿真業(yè)務(wù)蜜罐?；蛘咦?建偽裝服務(wù)集群，比如 OA 系統(tǒng)、ERP 系統(tǒng)、VPN 系統(tǒng)、郵箱系統(tǒng)，將這些系統(tǒng)接入物壹 隱鋒平臺(tái)，生成仿真業(yè)務(wù)蜜罐。

5. 仿真牽制-自適應(yīng)高交互蜜罐

• 內(nèi)置“各類數(shù)據(jù)庫、中間件、web 應(yīng)用、遠(yuǎn)程協(xié)議應(yīng)用、大數(shù)據(jù)應(yīng)用、物聯(lián)網(wǎng)應(yīng) 用”，共 30+不同類型的高交互蜜罐，基于 docker 技術(shù)，擴(kuò)展性強(qiáng)。
• 內(nèi)置適配多種場景下的蜜罐模板，用戶也可隨意組合不同高交互蜜罐服務(wù)成新蜜罐模 板。
• 支持對多臺(tái)蜜罐主機(jī)一鍵切換蜜罐模板，在攻防對抗中根據(jù)實(shí)際情況隨意調(diào)整誘捕策 略。

物壹隱鋒平臺(tái)可同時(shí)運(yùn)行 30+蜜罐沙箱，可組合不同蜜罐沙箱形成自定義蜜罐模板。并 可結(jié)合物壹隱鋒平臺(tái)資產(chǎn)掃描功能，識別每個(gè)網(wǎng)絡(luò)區(qū)域具體開放了哪些類型的應(yīng)用或服務(wù)， 在相應(yīng)區(qū)域一鍵切換適配的蜜罐模板，以假亂真，讓黑客無法分辨是蜜罐還是真實(shí)主機(jī)。

6. 溯源-高分辯率黑客畫像

洛卡爾物質(zhì)交換定律：凡物體與物體之間發(fā)生接觸后會(huì)存在物質(zhì)的轉(zhuǎn)移，目標(biāo)物體會(huì)從 源物體上帶走一些物質(zhì)，同時(shí)也會(huì)將自身的一些物質(zhì)遺留在原物體上。洛卡爾物質(zhì)交換定律 告訴我們，犯罪行為人只要實(shí)施犯罪行為，必然會(huì)在犯罪現(xiàn)場直接或間接地作用于被侵害客 體及其周圍環(huán)境，會(huì)自覺或不自覺地遺留下痕跡。 黑客入侵蜜罐同樣會(huì)留下痕跡，會(huì)被物壹隱鋒平臺(tái)記錄并分析出黑客畫像。物壹隱鋒平
臺(tái)黑客畫像支持 5 個(gè)維度，包括：設(shè)備指紋、位置信息、社交指紋、反向探測-漏洞信息、攻 擊者標(biāo)簽，5 個(gè)維度具體的溯源信息如下圖所示。
由于物壹隱鋒平臺(tái)支持漏洞掃描主動(dòng)探測的功能，如果攻擊主機(jī)是內(nèi)網(wǎng)主機(jī)，用戶可通 過漏洞探測，分析內(nèi)網(wǎng)攻擊主機(jī)的失陷原因，查看是否由于存在相關(guān)可入侵漏洞導(dǎo)致，有助 于失陷主機(jī)處置

7. 溯源-攻擊鏈取證技術(shù)

基于 MITRE ATT&CK 理念，從“網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層”對攻擊行為全量溯源，提 取攻擊入侵證據(jù)：“攻擊特征取證、行為取證、日志取證、病毒取證”。全面還原攻擊者入 侵過程：探測掃描、滲透攻擊、攻限蜜罐、后門遠(yuǎn)控、跳板攻擊。
用戶可以一鍵提取攻擊鏈條日志，形成取證證據(jù)。

8. 處置-不同烈度的攻擊反制

攻擊者訪問仿真業(yè)務(wù)蜜罐時(shí)，支持主動(dòng)對指定攻擊者發(fā)起不同烈度的攻擊反制行為，包 括：威懾反制、拒絕服務(wù)反制、木馬誘騙反制、漏洞攻擊反制，具體如下：
1）   威懾反制： 可不斷彈框警告攻擊者，比如灌輸國家網(wǎng)絡(luò)安全法、告知已獲得相關(guān) 溯源信息，發(fā)揮蜜罐威懾作用，使攻擊者放棄后續(xù)的攻擊行為；可靈活指定對某個(gè)攻擊 源 IP 地址發(fā)起威懾反制。
2）   拒絕服務(wù)反制：可使攻擊者瀏覽器拒絕服務(wù)，可靈活指定對某個(gè)攻擊源 IP 地址發(fā) 起拒絕服務(wù)反制。
3） 木馬誘騙反制：可使攻擊者下載某個(gè)文件時(shí)，替換成木馬文件，誘騙攻擊者下載 安裝；可靈活指定對某個(gè)攻擊源 IP 地址發(fā)起木馬誘騙反制。
4）   漏洞攻擊反制：支持一鍵掃描攻擊源 IP 地址，探測攻擊者主機(jī)的開放端口信息、 弱口令、漏洞等。

處置-情報(bào)聯(lián)動(dòng)

攻傳統(tǒng)安全檢測設(shè)備只能產(chǎn)生攻擊 IP、惡意文件等較低價(jià)值的威脅情報(bào)，且誤報(bào)率高。物 壹隱鋒平臺(tái)基于“五維度的黑客畫像技術(shù)”、“攻擊鏈檢測技術(shù)”，可幫助客戶收集更多更 高價(jià)值的威脅情報(bào)，包括：

• 攻擊者社交賬號信息：可獲取到攻擊者百度、QQ 等社交賬號信息，可以定位到真實(shí)身 份；
• 攻擊者唯一 ID、設(shè)備指紋：可生成唯一標(biāo)識攻擊者的 ID，攻擊者若換了 IP 來訪問，也 能通過該 ID 進(jìn)行關(guān)聯(lián)；
• 攻擊者真實(shí) IP：攻擊者撥 VPN、掛代理之前的真實(shí) IP；
• 攻擊 IP 以及惡意文件：高準(zhǔn)確率的惡意 IP、惡意文件情報(bào)；

同時(shí)支持通過豐富的 api 接口、標(biāo)準(zhǔn)的 syslog 日志輸出告警日志輸出情報(bào)到相關(guān)安全管
控平臺(tái)，聯(lián)動(dòng)安全防護(hù)設(shè)備進(jìn)行阻斷。比如輸出日志到安全態(tài)勢感知平臺(tái)，通過安全態(tài)勢感 知平臺(tái)聯(lián)動(dòng)安全設(shè)備的能力進(jìn)行自動(dòng)阻斷處置