近年來，網絡安全建設從合規需求為主，轉變為更重視如何才能有效對抗真實攻擊。由于蜜罐技術不同于DPI流量檢測、EDR端點檢測技術，它帶來的是一種新安全能力：欺騙防御能力，能夠在攻防對抗中主動誘捕、溯源反制，扭轉攻防不對稱的現狀，所以蜜罐在近兩三年得以有更大的市場需求。

　　另外，隨著企業用戶的業務上云、遠程辦公等趨勢，企業的出口邊界越來越模糊，攻擊者入侵的途徑方式越來越多，只是在邊界上集中部署安全設備已不能完全應對威脅，客戶需要補充欺騙防御的安全能力，而蜜罐能夠“埋伏”在真實資產中，對抗處于暗處的攻擊者，誘捕到潛伏在內網中的威脅，滿足用戶的需求，故介于上述行業背景，發布本期牛品推薦——非凡安全幻影蜜罐。

　　牛品推薦

　　第三十一期

　　標簽

　　01

　　欺騙防御 高捕獲率 高仿真度 可溯源可反制

　　用戶痛點

　　02

　　1、網絡威脅加劇，蜜罐部署成本高

　　隨著用戶的網絡邊界變得越來越模糊，攻擊可能來自四面八方，用戶希望借助蜜罐主動誘捕到潛在的攻擊甚至是橫向攻擊，這便要求蜜罐能在不同的網絡場景中大量部署，但同時又不希望增加部署成本和管理成本。

　　2、普通蜜罐仿真性不足，定制化需求增加

　　欺騙防御技術可以讓攻擊者在蜜罐上停留，相當于消耗了攻擊者有限的時間和資源，間接的保護了真實資產。但為了讓攻擊者停留得更久，便要求蜜罐能仿得夠真，往往需要根據客戶的業務系統，進行蜜罐定制。

　　3、攻擊類別易界定，但攻擊身份信息難溯源

　　蜜罐可以檢測到攻擊者的入侵手段，但往往難以較全面留存攻擊者入侵蜜罐的相關證據，同時只能溯源到攻擊行為，難以溯源到攻擊者的真實身份。

　　4、傳統蜜罐產品缺少威脅處置能力

　　蜜罐若檢測來自內網的攻擊，相當于是捕獲到內網的失陷主機，客戶希望蜜罐系統本身擁有快速處置的手段，比如能夠將失陷主機隔離，避免影響范圍擴大。

　　總的來說，用戶希望擁有一款：“高捕獲率、高仿真度、溯源全面，同時具備反制處置能力”的蜜罐，這四個方面也是評價一款蜜罐的重要指標。

　　解決方案

　　03

　　攻擊誘捕與威脅檢測系統（簡稱：幻影系統）是非凡安全自主研發的蜜罐系統，不同于傳統的威脅對抗產品，幻影系統通過“攻擊吸引、仿真牽制、溯源捕獲、處置”，可在攻防對抗中捕獲更多攻擊威脅，消耗攻擊者更多資源和時間，并可對攻擊進行全面的溯源，以及采取多種反制處置措施。

　　吸引攻擊：通過SDN軟件定義網絡技術部署大量蜜罐，設置大量誘餌，以及采用獨特的威脅引流技術主動吸引攻擊，威脅捕獲率可達100%；

　　仿真牽制：根據客戶的網絡環境，可自適應調整高交互蜜罐的部署策略，同時支持擬動態克隆功能，用戶無需額外定制開發便可仿真有動態交互功能的真實業務系統：通過對真實業務系統進行流量學習，形成機器記憶，生成的克隆蜜罐可與真實業務系統一樣進行前后端的數據交互，迷惑攻擊者使之流連忘返；

　　溯源捕獲：對攻擊行為以及攻擊者身份進行全面溯源，產生內生威脅情報，扭轉攻防過程信息不對稱的局面；

　　處置：可對內網威脅采取一鍵微隔離，對外網威脅采取多種攻擊反制手段。

　　技術亮點

　　04

　　1、攻擊吸引-基于SDN技術全網蜜罐部署

　　高捕獲率部署模式：幻影系統基于SDN的仿真欺騙節點批量化部署技術，可將誘捕能力發布到全網各個網段，無須在客戶服務器中安裝agent，極大提高黑客攻擊蜜罐的概率。如下圖例子所示，在運維區旁路trunk接入幻影系統，便可在各個網絡區域、網段快速生成多個高交互的蜜罐。

　　2、仿真牽制-擬動態仿真與完全仿真

　　幻影系統除了內置大量的高交互蜜罐，還支持仿真客戶的動態網站，仿真后的蜜罐與真實業務系統一樣可進行前后端的數據交互，比如支持：“搜索查詢、登陸驗證、賬號注冊”等動態交互，只有仿得像，才可以迷惑攻擊者，讓客戶在蜜罐上停留得更久。

　　同時還支持完全仿真其它TCP協議的應用，比如完全仿真客戶自建的漏洞靶場、工控應用、IOT設備等。

　　3、溯源捕獲-高分辯率黑客畫像

　　洛卡爾物質交換定律：凡物體與物體之間發生接觸后會存在物質的轉移，目標物體會從源物體上帶走一些物質，同時也會將自身的一些物質遺留在原物體上。洛卡爾物質交換定律告訴我們，犯罪行為人只要實施犯罪行為，必然會在犯罪現場直接或間接地作用于被侵害客體及其周圍環境，會自覺或不自覺地遺留下痕跡。

　　黑客入侵蜜罐同樣會留下痕跡，會被幻影系統記錄并分析出黑客畫像。幻影系統黑客畫像支持5個維度，包括：設備指紋、位置信息、社交指紋、反向探測-漏洞信息、攻擊者標簽，5個維度具體的溯源信息如下圖所示。

　　4、溯源捕獲-攻擊鏈取證技術

　　幻影系統基于MITRE ATT&CK理念，從“網絡層、應用層、主機層”對攻擊行為全量溯源，提取攻擊入侵證據：“攻擊特征取證、行為取證、日志取證、病毒取證”，全面還原攻擊者入侵過程：探測掃描、滲透攻擊、攻陷蜜罐、后門遠控、跳板攻擊。

　　用戶可在幻影系統的web集中管理界面上，一鍵提取指定攻擊源的攻擊鏈條日志，還原入侵蜜罐的過程，輸出入侵證據。

　　5、處置與聯動

　　外網威脅處置：非凡幻影系統具備了多種不同烈度的攻擊反制；

　　內網威脅處置：無需聯動第三方設備或者在主機預裝Agent，幻影系統可一鍵微隔離下線失陷主機；

　　聯動能力：擁有豐富的API以及標準syslog輸出接口，可與第三方設備進行快速聯動。

　　用戶反饋

　　05

　　通過幻影系統內置的擬動態仿真功能，高效地仿真了8個電網業務系統，在攻防演練對抗中，有效吸引了大量攻擊火力，同時促進了攻擊者真實身份的溯源。

　　——某省級電網客戶

　　非凡幻影系統實現了5個IDC機房節點的蜜網覆蓋，部署了大量的內網蜜罐以及互聯網蜜罐，成功地將欺騙防御能力補充到我省運營商的安全防護體系中，提升了IDC的安全保障水平。

　　——某省級運營商

　　通過部署100+套蜜罐，實現市、區、縣多級組網的全威脅監測覆蓋，讓攻擊者在大量的蜜罐與誘餌中迷失，精準的捕獲到潛在的攻擊行為。

　　——某地市公安局

　　其實我們部署了不少流量安全檢測設備，但是發現幻影系統在內網威脅監測，尤其是橫向攻擊威脅監測這方面，捕獲得更多且更準，發現不少潛在的病毒主機。

　　——某地市稅務局

　　幻影系統擁有靈活的部署能力，只需一套幻影系統，就能通過探針將蜜罐能力發布到數據中心、辦公網、甚至公有云上，滿足了我司的蜜罐覆蓋需求，同時降低管理成本。

　　——某大型制造業公司

　　我們POC測試了多家廠商，非凡幻影系統在蜜罐部署、仿真、溯源方面都有不錯表現，其優秀的技術支撐也是我們選擇跟非凡合作的原因之一。

　　——深圳某證券公司

　　安全牛評

　　隨著互聯網的迅猛發展和廣泛應用，用戶網絡安全防護意識已普遍增強，企業均部署了多種網絡安全防護設備對自身業務進行防護。在這樣的發展形勢之下，一種新型的攻擊方式孕育而生，那就是 APT （Advanced Persistent Threat）攻擊。對于此類攻擊，傳統的防御手段收效甚微。而蜜罐作為一項欺騙防御技術，是通過蜜罐內設置的漏洞、敏感信息等引誘入侵者攻擊的系統，從而降低用戶計算機受攻擊的風險，并且為尋找攻擊解決方案提供了機會與時間。非凡安全研發的幻影蜜罐系統正是基于用戶在攻防對抗中主動誘捕、溯源反制需求而研制，提高了用戶對于攻擊行為誘捕的能力。