重磅发布|主机安全联动蜜罐解决方案助力大型攻防演练?
经过一段时间的开发和准备,安全犬今天正式迎来了主机安全联动蜜罐解决方案的落地!
此前,安全狗根据实际的安全场景,结合近年来概念的演进和大量的安全实践,融合近年来攻防对抗中的实战经验,开发出涵盖主机安全、容器安全、微隔离、补丁管理等安全需求的产品矩阵,形成了安全狗工作负全解决方案。
云眼作为其中四套之一,采用先进的自适应安全结构和终点检测和响应(EDR)解决方案,提供云云安全管理平台,解决公共云、私有云和混合云环境中可能遇到的安全和管理问题。云眼主要包括理财、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁信息等多个功能模块,各模块联动,模块间数据联动,形成闭环系统,为企业提供强大的收集、检测、监控、防御、捕捉能力,为主机提供全方位的安全防护。
本次升级后的云眼与以前最大的区别在于微蜜罐的引进和与蜂蜜罐的诱捕系统联动,解决了现在以APT攻击为首的网络安全威胁高的黑客攻击技术和手段。不仅适用于日常安全防御系统的建设和完善,也适用于近年来受欢迎的大型攻防训练场景。
主机安全联动蜜罐解决方案扭转被动局面
目前主流的网络安全防御系统,一般由防火墙、入侵检测和防御、网络应用防火墙和杀毒软件构成,在一定程度上也实现了深度防御,但这些安全产品的运行方式主要依赖于已知的攻击特征库
被称为恶意商业间谍威胁行为的APT重量动摇了国家安全系统,轻量威胁了数百万到数亿的赎金。在APT对国家、社会和企业的危害越来越明显、越来越大的情况下,企业用户等防守者必须采用自主攻势扭转这种被动、不平衡的对抗情况。
新版云眼升级的功能之一是蜜罐,有效协助防守方化被动。新版云眼可以识别,特别是未知威胁等入侵行为,在入侵行为影响信息系统之前,通过及时准确的警报,有效避免、转移、降低信息系统面临的风险,扭转形势,使企业用户等防守方面占优势。
主机安全联动蜜罐解决方案以假作真 诱敌深入
特点1:新版云眼支持微蜜罐功能以假乱真
在原先的功能基础上,新版云眼可支持微蜜罐功能。通过对指定的主机设置不同的端口监听策略,当监听端口被攻击时,若部署了云幻蜜罐系统,则将攻击流量引导到该端口对应的蜜罐系统上;若未部署蜜罐系统则阻断攻击者攻击行为。云眼设置的蜜罐端口被攻击时实时生成告警事件,告警事件能够通过手机和邮箱进行推送。
(1)事前
1.支持指定主机设置不同的端口监视战略
2.支持全球设置IP白名单。
(2)事件
1.持续监视端口受到攻击时,如果配置蜜罐主机,将攻击流量引导到配置该端口对应服务的蜜罐主机,如果没有配置,则阻止攻击者的攻击行为
2.蜜罐口受到攻击时,支持实时生成警告事件,警告支持手机和邮箱的推送。
(3)事后
1.支持记录和再生攻击者在蜜罐本体的攻击行为
2.支持隔离蜜罐本体和真正的业务环境
3.支持识别攻击者的硬件指纹。
通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对诱饵实施攻击,并将攻击方困在仿真的业务环境中,给攻击方真实的反馈。在攻击者没有注意到的情况下捕获和分析攻击行为,了解攻击者使用的工具开发者_如何学C和方法,推测攻击的意图和动机。可以让防御者清楚地了解他们面临的安全威胁,通过技术和管理手段提高实际系统的安全防护能力。
特点2:新版云眼联动蜂蜜罐捕获系统的诱敌深入
(1)联动原理
攻击者进攻时,蜂蜜罐捕获节点可以迅速检测到攻击行为,将攻击流量引入蜂蜜罐系统,远离真实网络,延缓攻击过程,为用户争取紧急响应时间。与此同时,监视攻击者,详细记录攻击程序、攻击工具和攻击手段,作为科学调查的依据。
在云眼服务方面同步云幻蜜罐列表和各蜜罐支持的服务,配置监视端口,发行战略与相关服务器有关。攻击者直接攻击真实的服务器时,真正的服务器配置云客户端,通过端口继续监视,如果云客户端发现蜜罐端口被攻击,则实施反馈事件信息,将攻击流量引入蜜罐系统。
(2)联动的优势
通过新版云眼和蜜罐捕获系统的联动,可以构建全网模拟环境,摆脱被动挨打的局面,解决内网安全盲点,对抗高级未知威胁
特点3:为大型攻防演练增设的更多功能
除了以上提到的2个功能特点外,在结合多年来大型攻防演练的实战经验以及安全前沿技术,新版云眼还新增一系列功能助力用户更好地应对即将到来的实战演练:
(1)新增支持账号防护功能
支持禁止创建系统账号(Windows系统适用)
支持禁止账号提权(Linux系统适用),开启后用户组禁止转入账号,阻止账号提权
支持禁止账号创建(Linux系统适用),开启后将无法创建新账号
(2)客户端兼容国产化产品ARM架构的CPU
满足更多用户的兼容需求
资产采集web容器增加中创的采集
优化漏洞风险及入侵威胁概览模块
支持展示各个模块下风险及入侵事件的发现及处置分布图
新版云眼的发布,将更好地为更多企业用户及时、准确、到位、省时省力地守护最后一道防线安全。
主机安全联动蜜罐解决方案帮助大型攻防训练
从2016年《网络安全法》的发布开始,国家每年都开始大型攻防训练。经过5次的大规模攻防训练,也逐渐从小吵闹等通常的方法转变为意想不到的、意想不到的玩法。例如,满天飞的0day、攻击型脚本后门版本的升级、攻击流量隧道的加密、免杀、不落地等各种手段,利用供应链间接入侵等非常规的操作出现,整体的训练环境倾向于实战规模的场景。这确实让各行各业参加的企业组织等头痛,但也为真正的高级持续威胁等攻击事件做了准备。面对2021年大对2021年大规模攻防训练的接近,安全犬主机安全联动蜜罐解决方案的着陆,对于经常被动挨打的企业来说,无疑是暗室的灯。
对于信息收集踩点、取得突破口、从外向内渗透取得主机权限,最后接近目标,取得目标的红队攻击路径,主机安全联动蜜罐解决方案通过模拟服务,监视端口连接并记录数据包
自2015年安全犬第一版云眼诞生以来,随着数百次版本的反复、高额研发费用的投入,云眼的功能增加,安全能力也越来越完善,不仅为多个行业客户提供了持续稳定的安全能力,还得到了国内外多个专业咨询机构和行业内权威媒体的认可,在多年的大型攻防训练活动中得到了良好的应用。这次新版本的升级也引起了很多顾客的关注。
除了这次蜜罐水平的功能升级外,安全犬还提出了面向攻防训练的下一代整体安全服务方案。(详细方案,点一下这就可以进一步了解)通过专业团队、工具、专业运营流程提出的全新一代安全保障思路,涵盖风险管理能力、检测和响应能力、合规驱动管理能力、内外数据安全保障能力、快速自动化能力、攻防对抗演练能力、全新攻击面响应能力,体系化、持续解决网络安全建设核心问题。
为了帮助更多客户轻松应对即将到来的大型攻防演习活动,安全狗新版云眼专门预约试用机会,如果您是新客户,可以扫描下方二维码填写表格,申请试用资格,如果您已经是安全狗客户,可以联系对应的销售进行升级。
精彩评论