默安科技欺骗防御体系

up:: [[ Blue Team能力建设 ]]-欺骗防御 Cyber Deception

  • 如何保证欺骗防御的效果和有效性?

    • 欺骗防御的效果和有效性可以从“覆盖面”和“融合度”两个方面入手。欺骗防御节点覆盖面越大、与真实网络的融合度越高,效果越好。
    • 扩大覆盖面
      • 扩大欺骗防御节点的覆盖面需要投入大量成本,默安科技通过多种方案实现低成本、快速、大面积的覆盖。
      • 与刃甲联动:服务诱捕
        • 刃甲是默安科技自研的网络攻击干扰压制系统,它部署在互联网出口,通过旁路镜像方式部署,可将“空闲公网IP”的所有访问流量,都转发到蜜罐,实现互联网全部的非业务IP与蜜罐关联。此方案由刃甲与幻阵联动实现,可将幻阵部署至数据中心本地或公有云,攻击者以为攻击了真实IP,却不知“应用”实际在云上,实现调虎离山。
      • 中继节点
        • 通过Trunk方式实现蜜网的跨VLAN覆盖,单台中继节点即可覆盖对应汇聚交换机下的所有VLAN。利用网络中空闲IP将攻击流量诱导至蜜罐内,在节省部署成本的同时,实现蜜网节点的全面覆盖,避免蜜网因成本问题出现防守真空区域。
      • 伪装代理/多IP模式
        • 在一台空白虚拟机上部署伪装代理(Agent),同时在此虚拟机上绑定多个IP,当攻击者访问到这些IP时,流量将全部被转发到蜜罐。
      • 威胁情报与集中管理
        • 通过威胁情报中心与集中管理中心,将攻击者信息、踪迹、攻击轨迹、蜜罐设备等进行集中管理与集中展示。
    • 提高融合度
      • 覆盖面可以增加成功诱捕攻击者的概率。但假如攻击者触达真实的业务系统,能否诱捕成功,就需要看蜜网与真实网络的融合度,是否做到了“你中我有、我中有你”。
      • 与刃甲联动:网站诱
        • 通过旁路部署刃甲,并接入交换机端口镜像,可为真实业务旁路插入攻击者感兴趣的URL,精准捕获其对真实业务的攻击行为。
      • 伪装代理/融合模式
        • 将伪装代理部署在真实业务服务器上,并启用虚假服务端口,当攻击者攻击到此端口时,流量将被转发到蜜罐。
      • 沙箱定制
        • 默安科技提供的定制服务,可根据用户业务特点,定制专属的仿真蜜罐,让攻击者分不清真假。
      • 运营服务
        • 欺骗防御是在攻击者的必经之路上部署陷阱,对攻击者进行诱捕。那么,攻击者的必经之路是什么?默安科技提供欺骗防御的安全运营服务,通过攻击者视角对目标企业进行“摸底”,量身定制部署方案,结合运营服务,对攻击者进行精准诱捕。
  • 如何将欺骗防御运用在常态化的安全运营中,而非“攻防演练专用”

    • 由于欺骗防御在近几年大型攻防演练中的出色表现,业界出现了一些“欺骗防御是攻防演练专用”的声音。其实不然,欺骗防御在常态化的安全运营中有着不可小觑的价值。
    • 补充现有检测能力的不足,发现未知威胁
      • 现有安全检测产品大多基于黑名单或签名来检测已知威胁,针对未知威胁的有效解决方案极少。默安科技刃甲产品首先通过微蜜罐功能精准锁定攻击者,再抓取与其相关的全部流量,协助安全人员分析,捕获0day攻击。
    • 欺骗防御体系是企业安全的一道重要防线
      • 攻击者突破到内网的方式很多,但对0day、社工等攻击方式防不胜防。这时对防守方来说,想要及时“止损”,最好的办法就是能尽早发现攻击者,找出被控主机。欺骗防御体系能够在内网部署大量欺骗节点,并使蜜网与真实业务网络融合。攻击者采用任意攻击方式、从任意网段侵入,为了扩大战果,都会做横向移动,此时就会掉入已部署的陷阱之中。
    • 建立私有威胁情报平台,联防联控
      • 攻击者在攻击时,往往会先攻击分支相对脆弱的点,再通过分支作为跳板,对总部进行攻击。并且可能会在整个攻击过程中更换多个IP,使防守者无法还原整体攻击路径,只能被动防守。
      • 欺骗技术最大的特点就是精准检测。默安科技能够为用户建设欺骗防御体系,在总部搭建威胁情报平台,通过设备指纹锁定攻击者,将其使用过的全部IP进行归并。在其攻击一个分支节点时,总部及其他的分支节点可进行预警,做到事前处置,形成整体的联防联控机制。
  • 来源

    • https://mp.weixin.qq.com/s/gcFwMr6z9P_RoSmb0S0rIg

Notes mentioning this note