首发即获奖！长亭谛听首创5G蜜罐，守护边缘云安全

 

谛听（D-Sensor）伪装欺骗系统首创5G蜜罐，高度仿真UPF网元，结合工控网络攻击诱捕蜜罐，打造5G边缘计算高度耦合安全方案，在满足5G网络高带宽、低时延、海量接入的前提下，有效防护企业在边缘云场景下的安全。

  近日，长亭科技与广西移动联合申报“5G+基于云化蜜罐网络安全感知技术应用”项目，在由工业和信息化部主办的，第四届“绽放杯” 5G应用征集大赛应用安全专题赛中，作为唯一进入决赛的蜜罐类项目，从300余个项目中脱颖而出荣获二等奖。

  边缘云技术（Mobile Edge Computing，以下简称MEC）是 ICT 融合的产物，是支撑运营商进行 5G 网络转型的关键技术。运营商依托丰富的通信云资源优势，在网络边缘侧面向终端用户建设边缘云资源池，保证低时延、高带宽业务要求，能够迎合未来高清视频、VR/AR、工业互联网、车联网等业务发展。

  边缘计算主要包括：云、边缘和现场三层。

  基于 5G 技术，企业在接入边缘计算构建开放、低时延、高吞吐量互联平台的同时，也引入了更多的安全风险。

• 边缘计算节点拥有海量的多样化异构终端，多数以连接为主，存在着大量通信协议漏洞；

• MEC基于虚拟化基础设施部署， 对外提供应用发现和通知接口，敏感数据易被窃取；

• MEC为边缘计算提供了应用承载的平台，开放的API成为了主要攻击面之一。

  长亭谛听（D-Sensor）伪装欺骗系统，通过分析5G环境常见攻击流程，在关键攻击路径上部署蜜罐系统，利用各类蜜罐服务组建5G伪装蜜网，诱导攻击者进入“陷阱”，在保障网络传输高效的同时，获取攻击痕迹、分析攻击者行为特征，溯源攻击者信息等，提前感知攻击行为，提高5G边缘场景的主动防御能力。

  谛听（D-Sensor）5G蜜罐系统基于Docker架构，轻量化部署且不占资源，并支持虚拟化部署、拓展上云，通过在攻击者各个攻击阶段、在5G环境的各区域部署蜜罐服务，构建一套完善的欺骗防御体系。

现场层面

  根据边缘云的应用场景，现场设备层安全问题主要集中在两个方面：传统接入单位自身，和工业边缘计算、企业和IoT边缘计算场景。在这两个场景下，谛听（D-Sensor）提供丰富的蜜罐种类组制定对性安全策略。

  对于传统接入单位自身网络的安全性：

• 选取VPN蜜罐、OA蜜罐、邮箱蜜罐、HTTP业务学习蜜罐等，通过构建虚假的内部系统或将流量转发至真正的内部系统，监测办公网内异常的业务访问行为；

• 选取终端服务蜜罐，目前办公终端以windows操作系统为主，因此要多部署windows探针和服务蜜罐，对攻击者信息收集造成混淆影响；

• 蜜罐中设置虚假数据，诱饵数据，增强伪装性和诱导性，避免使用默认配置；

• 可选取漏洞缺陷蜜罐，诱导攻击者。

  对于工业边缘计算、企业和 IoT 边缘计算场景下的接入安全问题：

• 使用高度仿真的UPF蜜罐，支持N3接口，主要用于监听攻击者突破不同安全域间隔离的行为；通过移动端发起的DDos攻击行为等，进一步获取攻击者的地理位置、真实IP、代理IP、身份信息等内容。此外UPF蜜罐可连接云层面的伪装5GC核心网蜜罐，形成蜜罐安全监控闭环；

• 可选取伪装Modbus/TCP、IEC104、IEC61850、S7、OPCUA等工控协议的蜜罐，蜜罐受到攻击后，可记录攻击事件并告警；

• 可选取伪装基于 WPA2 的无线通信协议及其他不安全通信协议（如：ZigBee、蓝牙等）的蜜罐，蜜罐受到攻击后，可记录攻击事件并告警。

云层面

  云边缘形态的边缘计算，是云服务在边缘侧的延伸，逻辑上仍是云服务，谛听（D-Sensor）在云层面部署的蜜罐支持伪装AMF、SMF、AUSF、NRF等5G核心网元，组成一张与真的5GC网络隔离的完整的5GC蜜网，该蜜网与UPF蜜罐连接，监控通过UPF蜜罐上传的异常的扫描、探测、攻击流量并告警。

  目前该方案已经在部分运营商、中型企业等公司落地，并在重大网络安全保障活动中取得不错成果。

运营商最佳实践

  某运营商在5G专网部署谛听（D-Sensor），布设高伪装、高交互的UPF蜜罐，混合各类服务型蜜罐，组建5G蜜网。

某运营商5G蜜罐布防示意图

场景1：攻击者针对网元管理web端进行攻击。

  在信息收集阶段，攻击者发现网元管理端开放8000 Web服务，随即通过指令或浏览器尝试访问，此时攻击流量被探针转发至相应的5G蜜网仿真页面蜜罐中，谛听（D-Sensor）收到告警，并对攻击者身份进行溯源分析。

场景2：边界被突破，攻击者利用边缘数据库服务进行攻击。

  当边界防护被突破，攻击者能够访问到边缘数据服务，企业开放相关服务，在攻击者尝试爆破时，攻击流程被探针转发至关联蜜罐中。谛听（D-Sensor）收到扫描和入侵告警，对攻击者使用的跳板机信息进行收集，推动后续处置。

场景3：边界被突破，攻击者在内部漫游。

  攻击者突破边界防护，探测并发现某个终端开启RDP服务，继而利用工具获取RDP访问权限，流量被探针转发至蜜网中的终端蜜罐。谛听（D-Sensor）收到扫描和入侵告警，对攻击者使用的跳板机信息进行收集，推动后续处置。

  从部署上线到运营阶段，谛听（D-Sensor）累计发现发现各类攻击行为3000余次，自动处置攻击事件2000余个。其中针对Web 蜜罐的探测、爆破和注入等攻击达到2000余次，针对边缘数据库蜜罐的爆破和漏洞利用攻击达到近1000次，针对5G核心网元蜜罐的探测和数据篡改达到20余次。

  云巴巴一直秉持最严谨的态度，选取品质最高的科技产品。我们与国内外知名科技厂商深度合作，包括腾讯、阿里、华为、眼神科技等等，并获得部分厂商金牌代理权限。面向各行各业B端客户，提供全面的科技服务，助力企业数字化轻松转型。

如果您感兴趣

关注公众号、扫码加入我们的产品交流群

产品交流、问题咨询、特价优惠

都在这里！

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！