谛听(D-Sensor)伪装欺骗系统首创5G蜜罐,高度仿真UPF网元,结合工控网络攻击诱捕蜜罐,打造5G边缘计算高度耦合安全方案,在满足5G网络高带宽、低时延、海量接入的前提下,有效防护企业在边缘云场景下的安全。
近日,长亭科技与广西移动联合申报“5G+基于云化蜜罐网络安全感知技术应用”项目,在由工业和信息化部主办的,第四届“绽放杯” 5G应用征集大赛应用安全专题赛中,作为唯一进入决赛的蜜罐类项目,从300余个项目中脱颖而出荣获二等奖。
边缘云技术(Mobile Edge Computing,以下简称MEC)是 ICT 融合的产物,是支撑运营商进行 5G 网络转型的关键技术。运营商依托丰富的通信云资源优势,在网络边缘侧面向终端用户建设边缘云资源池,保证低时延、高带宽业务要求,能够迎合未来高清视频、VR/AR、工业互联网、车联网等业务发展。
边缘计算主要包括:云、边缘和现场三层。
基于 5G 技术,企业在接入边缘计算构建开放、低时延、高吞吐量互联平台的同时,也引入了更多的安全风险。
边缘计算节点拥有海量的多样化异构终端,多数以连接为主,存在着大量通信协议漏洞;
MEC基于虚拟化基础设施部署, 对外提供应用发现和通知接口,敏感数据易被窃取;
MEC为边缘计算提供了应用承载的平台,开放的API成为了主要攻击面之一。
长亭谛听(D-Sensor)伪装欺骗系统,通过分析5G环境常见攻击流程,在关键攻击路径上部署蜜罐系统,利用各类蜜罐服务组建5G伪装蜜网,诱导攻击者进入“陷阱”,在保障网络传输高效的同时,获取攻击痕迹、分析攻击者行为特征,溯源攻击者信息等,提前感知攻击行为,提高5G边缘场景的主动防御能力。
谛听(D-Sensor)5G蜜罐系统基于Docker架构,轻量化部署且不占资源,并支持虚拟化部署、拓展上云,通过在攻击者各个攻击阶段、在5G环境的各区域部署蜜罐服务,构建一套完善的欺骗防御体系。
现场层面
根据边缘云的应用场景,现场设备层安全问题主要集中在两个方面:传统接入单位自身,和工业边缘计算、企业和IoT边缘计算场景。在这两个场景下,谛听(D-Sensor)提供丰富的蜜罐种类组制定对性安全策略。
对于传统接入单位自身网络的安全性:
选取VPN蜜罐、OA蜜罐、邮箱蜜罐、HTTP业务学习蜜罐等,通过构建虚假的内部系统或将流量转发至真正的内部系统,监测办公网内异常的业务访问行为;
选取终端服务蜜罐,目前办公终端以windows操作系统为主,因此要多部署windows探针和服务蜜罐,对攻击者信息收集造成混淆影响;
蜜罐中设置虚假数据,诱饵数据,增强伪装性和诱导性,避免使用默认配置;
可选取漏洞缺陷蜜罐,诱导攻击者。
对于工业边缘计算、企业和 IoT 边缘计算场景下的接入安全问题:
使用高度仿真的UPF蜜罐,支持N3接口,主要用于监听攻击者突破不同安全域间隔离的行为;通过移动端发起的DDos攻击行为等,进一步获取攻击者的地理位置、真实IP、代理IP、身份信息等内容。此外UPF蜜罐可连接云层面的伪装5GC核心网蜜罐,形成蜜罐安全监控闭环;
可选取伪装Modbus/TCP、IEC104、IEC61850、S7、OPCUA等工控协议的蜜罐,蜜罐受到攻击后,可记录攻击事件并告警;
可选取伪装基于 WPA2 的无线通信协议及其他不安全通信协议(如:ZigBee、蓝牙等)的蜜罐,蜜罐受到攻击后,可记录攻击事件并告警。
云层面
云边缘形态的边缘计算,是云服务在边缘侧的延伸,逻辑上仍是云服务,谛听(D-Sensor)在云层面部署的蜜罐支持伪装AMF、SMF、AUSF、NRF等5G核心网元,组成一张与真的5GC网络隔离的完整的5GC蜜网,该蜜网与UPF蜜罐连接,监控通过UPF蜜罐上传的异常的扫描、探测、攻击流量并告警。
目前该方案已经在部分运营商、中型企业等公司落地,并在重大网络安全保障活动中取得不错成果。
运营商最佳实践
某运营商在5G专网部署谛听(D-Sensor),布设高伪装、高交互的UPF蜜罐,混合各类服务型蜜罐,组建5G蜜网。
某运营商5G蜜罐布防示意图
场景1:攻击者针对网元管理web端进行攻击。
在信息收集阶段,攻击者发现网元管理端开放8000 Web服务,随即通过指令或浏览器尝试访问,此时攻击流量被探针转发至相应的5G蜜网仿真页面蜜罐中,谛听(D-Sensor)收到告警,并对攻击者身份进行溯源分析。
场景2:边界被突破,攻击者利用边缘数据库服务进行攻击。
当边界防护被突破,攻击者能够访问到边缘数据服务,企业开放相关服务,在攻击者尝试爆破时,攻击流程被探针转发至关联蜜罐中。谛听(D-Sensor)收到扫描和入侵告警,对攻击者使用的跳板机信息进行收集,推动后续处置。
场景3:边界被突破,攻击者在内部漫游。
攻击者突破边界防护,探测并发现某个终端开启RDP服务,继而利用工具获取RDP访问权限,流量被探针转发至蜜网中的终端蜜罐。谛听(D-Sensor)收到扫描和入侵告警,对攻击者使用的跳板机信息进行收集,推动后续处置。
从部署上线到运营阶段,谛听(D-Sensor)累计发现发现各类攻击行为3000余次,自动处置攻击事件2000余个。其中针对Web 蜜罐的探测、爆破和注入等攻击达到2000余次,针对边缘数据库蜜罐的爆破和漏洞利用攻击达到近1000次,针对5G核心网元蜜罐的探测和数据篡改达到20余次。
云巴巴一直秉持最严谨的态度,选取品质最高的科技产品。我们与国内外知名科技厂商深度合作,包括腾讯、阿里、华为、眼神科技等等,并获得部分厂商金牌代理权限。面向各行各业B端客户,提供全面的科技服务,助力企业数字化轻松转型。
如果您感兴趣
关注公众号、扫码加入我们的产品交流群
产品交流、问题咨询、特价优惠
都在这里!
更多产品了解
欢迎扫码加入云巴巴企业数字化交流服务群
产品交流、问题咨询、专业测评
都在这里!
2020-05-19 17:01:05
2022-07-11 14:45:55
2022-11-23 10:56:17
2021-12-30 18:01:01
2020-05-20 16:54:22
2020-05-20 16:57:11
甄选10000+数字化产品 为您免费使用
申请试用
评论列表