长亭科技先战而后师,凭借硬核实战能力,在动态对抗中研究攻击者最新、最高频攻击方式与路径,针对实战输出欺骗伪装专题私货,助力防守者4项战力升级,让攻击者不仅无法知彼,更无法知己,迷糊到底。
战力一
策略布防,溯源反制显威力
成功溯源并反制攻击者,是防守方最为过瘾的时刻之一。“授之以鱼,不如授之以渔“,防守方了解最新、最高频溯源和反制方式的实战策略布防原理,并将其结合实际业务环境落地,溯源反制威力将不可限量。
溯源
策略布防原理解析
浏览器账号溯源
原理:攻击者使用浏览器访问蜜罐页面时,利用漏洞获取其社交网站账号信息。
Webshell 溯源
原理:在蜜罐某目录中随机内置 Webshell,让攻击者误以为网站被人留下过后门,吸引攻击者使用 Webshell 管理工具连接,内部监控行为并获取攻击者的操作指令。
渗透测试工具漏洞溯源
原理:Burp Suite 是用于攻击 Web 应用程序的集成平台,包含了许多渗透工具。攻击者开启 Burp Suite工具并访问 Web 蜜罐时,蜜罐可识别 Burp Suite 特征,并利用Burp Suite 漏洞获取攻击者真实 IP。
Webrtc 漏洞溯源真实 IP
原理:Webrtc 是一个支持网页浏览器进行实时语音对话或视频对话的 API,在攻击者使用浏览器访问蜜罐页面时,利用 Webrtc 的已知漏洞可强制浏览器泄漏真实 IP。
反制
策略布防原理解析
客户端反制
原理:攻击者喜欢利用 VPN、登录控件等客户端漏洞突破防线,可以提前在客户端中植入反制程序,在攻击者安装客户端过程中,将反制程序植入攻击者 PC,完成对攻击者 PC 的反控。
MySQL 客户端反制
原理:MySQL 是网站常用的数据库类型之一,利用 MySQL 蜜罐吸引攻击者使用数据库管理工具连接,在连接成功后,可利用管理工具漏洞自动获取攻击者 PC 内的文件。
Git 反制
原理:在 Git 项目中植入反制程序,并放置到蜜罐中,攻击者扫描网站是否存在代码泄露时,可能发现 Git 项目并复制到本地查看,在查看过程中,自动将反制程序植入攻击者 PC,并获取攻击者 PC 内的关键信息。
某扫描器反制
原理:可利用攻击者常用某款扫描器客户端的漏洞,反制获取攻击者敏感信息。
浏览器爬虫反制
原理:大多数网站扫描器里内置用于爬虫的浏览器内核,攻击者使用存在缺陷的扫描器工具扫描蜜罐时,蜜罐即可获取攻击者的敏感信息。
溯源反制效果放送
攻击者画像报告
利用以上原理,企业根据业务实际情况策略驱动部署蜜罐,可获取 MySQL 反制、Git 反制、Burp 溯源等特殊溯源反制方式获取的攻击者信息,和通用方式获得信息一并,通过伪装欺骗管理平台完整绘制出攻击者画像,供安全运维人员高效控制风险。
战力二
联动扩大诱捕范围,诱捕效果更佳
联动WAF
攻击者晕头转向
欺骗伪装系统与 WAF 的联动,攻击流量将通过3种方式重定向至蜜罐中,更大范围内实现诱捕。
图:谛听(D-Sensor)与雷池(SafeLine)联动
1.当攻击者访问非预期路径资源时,可以使用 WAF【如:雷池(SafeLine)下一代Web应用防火墙,效果最优】配置重定向规则,将这部分流量通过浏览器重定向到谛听(D-Sensor)蜜罐中,由谛听(D-Sensor)完成与攻击者的交互和身份溯源,并将捕获的信息在谛听(D-Sensor)上展示。
2.当攻击者对某个站点发起攻击时,WAF 识别并对其进行拦截,返回403页面,在此页面上也可加载谛听(D-Sensor)的溯源脚本,完成身份溯源后,将捕获的信息在谛听(D-Sensor)上展示。
3.使用 WAF 暴露其防护站点的虚假路径,当攻击者访问此路径时,直接转发到谛听(D-Sensor)蜜罐中,蜜罐完成与攻击者的交互和身份溯源,并将捕获的信息在谛听(D-Sensor)上展示。
联动主机安全产品
高交互蜜罐内网安全神器
图:谛听(D-Sensor)与牧云(CloudWalker)联动
高交互蜜罐与主机安全产品联动,为内网核心资产增强防护力。主机安全产品【如:牧云(CloudWalker)主机安全管理平台,效果更佳】可以为探针下发策略,比如攻击80端口由牧云检测,攻击8080端口可以转发到微蜜罐,攻击8081端口可以转发给谛听(D-Sensor)蜜罐,由谛听(D-Sensor)蜜罐完成与攻击者的交互和身份溯源,并将捕获的信息在谛听(D-Sensor)上展示。
联动态感平台
动态一览无余
谛听(D-Sensor)蜜罐提供了高可信的告警,有利于和安全日志关联,提升告警准确率,形成“蜜-网-端”主动态势感知。态势感知【如:万象(Cosmos)安全分析与管理平台,效果更佳】进一步完善攻击者画像并通过 SOAR 敏捷响应处置,实现威胁的统一分析和可视化展示,完成更高效闭环处理。
图:谛听(D-Sensor)与万象(COSMOS)联动
战力三
方案创新 ,大规模资产欺骗伪装无忧
如何保证更广的覆盖度,是大规模企业的客户对伪装欺骗能力主要关注点。
以最少的资源解决欺骗节点覆盖度问题,长亭谛听(D-Sensor)“大探针”内置多个网口,可同时接入多个网络区域。其单个网口可配置多个 VLAN 和多个 IP,通过 Trunk 模式将其接入到交换机上,可以在一个网络区域内实现多个 IP 和多个蜜罐绑定,在节约资源、成本的同时部署更多的伪装欺骗节点,迅速扩大欺骗范围,实现快速威胁感知和诱捕。
更多产品了解
欢迎扫码加入云巴巴企业数字化交流服务群
产品交流、问题咨询、专业测评
都在这里!
2022-11-21 14:43:33
2022-11-24 09:54:26
2020-04-03 13:33:46
2022-11-22 15:52:43
2023-06-25 17:34:08
甄选10000+数字化产品 为您免费使用
申请试用
评论列表