演练在即，如何打赢“网安赤壁之战”？

赤壁长江河畔，曹魏大军来犯东吴，曹操所带北方之兵不习水战，幸得久居江东，谙习水战的荆州降将蔡瑁、张允+数万荆州水军。

 

 

网络空间映射

 

 

 

 

攻击者在正式攻击边界前，通过供应链等手段，获取内部业务情况与员工泄露账号。

 

 

周瑜作为东吴统帅，欲除去蔡张二将，此时恰逢蒋干（曹军谋士）前来劝降，周瑜设计“群英宴”招待，设局使其盗得蔡张二人的“密信”（实则是周瑜伪造），蒋干复命后，曹操错杀“蔡张”。

 

 

网络空间映射

 

 

 

 

攻击者信息收集阶段，在某开放平台拿到防守方业务信息（伪造的蜜饵），并依此制定作战计划。

 

 

折损并没有阻挡曹军的东进，周瑜得到庞统献出的火烧连营之计。恰逢此时蒋干再次来访，周瑜遂借其之手，将庞统引荐给曹操，并献计“铁索连船”，导致了后面“火烧赤壁”名场面的出现，葬送曹军数十万人马，曹操“败走华容”。

 

 

网络空间映射

 

 

 

 

攻击者绕过边界进入内网，利用得到的诱饵信息尝试获取业务系统权限（实为蜜罐），系统提示下载VPN插件（实为反制脚本），攻击者下载后运行，导致自身一举一动受到监控。

 

 

 

赤壁之战中

 

周瑜利用曹操的猜疑，曹魏人马的疲惫与不善水战，荆州降军的阳奉阴违等等因素，联合诸葛亮，步步设计，出奇制胜，打出火烧赤壁的这记妙手。

 

网络空间实战中

 

防守方当前可选的战术，堆叠部署蜜罐提升自身主动防御体系，只能算是一记本手。这主要是近年来随着蜜罐技术的推广，用户逐渐发现部署蜜罐后的效果与预期有着较大的偏差：

 

1.虽然部署了一定数量的外网蜜罐，但很少有攻击者踩中触发

// 使用的蜜罐都是自带模板不具备高仿性，攻击者易看穿或者不感兴趣

 

2.巧幸有攻击者踩中触发，但却捕获不到有效的溯源信息

// 蜜罐脱离实际场景，且缺乏诱导性和交互性，攻击者驻留时间短

 

3.虽然部署了反制木马且有下载记录，但攻击者迟迟不上线

// 反制场景太刻意，或者木马免杀失效，达不到预期效果

 

4.由于未能发挥效用，最终蜜罐变成边缘产物

// 蜜罐缺少持续的管理维护机制，没有融入现有安全体系中，发挥价值

 

如果说简单部署蜜罐只是一记本手，那如何在攻防实战活动，如同赤壁之战中的周郎那样摒弃俗手与本手，打出一记妙手？在解答这个问题之前，我们不如先看个真实的案例：

 

 

案例复现

 

21年，Y单位参与的攻防演练在如火如荼进行中，突然监控群弹出一个消息：“攻击者上线了.....”。随着这个告警的发出，一场反制谍战大片开始上演，而这场“大戏”中攻击方的一举一动都在我方眼皮底下进行，我方根据获悉的情报，持续调整应对策略一次次化解危机扭转战局。

 

1.发现攻击者上线

//我方利用预设后门拿下攻击方PC控制权并做了权限维持

 

2.从攻击方的CS木马平台上获知我方失陷主机信息

//我方分析失陷主机恶意样本并清除，封禁C&C地址域名，及时止损

 

3.从攻击方主机中发现撞库文件，确认为员工已泄露账号密码

//我方立即封禁已泄露账号，及时止损

 

4.发现攻击方锲而不舍对客服进行社工钓鱼

//我方分析邮件钓鱼的恶意样本并同步召开专项安全意识培训，及时止损

 

5.发现对方在写攻击总结报告

//我方迅速利用工具获取报告，了解攻击方完整入侵路线，进行查漏补缺并调整防守策略

 

6.蜜罐捕获攻击方IP、社交ID等线索

//我方结合情报还原攻击者画像，锁定个人身份，搜集攻击证据提交监管处置

 

 

而实现如此奇效，

离不开蜜罐运营服务的落地交付！！！

 

蜜罐服务运营方案

 

攻击，唯一不变的是变化。作为防守方，一成不变的部署与策略难以应对持续性的攻击者，因此，在攻防对抗中蜜罐布防策略也要灵活调整。蜜罐有别于其它网关型防御设备，它需要精巧设计，安全工程师充分参与到方案设计-高交互设计-诱饵/蜜罐布防-实践使用等环节，以运营的思路才能发挥到最大价值。

 

长亭科技基于自身长期的蜜罐部署经验和丰富的攻防实战经验，提出蜜罐运营理念，开展落地实践，并沉淀形成可落地、效果显著的蜜罐运营服务解决方案。

 

蜜罐运营服务方案实施流程示意图

 

该方案将谛听（D-Sensor）伪装欺骗系统与常态化安全运营服务相结合，由剧本设计、定制蜜罐、平台部署、运营服务四个部分构成，通过帮助用户进行谛听（D-Sensor）蜜罐的常态化运营，实现蜜罐系统伪装欺骗效果的最大化。

 

正如Y单位与长亭在蜜罐实战使用中达成的共识一样：

 

“首先厂商要把蜜罐当成一种服务来交付，而不只是一种产品，需要先结合建设单位风险暴露面，分析可能的攻击路径，精心设计诱捕策略，然后再定制高仿真高交互蜜罐，最后选择合适的部署位置”。

 

“其次厂商要协助蜜罐运营机制的建立，建设方安排人更新布防策略，把威胁告警日志推送到SOC平台，使蜜罐融入现有安全体系中，让蜜罐服务常态化”。

 

凡战者，以正合，以奇胜，故善出奇者，无穷如天地，不竭如江海，终而复始，日月是也。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！