观安魅影威胁诱捕系统
首页
从攻击看威胁诱捕系统当攻击者或者蠕虫病毒突破边界网络进入内网之后,必然会为了横向移动而嗅探内网(使用黑客工具或者看到了沦陷主机上的诱饵),从而触碰到到诱捕节点,攻击者流量被转移到蜜网中,由于蜜网中是高交互蜜罐所以可以延阻攻击,同时产生告警,并通过上送,输出到其它安全系统形成联动。
欺骗防御系统连续三年被Gartner评为顶级安全技术
威胁诱捕使得攻守不平衡打破
产品能力产品理念
方便创建各种蜜罐,容易大规模的撒放诱捕节点,快速和高效的发现威胁(被动);
资产环境中撒放诱饵,刻录仿真应用,主动诱捕攻击者(主动)。
魅影系统架构诱捕节点作为伪装代理层,将访问重定向到蜜罐,同时支持分布式部署到不同网段中;蜜网主机中包括蜜罐仿真网络及仿真不同类型密罐类型,支持对事件行为进行监控采集;管理平台中心的事件汇总服务收集捕获的行为,实时产生告警事件,并支持联动第三方响应中心进行日志发送及通知预警。
产品能力1/蜜罐仿真能力蜜罐仿真能力
1、支持各种蜜罐的仿真:主机类、服务类、数据库类、web类、漏洞类、工控物联网类、溯源类、业务自定义类
2、支持对用户业务进行流量刻录仿真,实现业务系统快速仿真
3、蜜罐支持内容的自定义(用户名、密码、logo、title、数据库内容等)
4、基于流量协议解释及攻击检测,识别不同协议类型蜜罐的攻击访问
5、支持自定义蜜网,对蜜罐进行隔离。
诱捕节点 - 蜜网交互示意图
· 数据库类
· Web应用类
· 漏洞类蜜罐
· 工控类蜜罐
· 5G等其它蜜罐
蜜罐仿真能力/亮点
产品能力2/攻击诱导能力
产品能力3/攻击检测能力6、具备蜜网全流量下载,以备后续分析
产品能力4/威胁分析能力示各类威胁指标。
2、支持对同类事件聚合为告警展示。
灵活检索。
概览视图进行快捷检索。
5、支持对蜜攻击事件的字段聚合统计,
分析事件占比及数量。
6、支持自定义报表,并且报表支持订阅
定期发送至邮箱。
威胁分析能力/亮点
产品能力5/溯源反制能力5、指定漏洞反制:利用MySQL客户端配置自身load_file方法读取到客户端设备的敏感文件。
溯源反制能力/亮点
2、通过获取的微信、邮箱信息和反控获取的信息,进一步溯源到攻击者电话、从事行业等信息。
产品能力6/联动处置能力
蜜罐部署方式蜜罐有内外网两种部署方式
内网部署方案(某能源企业) 内网中部署管理平台,同时针对企业内部办公网DMZ、核心区域部署蜜罐主机及不同数量诱捕节点,诱捕节点开启不同仿真服务。及时感知内网威胁,捕获及诱骗攻击者。
2、部署后,发现内网主机病毒传播途径,通知运维安全人员技术修补漏洞;
3、发现内网TCP扫描和Redis未授权访问,及时定位沦陷主机。
外网部署方案外网部署系统,选择对外开启指定服务端口(某移动)
内网部署系统,针对指定服务端口进行映射(某电信、某移动)
部署诱捕节点,客户将诱捕节点直接指向观安云蜜罐环境;若节点为内网节点需将指定端口映射致互联网。(某金融)。
部署资源配置
魅影蜜罐经典成功案例运营商/某运营商蜜罐系统
项目背景
某运营商需分别在互联网及内网内各部署一套蜜罐系统,伪装成网内对应的操作系统、应用程序,发挥攻击溯源及内网横向移动攻击分析的作用。
1、需要更有效提高蜜罐的仿真能力以及对攻击者的诱捕能力;
3、攻防演练场景对攻击者溯源反制及攻击数据细化分析能力。
1、在不同业务网络区域部署诱捕节点,多途径诱导攻击者访问蜜罐探针;
项目成效
1、攻防演练期间通过反制类型蜜罐成功抓取到攻击者主机的相关溯源信息;
魅影蜜罐经典成功案例金融行业/某金融机构蜜罐系统
项目背景
根据相关安全建设工作要求,需要部署蜜罐类设备加强内网攻击数据的感知,并要求能够在网络重保等互联网场景中发挥溯源攻击者的作用。
1、在数据中心网域内采用纯硬件部署,覆盖内网多个业务网段;
2、重保期间将蜜罐探针开放到互联网(刻录若干个仿真蜜罐页面,并在互联网部署反制平台,溯源反制攻击者)。
1、根据自有业务类型,需制作仿真程度高的蜜罐;
2、攻防演练等网络重保期间需要使用溯源反制相关功能;
大型攻防演练期间,通过和用户暴露在外网高度近似的刻录仿真蜜罐,最大程度的引诱攻击者访问,从而成功通过web溯源能力捕获到到攻击者社交账号,从而溯源到攻击者,为用户提供价值。
魅影蜜罐经典成功案例医疗行业/某大型医疗机构蜜罐系统
项目背景
某医疗机构由总部及下属社区点组成,由于各社区点的安全防护能力比较薄弱缺乏安全专业人员,总部无法有效监管和了解下属社区点面临的安全风险。
1、魅影管理平台和密网部署于总部数据中心,下属社区点部署魅影系统的诱捕端,组成一套完整的威胁诱捕系统;
2、总部统一监测各社区点威胁感知情况,发现威胁,及时处置。
项目成效
1、成功捕获MS17-010、MS14-066、MS15-034等严重漏洞利用攻击;
产品推荐
