默安科技幻阵高级威胁狩猎与溯源系统_欺骗防御

默安科技幻阵高级威胁狩猎与溯源系统

幻阵是默安科技自主研发的一款基于欺骗防御的高级威胁狩猎与溯源系统。该系统从攻击视角出发，在攻击者必经之路上构造陷阱，从而混淆其攻击目标，精确感知并溯源攻击者行为；并且通过云蜜网将攻击隔离，保护企业内部真实资产，成为企业至关重要的一道安全屏障。

立即咨询

首页 > 产品中心 > 应用安全 > 默安科技幻阵高级威胁狩猎与溯源系统

弱点太多，攻防完全不对称 icon

网站与服务

通过网站漏洞，可以攻破企业服务器，获取权限，渗透企业内网。

客服人员

通过对客户人员进行钓鱼或社会工程学攻击，可以植入木马，获取内网权限。

上下游企业

企业把业务外包或授权给上下游企业，造成业务上的互通，管理上的断层，造成通过上下游企业进入内网，造成损失。

办公场地

通过绕过门禁或利用办公WIFI突破防御，进入企业内部或内网进行攻击。

数据泄露

员工使用各种SAAS服务，微博，论坛，有意无意把自己的帐号密码，公司代码泄露到互联网上。

物联网终端

通过分支机构的安全缺陷，POS 机终端，物联网终端，家庭智能终端侵入企业内网。

化被动为主动：欺骗防御技术 icon

Gartner从2015年起连续四年将攻击欺骗列为最具有潜力的安全技术：“通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的认知过程，从而破坏攻击者的自动化工具，拖延攻击者的活动或者检测出攻击。该技术旨在欺骗攻击者，消耗其资源并作为高仿真事件检测工具。此类技术有助于解决攻击者对企业拥有不对称优势的问题，而现有架构使攻击者能太过轻易地找到网络、系统和数据。欺骗技术适用于想要寻求防御、或以更深入的方式加强其事件威胁检测机制的企业组织。

产品介绍

产品优势

基于行为的高级威胁狩猎

基于自研的行为决策引擎，精确分析攻击源、攻击路径及手法类型，帮助企业感知和防御0day风险。

精准威胁溯源与攻击反制

自主研发的机器学习设备指纹专利技术和攻击反制技术，结合云端黑客指纹威胁情报库，提前识别并溯源攻击者，在攻击者的入侵路径上设置多种反制手段，能够反控攻击者设备，凭借内核级的攻击行为取证技术如实记录攻击者入侵手法和行为。

与企业安全防护产品联动

通过API接口/Syslog，输出黑客行为、黑客画像、攻击轨迹，无缝对接企业防火墙、IPS、IDS、WAF等其他安全产品。

构建动态网络全方位欺骗攻击者

根据攻击者行为和资产状态，实时构建动态沙箱，在不同网络环境中自动化部署沙箱、伪装代理、漏洞、诱饵等形成动态蜜网，实现对攻击者的全链路欺骗，使攻击者无法探测真实网络环境。

全链路攻击欺骗防御方案 icon

27种高交互沙箱覆盖各种场景 icon

沙箱特点： 1、高交互性：相对于低交互沙箱，高交互沙箱可以适应每一个事件，模拟真实业务，让攻击者无法察觉处于仿真系统。2、高隐蔽性：通过虚拟机模拟出的仿真业务，并做了进程通信伪装，与真实业务无差别。针对沙箱的指纹和进程作了隐藏处理，即使反欺骗意识很强的攻击者也无法发现处在仿真系统中。

根据实际防护的业务自由发布沙箱漏洞 icon

沙箱特点： 1、漏洞发布：可以针对不同的沙箱，自主设置发布漏洞，吸引攻击者试探攻击。2、支持PHP、ASP、JSP语言的各种类型漏洞，如：后台登陆、数据库后台登陆、服务器后台登陆、文件上传等。

多种诱饵，层层诱导，防不胜防 icon

互联网诱饵

信息收集阶段，在黑客常用的信息收集平台上散布企业虚假信息，混淆攻击者。常见平台:GitHub、百度文库、道客巴巴。诱饵的信息直接指向沙箱，诱导黑客攻击沙箱。

办公网诱饵

伪造登录域凭据 & RDP连接记录。伪造用户文件夹 & 桌面文件。伪造浏览器历史浏览记录 & 浏览器网站登录密码。

邮件诱饵

针对被保护人群发送特殊邮件，感知邮箱入侵。攻击者打开邮件触发告警。攻击者根据邮件中的信息进行登录，发送严重告警，邮箱泄露。

文件诱饵

文件诱饵可以加密上传的office文档，经过处理后的文件被打开时，可以被系统捕获到。文件诱饵会关联所有当前感知节点。

伪装代理：端口伪装+流量转发 icon

伪装代理（探针）：

• 在服务器上通过代理程序伪装出带有明显漏洞的服务端口

• 伪装代理与沙箱进行关联绑定，攻击者所有的攻击流量会被隔离转发到沙箱

• 代理程序完全开源，确保安全

• 自毁机制，资源超载，自动暂停

针对真实业务的防护：

• 与真实业务交融，几乎无法分辨真假

• 将针对业务的攻击意图和攻击行为吸引和隔离到沙箱，试图排雷就是在踩雷

部署伪装代理，使蜜网和业务网络无缝融合 icon

构建蜜网

• 伪装代理按照一定的覆盖度部署到不同的网段，形成整体的欺骗防御蜜网。

无缝融合

• 蜜网纯旁路部署，和真实网络无缝融合，但不影响正常的业务访问。

入侵捕获：行为记录，识别真人 icon

详细记录攻击者的行为动作、攻击手法、攻击源，攻击目标沙箱，并自动判断是真人还是扫描工具。

监控取证，完整记录攻击过程 icon

记录攻击者入侵轨迹的同时，通过SSH视频和RDP视频的方式记录黑客针对各个蜜罐的入侵操作行为，支持记录CMD和PowerShell命令执行记录。

入侵捕获：大屏可视化 icon

大屏动态展示攻击者动作、攻击详情，可视化展示助力运维人员轻松处置入侵事件。

隔离攻击，杜绝逃逸

架构安全

幻阵的沙箱基于KVM构建，创建的是硬件全仿真实例，构建出一整套虚拟硬件平台，相比其他虚拟化架构或容器类的虚拟化架构安全性更高。注：KVM，基于内核的虚拟机（英语：Kernel-based Virtual Machine，缩写为 KVM），是一种用于Linux内核中的虚拟化基础设施。

网络安全

幻阵从宿主机上对沙箱进行了网络IO限制，幻阵对沙箱采用了隔离性原则，即沙箱与企业内网环境之间保持隔离原则，沙箱只能被外部程序访问，而不能对外部发起请求，从而保证了企业内网的安全性。监控沙箱的网络和进程行为，防止因0day等极端情况发生的逃逸行为，一旦发现及时报警提醒。

进程安全

幻阵的沙箱采用的kvm虚拟化技术，能够从CPU、内存、存储、IO等多个层面实现蜜罐程序与宿主机之间进行控制隔离。在进程运行上，沙箱内部的脆弱程序运行在kvm虚拟机内，和幻阵自身的控制进程进行隔离。当幻阵沙箱被攻破时，黑客运行的恶意进程与幻阵自身进程处于不同的资源空间中，无法对幻阵构成影响。

溯源追踪：风控级设备指纹溯源技术 icon

支持反向探测攻击者网络层面如端口信息，可溯源攻击者IP等设备相关信息，并支持百度、新浪、163、爱奇艺、51cto、CNblogs等社交帐号信息。同时可识别单台设备切换代理攻击行为，并进行攻击者归并。

ZombieCookie

在黑客设备上种植僵尸Cookie，可重生且不易删除，永久存储不可被篡改。

设备指纹技术

融合系统指纹、浏览器指纹、设备行为指纹、HTML5 WebGL、 HTML5 Canvas指纹等多达25种，设备信息的指纹技术，形成独一无二的指纹信息。

WebRTC技术

获取到攻击者的详细IP信息，包括攻击者网络出口IP，攻击者内网IP，攻击者IPV6地址。

攻击反制

登陆控件等方式反向植入木马，获取攻击者真实信息。获取攻击者设备信息，实现交互式反制操作，支持交互shell、文件上传下载、电脑截屏、摄像头拍照等。二进制免杀，易于植入。

第三方集成联动

通过API接口与IPS、防火墙等安全阻断设备联动，实现安全联动，快速阻断，缩短黑客攻击时间，建立起有效保护业务系统安全性的纵深防御体系。

伪装代理-内部服务器区域部署 icon

部署描述

①在业务服务器，或空白服务器，部署伪装代理；

②伪装代理开启常用端口，例如80、8080、3306等，并与对应沙箱关联；

③创建沙箱，并与相应位置代理关联

流量描述

攻击者访问伪装代理开启的虚假服务时，被转发到沙箱，由沙箱进行响应。

部署效果

①扩大内网感知面积；

②攻击混淆及攻击转移，将攻击者注意力吸引到沙箱，间接保护服务器。

多VLAN部署-快速便捷覆盖各网段 icon

部署描述

①提供不同VLAN的空闲IP，绑定到幻阵的中继节点

②中继节点通过Trunk将幻阵蜜网区的沙箱覆盖到不同的VLAN区域流量描述

攻击者访问不同VLAN设置好的沙箱IP，流量直达沙箱，由沙箱进行响应。

部署效果

①一个中继节点，即可覆盖一个汇聚交换机上的所有VLAN，极大扩展感知面积；

②攻击混淆及攻击转移，将攻击者注意力吸引到沙箱，间接保护服务器。

诱饵-互联网平台

部署描述

①通过幻阵发布GitHub敏感信息，泄露其他沙箱的信息，如办公系统沙箱、中间件沙箱、服务器沙箱等。

②在百度文库/百度网盘发布企业相关方案等文档，方案中插入沙箱信息。

流量描述

攻击者通过搜索GitHub敏感关键字或百度搜索，并进行源码或文档分析。通过预置的互联网诱饵，访问到沙箱。

部署效果

①扩大互联网"暴露面”，诱骗攻击者访问沙箱。引出潜在的攻击者。

重定向-负载均衡/WAF联动 icon

部署描述

①将WAF对攻击事件的处理动作改为重定向，并将重定向URL指向沙箱。

②建议采用自定义沙箱，并使用"警告"或“报错"页面。

流量描述

①攻击者对目标服务器发起攻击

②WAF检测到攻击后，向攻击者返回重定向URL;

③攻击者被重定向到幻阵的自定义页面；

部署效果

将WAF阻断的链接加以利用，不仅阻断了攻击还可进行溯源。

分布式部署-总部统一管理 icon

部署描述

①总部部署服务管理端，自带蜜网区，覆盖总部网络。

②分子机构部署Client，通过Client建立属于自己的蜜网。

③管理端与Client之间，通过专线连接，统一在总部管理欺骗防御策略。

部署效果

①通过统一管理，确保欺骗防御安全策略的一致性。

②总部可以实时查看分子机构的安全事件，掌握整体态势。

③某一机构发生安全事件时，可以全盘调整布防策略。。

金融行业客户案例

国有大型银行

中国银行、中国农业银行交通银行、邮政储蓄银行

全国城商行

江苏银行、杭州银行、长沙银行、宁波银行、稠州银行泰隆银行、台州银行苏州银行、温州银行

股份制银行

光大银行、民生银行、华夏银行、浙商银行

其他金融类

中国银联、浙江农信、福建农信、微众银行、中国平安、太平金科中国人寿、新华人寿保险、华泰证券、财通证券、江苏国际信托

金融行业客户的认可

创始人-国内顶尖云安全创世团队 icon

技术团队

从业经历

团队由原供职于阿里巴巴、蚂蚁金服、腾讯、百度、华为、趋势科技、绿盟等知名企业的多名安全专家组成。在互联网金融、电商、运营商、政府、金融、物流等领域都有非常成熟的安全经验。

技术实力

拥有多项技术专利和软件著作权，涉及网站防篡改、设备识别、业务逻辑漏洞等多个前沿领域。

实战经验

为G20峰会保驾护航，圆满完成“两会”信息安全保障工作。为第十九次全国代表大会、世界互联网大会乌镇峰会、进博会、改革开放40周年暨港珠澳大桥开通等重要活动提供网络安全保障服务。

三大实验室

影武者实验室：为Apple、Microsoft、Google、IBM等国际知名公司发现漏洞并获得致谢。数据实验室：研究并发布业内首个AI安全大脑。加特林实验室：多次红蓝对抗中成绩优异。云计算安全实验室：研发出检测响应一体化的云平台安全解决方案业内率先推出混合云安全管理平台。

资质证书

✓ 国家互联网应急中心浙江分中心合作支撑单位

✓ 浙江省互联网协会网络安全技术服务支撑单位

✓ 信息安全服务资质证书（安全开发类一级）

✓ 信息安全服务资质认证证书（信息安全风险评估三级服务资质） ✓ 信息安全服务资质认证证书（信息系统安全运维三级服务资质） ✓ 中国通信企业协会通信网络安全服务能力评定证书（一级风险评估能力）

✓ ISO9001质量管理体系认证

✓ 杭州市高新技术企业

资质证书

✓ 2017年最具投资价值企业

✓ 2018中国网络安全产业发展及投资价值60强

✓ 2018CCF-GAIR“AI+安全”最佳商用成长奖

✓ 2018CSS Future Power 50 安全新锐力量

✓ 2018《互联网周刊》“数字中国推动者TOP100”

✓ 2018ISC“安全创客汇” 年度十强 ✓ IDC中国威胁情报安全服务市场创新者

✓ 2018安全牛“网络安全行业全景图”酷厂商

✓ 2018年度双11企业服务企服英雄榜第18位

✓ 政务云安全方案获2018年广东省电子政务优秀案例

✓ 万科应用系统开发安全项目获i黑马2018企业服务企服案例TOP50

✓ 2018年赛迪网络安全潜力企业榜80强

✓ 2019年杭州准独角兽企业

产品推荐查看更多>>

通付盾安全合规产品（三）

主要介绍了：渗透测试：对企业网站或在线平台进行全方位入侵测试，挖掘平台潜在漏洞；风险评估：评估网络、设备、主机等资产面临的威胁，对信息系统进行全面体检

安全可靠

高效稳定

立即咨询查看详情

百度安全史宾格APP安全及隐私合规平台

基于AI能力的安全/隐私问题检测及动态分析平台。帮助您的企业高效、低成本地开展 App 合规问题自查，满足监管要求助力您隐私合规。基于 AI 检测技术，提供隐私风险项检测、隐私专项检测、场景检测、权限过度收集与使用情况检测等产品服务，深度挖掘 App 隐私合规风险产生的源头。

对齐国家监管标准

自动化高效检测

提供精准评估报告

多重纬度安全服务

立即咨询查看详情

默安科技雳鉴IAST-交互式应用安全检测

默安科技雳鉴IAST-交互式应用安全检测，专注解决软件安全开发流程（SDL）中测试阶段的应用安全问题。雳鉴IAST使用基于请求和基于代码数据流两种技术的融合架构，采用被 Gartner 评为十大信息安全技术之一的IAST技术，结合SAST和DAST的优点，做到检出率极高且误报率极低，同时可定位到API接口和代码片段，在测试阶段无缝集成，可高准确性的检测应用自身安全风险，帮助梳理软件成分及其漏洞，为客户系统上线前做强有力的安全保障。

零成本对接

全面的交互式

漏洞生命周期管理

与第三方平台集成

立即咨询查看详情

数字化社区查看更多>>