在大型攻防演练或是日常网络安全运维中,溯源是应急处置的关键环节,通过有效溯源能够帮助政企检测了解攻击行为,进行攻击链还原,在攻防演练中亦可帮助防守方获得加分。蜜罐作为主动防御代表技术,在诱捕、溯源、反制方面发挥着实效价值,是安全体系部署的重要产品,但溯源的精准度、及时性、有效性、完整度也对蜜罐能力提出更具象、更体系化的要求。
基于平行仿真技术的成熟应用、十余年攻防技术的研究成果、春秋云阵新一代蜜罐系统在多行业的实践经验,永信至诚认为精准溯源的关键在于具备全量威胁行为分析、攻击路径还原、精准画像溯源以及虚拟身份获取四大能力。本文将基于蜜罐技术,解析如何通过四大能力实现有效溯源,助力安全防御能力升级。
一、全量威胁行为分析,准确识别攻击行为
威胁行为分析能力作为衡量蜜罐溯源能力的重要标准之一,能够帮助用户识别权限提升、横向移动等内外部风险行为,提高防御弹性与敏捷性。春秋云阵新一代蜜罐系统基于永信至诚多年攻防经验形成的全量威胁行为库,支持识别注册表操作、代码执行、暴力破解、账号操作、建立连接、漏洞利用、进程操作、登录操作、中间人攻击、本地提权等14大类共140余种威胁行为,准确、快速识别攻击行为,并根据网络安全初始访问、执行、持久化、提权、防御绕过、凭据访问、探索发现、横向移动、收集信息、命令与控制、数据渗漏、影响12个阶段形成MITRE ATT&CK™ 矩阵,完整复现攻击过程。
二、攻击路径还原,提供完整证据链
当发现有攻击者踩入蜜罐后,首要任务便是通过蜜罐捕获数据,进行关联设备日志、数据源分析,清晰了解攻击者在什么时候攻击了什么蜜罐、采用了什么手段、执行了哪些命令等,从海量数据中找到蛛丝马迹,为后续溯源工作顺利开展提供前提条件。永信至诚春秋云阵新一代蜜罐系统具有独有的诱捕全流量重定向技术、混合入侵检测技术,可以识别访问类型,提取行为数据特征,实现对攻击流量全量抓取,精确还原、清晰呈现攻击者从入侵到攻击执行的完整攻击路径。
三、精准画像溯源,针对性采取防御措施
为了有效管控威胁事件,对攻击者进行画像溯源必不可少。通过清晰、完整的画像溯源,能够针对性采取防御措施,同时提高风险事件的研判分析能力。春秋云阵新一代蜜罐系统基于全流量抓捕技术,能够充分捕获攻击者主板、声卡、浏览器、硬盘等设备指纹,结合清晰详尽攻击路径分析,形成详细的攻击者画像,为追溯攻击者提供完整的证据链。
四、虚拟身份获取,实现多样化证据溯源
在大型攻防演练或是遭受恶意入侵需要完成溯源反制时,获取攻击者虚拟身份完成取证至关重要。春秋云阵新一代蜜罐系统内置了基于独有的蜜罐隐蔽技术开发的溯源反制插件,可以通过身份标签聚合对蜜罐内威胁数据进一步过滤分析,支持对溯源的各项要素进行编排整合,包括虚拟账号、剪贴板、监听端口、 端口连接、屏幕截屏、人物拍照、样本留存等信息,为准确溯源攻击者信息提供了更多样化的证据。
永信至诚春秋云阵新一代蜜罐系统凭借全量威胁行为分析、攻击路径还原、精准溯源画像、虚拟身份获取四大能力打出的精准溯源组合拳,已在攻防演练与常态化威胁检测中发挥实效价值。
案例一:
助力电力行业攻防演练,实现全面取证与溯源
在一年一度的大型攻防演习中,某电力企业在互联网区域部署春秋云阵新一代蜜罐系统。期间,依托于春秋云阵新一代蜜罐系统的“溯源分析”能力,在实时针对工控网络的攻击和威胁进行诱捕和监测中,成功获取到攻击者的IP、攻击手段、攻击路径与微博ID。经过春秋云阵团队的层层溯源分析,最终通过其社交账号溯源到攻击者痕迹,并成功匹配出攻击者,得到攻击者的信息,实现全面取证、精准溯源。
案例二:
支撑大型央企常态化安全建设,成功溯源高危行为
在对某大型央企集团互联网区部署的春秋云阵新一代蜜罐系统进行日常巡检的过程中,永信至诚春秋云阵团队发现了非正常访问记录,随即进行迅速响应,基于蜜罐全程监控和记录的攻击行为和攻击路径分析,发现高风险攻击行为,成功帮助用户避免了一场重大安全风险。同时,永信至诚基于春秋云阵新一代蜜罐系统对攻击链路进行分析,完成了黑客画像和攻击路径分析,助力客户有效阻断了一次高危攻击,保障用户核心资产安全,并针对此次威胁事件进行分析研判,帮助用户进一步完成安全防线加固,收敛风险暴露面。
以上仅为在攻防演练和日常威胁检测中的两个典型案例,作为场景化新一代蜜罐,永信至诚春秋云阵新一代蜜罐系统基于平行仿真技术和春秋云专有云平台构建,形成高甜度诱捕、零误报发现、高处置防御的全新优势维度,受到各行业高度认可。凭借自身在主动防御和日常安全检测中的实效价值,春秋云阵新一代蜜罐系统在及时延缓和阻断攻击、协助溯源和取证、全面保护企业信息资产安全等方面具有独特优势,助力企业打造“检测、预警、处置、修复、溯源、反制”安全管理闭环,提升安全防御能力!