2020年对于国家和企业来说都是艰难的一年,但越是困难,越是要不忘初心,坚持成长。近年来,随着攻防手段的不断演进,无论是对抗日趋激烈的网络安全日常防护,还是常态化的网络攻防演练,高对抗已经成为网络安全攻防的本质。在明确对抗重要性的前提下,市场越来越关注能够摆脱“原地待命被打”现象的主动防御,以及能够实现诱捕和攻击的蜜罐技术。网络威胁溯源逐渐引起人们的广泛关注。基于创宇十余年的国内外网络安全大数据积累,“创宇蜜罐”经过三年的威胁诱捕溯源技术创新、产品打磨和落地过程,终于在2020年收获了高速成长。创宇蜜罐客户案例网络安全没有捷径,必须靠技术的积累。准备充分的创宇蜜罐今年将充分发挥创新技术和产品优势,在竞争激烈的市场中脱颖而出。01突破创新,深钻诱捕溯源技术(一)关于诱捕技术创宇蜜罐通用版和定制版积累了50余种诱捕蜜罐,涵盖操作系统、数据库、中间件、通用软件、Web各类网站.客户可以自定义网站名称和LOGO,并通过智创宇安全研究团队提供的“养”jar解决方案更新数据库内容和网站信息,让蜜罐更加真实和迷惑。将部署在客户环境中的多个蜜罐搭建成一个蜜域(LAN),让黑客穿梭于蜜域之间,徘徊不前,以为闯入了客户真实的内网,殊不知自己的攻击全部被阻止安全管理人员。实时监控。创宇蜜罐部署架构(二)溯源技术简介创宇蜜罐在传统IP溯源方法的基础上,借助强大的溯源插件,可以获取黑客在网络活动中的多个虚拟身份。通过黑客使用的客户端指纹生成唯一的指纹ID,该指纹ID与创宇云防御系统识别出的攻击者指纹ID一致,可获知攻击者在全网的攻击历史根据ID识别,实现全球全网流量溯源和数据联动。在此基础上,结合腾讯威胁情报和智创宇安全大脑,精准匹配攻击源和攻击者身份,协助客户寻找攻击源,并将攻击源标记在黑名单中,实现可追溯性和对策。创宇蜜罐溯源流程(三)关于部署形式创宇蜜罐提供私有化和云SaaS部署两种形式。是目前市场上唯一可以提供SaaS部署方式的蜜罐产品。CloudSaaS可实现1分钟快速构建和部署。同时提供SaaS智能域名一键接入功能,形成高度敏感的子域名,在攻击者利用子域名爆破攻击的必经之路上设置陷阱,增加攻击捕获的可能性。创宇蜜罐SaaS版本模式面向对安全合规要求严格的中大型企业和客户。私有化部署在各防御网络区域设置陷阱入口,感知并引诱攻击进入蜜罐隔离,快速构建欺骗防御环境。创宇蜜罐私有版模式(四)关于自身安全创宇蜜罐采用旁路部署方式,无外部访问权限,与客户真实网络资产无任何直接接触,可实现蜜罐与客户真实网络环境隔离。创宇蜜罐操作系统由创宇自主研发,具有严格的安全策略,可实现与外部环境的隔离。因此,即使黑客攻破创宇蜜罐,也无法以此为跳板,横向攻击客户的其他网络资产。02厚积薄发,取得独特的产品优势(1)全网溯源与攻击再现创鱼蜜罐基于智创鱼庞大的网络安全数据库。可在网外对全网攻击溯源,可对黑客进行精准画像,包括所用IP、设备物理地址、个人社交账号、实时地理位置等。了解案情创宇安全大数据库。创宇蜜罐及时检测勒索病毒,保护用户真实资产。XX单位在网络安全防护计划中配备了创宇蜜罐和创宇盾。创宇蜜罐发现黑客在蜜罐内进行字典密码爆破攻击。爆破成功后,攻击者更改账户密码,然后上传勒索病毒。创宇蜜罐实时报警通知客户单位管理人员,管理人员立即将攻击源IP加入创宇盾黑名单,防止黑客攻击真实网络资产。蜜罐部署与攻击拦截:蜜罐部署发现某内网IP连续对所有端口发起扫描,确定445端口大量扫描,协助客户设备排查:发现中毒机器,防止内网横向攻击:案例22020年年度专项安全演练中,某省事业单位在外网放置蜜罐伪装成本单位行政系统,将诱人域名解析到蜜罐地址,响应攻击目标外网资产侦察和发现事件。7天捕获67万+次威胁请求,10+次密码爆破,1次上传webshel??l。通过创宇蜜罐威胁分析引擎的分析,每一条攻击指令都一目了然,将危险的攻击源IP第一时间上报给处置团队进行封禁。最终通过全网溯源数据库,得到攻击者的完整画像,获取攻击者毕业院校、工作单位、地理位置等信息。(2)覆盖全国的安全服务团队创宇蜜罐可共享公司丰富的服务团队资源:300+销售及售前人员,覆盖华北、华中、华南、西南、西北等地区,客户涵盖金融、能源、医疗、教育、政府、国企、央企、IT互联网等行业,为客户提供周到的产品解决方案咨询服务。200+安全服务、技术服务、客服团队,为客户提供安装部署、升级运维、使用咨询、安全分析等专业服务。03不惧挑战,打造复杂场景产品应用(1)Honeypot部署管理创宇Honeypot提供SaaS版和私有版部署方案,适用于多网络场景的客户;客户端支持直连和中继模式,无论是单网段还是跨网段场景,都可以通过控制中心快速搭建蜜场环境。强大的蜜域提供多种蜜罐类型和定制业务场景服务。构建的蜜场环境可以和实际的网络环境统一起来,功能强大,混淆视听。(2)攻击路径还原捕获数据是蜜罐的主要目的,创宇蜜罐威胁控制中心将晦涩难懂的数据流转化为易于检索和定位的攻击日志。攻击日志可以清晰呈现攻击者从入侵到攻击执行的完整攻击路线,让用户清楚了解攻击者何时攻击了哪个蜜罐、使用了什么方法、执行了哪些命令等,并提供了攻击源数据的完整-文本搜索服务作为不依赖于系统的独立分析工具。(3)精准溯源画像欺骗防御是一种主动的安全防御机制,其最重要的特点是能够对抓取的数据进行分析,从而了解攻击者使用的手段,形成其溯源画像,即方便后续追溯。创宇蜜罐数据分析中心对攻击数据进行综合分析,逐一生成视觉画像,融合了捕获到的攻击者丰富的指纹信息,可以直观地看到攻击者的常用手段、攻击路径和可能的联系。相关的攻击者。(4)实时攻击大屏在蜜场搭建完成后,创宇蜜罐还提供了数据丰富的风险大屏,全面、动态地展示网络资产的保护状况,供用户观察。通过大屏实时监控蜜罐内的攻击行为,了解蜜罐内当前活跃的攻击者及攻击方式。(5)有效告警通知一旦攻击者踏入蜜罐陷阱,创宇蜜罐会第一时间发现,并通过内部信件、邮件等方式实时向用户发出告警,异常的蜜罐和客户端连接状态也会及时通知用户。报告,以便用户及时处理突发事件,保证系统的稳定运行。(6)攻击拦截联动支持数据推送实现消息联动,蜜罐平台记录的黑客威胁数据字段可以根据需要通过SYSLOG推送到其他安全可视化平台。从而为威胁情报数据分析提供了充足的源日志,实现了与其他第三方设备联合阻断的能力。(7)威胁态势报告创宇蜜罐基于对威胁事件的统计分析,结合全网威胁情报,生成客户网络威胁态势报告,评估威胁指标,预测威胁趋势,并根据威胁数据给出防护建议.整体安全形势一目了然,便于安全管理人员进行态势评估和趋势分析,提前加强,防患于未然。创宇蜜罐后台数据1创宇蜜罐后台数据204未来可望应对更加严峻的安全挑战。在日益严峻的网络安全形势下,国家出台了多项网络安全政策,促进整个行业的蓬勃发展。各行各业工业信息化基础设施建设逐步将网络安全纳入核心检查项目。蜜罐产品展现了卓越的检测和防御能力,在攻防对抗、安全2.0、网络靶场等业务场景中发挥了重要作用。一方面保护实物资产,另一方面还原黑客攻击手段,可以帮助公安机关发现黑客。以及对数据敏感的金融和工业领域;遭受勒索软件攻击的医疗和教育行业;科研机构积极开发网络靶场应用;倡导网络安全的政府机构和先锋;对业务稳定性要求非常高的IT互联网公司在很多行业中,都可以应用蜜罐产品来保护自己的网络资产,找出攻击的始作俑者。创宇蜜罐还可以及时检测勒索病毒攻击、0day漏洞攻击、挖矿等网络攻击,保护客户网络资产,降低网络安全风险。蜜罐已经使用了几十年,从开源应用到商业化和良好的市场认可度。未来,创宇蜜罐将不惧挑战,迈向新的历史阶段,为客户带来更大的应用价值,开启网络安全主动防御领域的新篇章。
