“网络安全的本质是对抗,对抗的本质是攻防两端能力较量”。当前,网络空间正处于敌强我弱的局面之中,通过“攻防实战演练”的形式快速找到企业防御能力缺陷和防守视角缺失,提升网络安全能力和实战对抗水平已成为常态。
近日,由中国信息协会信息安全专业委员会指导,360政企安全集团主办的网络安全演习全纪录正式上线。在网络空间对抗中,如何实现如同军事演习的攻防演练目的,各单位如何做到与攻击方的斗智斗勇,如何应用安全产品进行研判处置,成为新形势下网络攻防演练专项行动的又一次看点。
在本次攻防实战演练前夕,防守方已提前预设出可能需要应对的攻击方式,并布置了详尽的应急处置预案,比如在防守边界提前预设了众多蜜罐来诱导攻击者,延缓攻击者的进攻并加以溯源。在实际攻防演练中,防守方遭遇大规模钓鱼邮件攻击。通过部署在邮件系统后端的检测平台,利用360攻击欺骗防御系统在攻击者的必经之路上部署诱饵和陷阱,诱导攻击者,起到及时发现、延缓攻击的作用,为安全处置争取了足够时间。
事实已经证明,安全产品的诞生就是为了应对攻防实战,其能力的差距只在于谁更了解对手,谁更能预判对手的攻击意图与作战习惯。360政企安全集团打造的这套攻击欺骗防御系统正是对“未知攻,焉知防”这句话的最佳实践。
安全风险分析+应对策略
利用高仿真高交互的欺骗服务诱敌深入
威胁分析:攻防演练期间,攻击者将广泛收集目标资产信息,防守者的目标是污染攻击方掌握的资产情报,并诱导攻击者优先访问伪装探针节点,以实现高仿真高交互的诱敌效果。
360攻击欺骗防御系统应对策略:构建全链路欺骗环境。一方面,360攻击欺骗防御系统拥有丰富的欺骗场景,能够覆盖攻击链路的每个环节,全面的防护系统安全。系统拥有可放置在真实环境中的轻量蜜标(文件、URL等形式的诱饵),在攻击者信息搜集阶段诱捕迷惑攻击。
另一方面,360攻击欺骗防御系统支持应用级和系统级两大类高交互蜜罐,能够模拟企业多种应用场景,为提供用户自定义模板、加入具备企业特征的数据,进一步提高欺骗环境的真实性;在蜜罐的基础上,360攻击欺骗防御系统支持用户依据企业环境自定义可配置的高仿真服务蜜网环境,通过整合各个蜜罐的优势与特点,将多个蜜罐联动形成完整的动态虚拟网络,可以很好地感知东西向攻击流量。
Deceptive-Response Kill Chain概念
针对自适应部署
威胁分析:
诱捕面的合理部署是影响到防御效果优劣的重要因素。
360攻击欺骗防御系统应对策略:一键配置仿真环境。360攻击欺骗防御系统支持自适应部署,自研的探测引擎通过对探针所处环境的识别与分析,智能推荐最符合当前网络环境的欺骗方案,并提供一键部署功能,提升运营效率、实现精细化管控。
针对基于攻击行为分析
威胁分析:掌握了攻击者的攻击信息,同时对攻击者的攻击工具、路径、意图等进行进一步分析,掌握攻击趋势,并利用捕获到的攻击信息进行溯源。
360攻击欺骗防御系统应对策略:实现精准告警。一方面,系统内置的行为分析引擎,是基于360内部多年实战攻防经验自研的新一代行为分析引擎,能够识别包括信息搜集、武器构建、荷载投递、漏洞利用等攻击链过程的每一个阶段。支持捕获攻击数据包、识别攻击工具、截获上传文件、记录攻击命令,以及完整地记录攻击流量pcap包、提供攻击视频回放等功能。不仅能覆盖常见的端口扫描探测、登录爆破、SSH异常连接、系统命令执行、反弹shell、数据库连接等操作,还能感知未知威胁。
另一方面,基于蜜网纯净的流量来源,使得攻击者触碰即告警、告警即事件,零误报;在此基础上,通过对捕获数据和告警事件的分析,安全人员能够进一步分析出攻击意图,知己知彼,及时做好安全加固,防微杜渐。
时间线告警
针对攻击溯源
威胁分析:蜜罐在攻防演练场景中应用的最大优势是以攻为守,溯源得分。
360攻击欺骗防御系统应对策略:落实精准定位。威胁溯源打破了攻防不对等的局面,体现了主动防御的理念。攻击者在入侵虚假服务、碰触蜜罐时会引发告警,系统除了能记录攻击行为还能识别攻击者的信息,如攻击特征、攻击IP以及攻击者身份信息等,通过与360安全大脑强大的数据资源进行关联分析,实现对攻击者的追踪溯源。
针对设备联动
威胁分析:当攻击者进行攻击时,蜜罐诱捕节点能够迅速检测到攻击行为,并且将攻击流量引入蜜罐系统,使其远离真实网络,同时延缓攻击进程,为用户争取应急响应时间。与此同时,对攻击者进行全程监控,详细记录攻击步骤、攻击工具和攻击手段,作为日后取证的依据。
360攻击欺骗防御系统应对策略:展开多维防御。360攻击欺骗防御系统支持Syslog告警原文外发、SMTP邮件实时告警、云沙箱样本分析、威胁情报IOC接入以及开放API等多维度的联动功能,全方位的保障企业安全系统更快更好地运行。
联动防御体系
安全风险分析+应对策略
目前,360攻击欺骗防御系统可根据客户实际需要,提供云端安全大脑SaaS订阅服务和本地安全大脑部署两种服务模式。
360攻击欺骗防御系统诱捕反制示意图
SaaS订阅服务
SaaS云服务部署方案采用360云服务器+客户本地安装探针的模式,客户只须在本地部署轻量的探针,保证探针与云服务器的网络可达即可快速使用欺骗服务。
本地私有化部署
360攻击欺骗防御系统支持软硬件部署方式,采用轻量级探针覆盖攻击者必经之路,并将实际攻击流量转发到蜜网中。
总结篇
众所周知,真实网络攻防对抗远比攻防实战演练更加紧张残酷,稍有不慎后果将不堪设想。“攻防实战演练”是日常网络安全威胁的一个缩影,其本身不是目的,提高政府、企业安全意识,运用安全产品提升防护能力才是根本。
360攻击欺骗防御系统自问世以来,凭借针对国家、政府、企业等多样政企用户的全方位需求以及360自身强大安全能力,在技术实现、安全服务等多方面不断创新,帮助更多的政企客户提升网络安全防御能力与生态体系的建设、完善。如您想了解产品购买或试用信息,可拨打垂询电话:400-0309-360,360政企安全集团将竭诚守护您的安全!