從捕風(fēng)蜜罐到無所不在的欺騙防御

威脅框架：細粒度對抗威脅框架：細粒度對抗CONTENTS威脅與欺騙防御現(xiàn)狀無所不在的欺騙防御客戶威脅框架：細粒度對抗威脅框架：細粒度對抗Page4攻擊入口防不勝防定向攻擊入口定向攻擊入口APP訪問內(nèi)網(wǎng)的通道被利用郵件社工攻擊利用社會工程學(xué)發(fā)送欺騙人員運行病毒程序、暴露VPN攻擊邊界設(shè)備攻擊先攻破若干中間系統(tǒng),讓它們成為“跳板”，再通過這些“跳板系統(tǒng)”完成攻擊行動物聯(lián)網(wǎng)攻擊端，家庭智能終端侵入企業(yè)獲取權(quán)限獲取權(quán)限滲透企業(yè)內(nèi)網(wǎng)威脅框架：細粒度對抗Page5威脅框架：細粒度對抗當(dāng)前欺騙防御應(yīng)用?欺騙能力集中在蜜罐類產(chǎn)品?重點在外部攻擊的欺騙?殺毒、安全終端等缺乏欺騙能力MITREShield中的欺騙能力?誘餌賬戶：郵件、軟件、系?蜜網(wǎng)：服務(wù)仿真蜜罐?蜜罐：操作系統(tǒng)蜜罐?多樣蜜罐：多種操作系統(tǒng)應(yīng)Page6威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗欺騙是一種防御能力兵者詭道也Page8威脅框架：細粒度對抗威脅框架：細粒度對抗無所不在的欺騙防御理念欺騙能力覆蓋安全產(chǎn)品罐網(wǎng)關(guān)全攻擊方向引流主機感染欺騙橫向滲透欺騙外聯(lián)蜜罐網(wǎng)關(guān)欺騙.多層次仿真欺騙操作系統(tǒng)、應(yīng)用服務(wù)、數(shù)據(jù)仿真、賬戶憑證網(wǎng)絡(luò)活動、系統(tǒng)活動一切可利用的空閑資源空閑IP空閑端口空閑后臺URL空閑賬戶空閑人員Page9威脅框架：細粒度對抗威脅框架：細粒度對抗PagePage10Page10內(nèi)網(wǎng)掃描探測、密碼抓取、暴破、漏洞入侵內(nèi)網(wǎng)OA業(yè)務(wù)、員工PC、網(wǎng)絡(luò)設(shè)備仿真捕獲橫向移動詳細行為、失陷主機告警外聯(lián)欺騙，激發(fā)失陷交互內(nèi)網(wǎng)掃描探測、密碼抓取、暴破、漏洞入侵內(nèi)網(wǎng)OA業(yè)務(wù)、員工PC、網(wǎng)絡(luò)設(shè)備仿真捕獲橫向移動詳細行為、失陷主機告警外聯(lián)欺騙，激發(fā)失陷交互域名IP、端口掃描、給域名IP、端口掃描、給HR發(fā)社工郵件子域名、后臺路徑、誘餌信箱 欺騙入侵者提供虛假信息欺騙 針對主機的文檔、賬號密碼、憑證竊取 主機控制瀏覽器賬號、桌面文本、注冊表密鑰欺騙提供誘餌賬號、憑證惡意目的外聯(lián)惡意目的外聯(lián)外部攻擊欺騙-捕風(fēng)蜜罐草船借箭?通過WAF、防火墻進行轉(zhuǎn)發(fā)感知外部攻擊?仿真門戶?網(wǎng)絡(luò)安全設(shè)備?后臺URL欺騙?誘餌郵箱?誘餌郵件Page11威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗Page12威脅框架：細粒度對抗外部攻擊WEB攻擊網(wǎng)站外部攻擊欺騙-部署誘餌郵箱捕獲定向攻擊樣本樣本下載二進制通過部署誘餌郵箱捕獲包括通過部署誘餌郵箱捕獲包括APT、hvv等定向攻擊投放的樣本。Page13威脅框架：細粒度對抗威脅框架：細粒度對抗I智甲主機終端欺騙-蔣干盜書Page14威脅框架：細粒度對抗威脅框架：細粒度對抗智甲主機終端欺騙-蔣干盜書之瀏覽器賬戶密碼85e27cebd7913295c869a36b090a4bfaTrojan/Win32.MassLogger、鍵盤記錄、間諜竊取類ChromiumRecovery、?FoxMail、Thunderbird竊取Page15威脅框架：細粒度對抗威脅框架：細粒度對抗I橫向移動欺騙-撒豆成兵、隔墻有耳靈活可控設(shè)Page16Page16空閑端口仿真自動探測自嗅探流量欺騙Page16威脅框架：細粒度對抗威脅框架：細粒度對抗內(nèi)網(wǎng)橫向滲透攻擊Page17威脅框架：細粒度對抗威脅框架：細粒度對抗外發(fā)流量欺騙交互分析-假傳圣旨外發(fā)流量欺騙木馬上線木馬上線研究網(wǎng)絡(luò)流量隔離與引導(dǎo)技術(shù)，將外發(fā)的網(wǎng)絡(luò)流量通過蜜罐網(wǎng)關(guān)引導(dǎo)進入誘捕網(wǎng)絡(luò)，實現(xiàn)在誘捕網(wǎng)絡(luò)中交互分析檢測威脅流量的能力。蜜罐網(wǎng)關(guān)可用于隔離網(wǎng)、養(yǎng)殖、蜜網(wǎng)內(nèi)部7Page18威脅框架：細粒度對抗威脅框架：細粒度對抗Page19探海與蜜罐網(wǎng)關(guān)結(jié)合外發(fā)流量欺騙交互結(jié)果Page19欺騙指令激發(fā)Page19威脅框架：細粒度對抗威脅框架：細粒度對抗Page20追影沙箱樣本外聯(lián)欺騙激發(fā)網(wǎng)絡(luò)行為境析√√答√√接√X√X擊√境I安全產(chǎn)品欺騙與后端蜜罐仿真服務(wù)交互攻擊者Trunk自動部署鎮(zhèn)關(guān)防火墻WAF智甲終端Trunk自動部署鎮(zhèn)關(guān)防火墻WAF真真vpn仿真OA仿真Web仿真vpn仿真OA仿真Web仿真Struts2wiki 捕風(fēng)蜜罐系統(tǒng)蜜罐網(wǎng)關(guān)C&C仿真DNS仿真Page21威脅框架：細粒度對抗威脅框架：細粒度對抗網(wǎng)絡(luò)數(shù)據(jù)包采集蜜罐捕獲文件采集Linux系統(tǒng)調(diào)用集威脅Pcap包采集Windows系統(tǒng)日志采集采集能力網(wǎng)絡(luò)行為檢測系統(tǒng)行為檢測WebShell、木馬網(wǎng)絡(luò)數(shù)據(jù)包采集蜜罐捕獲文件采集Linux系統(tǒng)調(diào)用集威脅Pcap包采集Windows系統(tǒng)日志采集采集能力網(wǎng)絡(luò)行為檢測系統(tǒng)行為檢測WebShell、木馬檢測檢測能力析…析像溯源能力威脅框架：細粒度對抗Samba、OpenSSH、RDP、Windows7RDP、WindowsServerRDP、Windows7SMB、Windows7系統(tǒng)服務(wù)蜜罐Nginx、phpMyAdmin、ApacheTomcat、Telnet、WindowsServerSMB、WebLogic、Drupal、Struts2、XinHuWindowsServerTelnet應(yīng)用服務(wù)蜜罐OA、ElasticSearch、JBoss、Email、VPN、CRM、WIKI、vsftpd、Jenkins、ThinkPHP、WordPress華為路由器,華三路由器網(wǎng)絡(luò)設(shè)備仿真蜜罐 數(shù)據(jù)庫蜜罐MySQL、Redis、Memcached仿真能力持續(xù)更新……業(yè)務(wù)Web動態(tài)仿真 自定義蜜罐靈活配置任意端口仿真能力Page22I精準(zhǔn)事件告警精準(zhǔn)威脅事件告警，避掃描、暴力破解等頻繁或威脅程度較低的威脅威脅事件相關(guān)的樣本、流量包、威脅郵件等文件均支持事件關(guān)聯(lián)展示與集Page23威脅框架：細粒度對抗威脅框架：細粒度對抗I多視角威脅展示以攻擊者捕獲的視角聚合威脅，以失陷主機發(fā)現(xiàn)的視角聚合威脅，以受攻擊蜜罐的視角聚合威脅，展Page24威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗Internet防火墻DNAT外網(wǎng)端口映射路由器Page26接入交換機接入交換機虛擬蜜罐資產(chǎn)虛擬蜜罐資產(chǎn)管理區(qū)接入交換機代理轉(zhuǎn)發(fā)資產(chǎn)代理轉(zhuǎn)發(fā)資產(chǎn)內(nèi)網(wǎng)辦公區(qū)外網(wǎng)攻擊欺騙溯源場景Internet防火墻DNAT外網(wǎng)端口映射路由器Page26接入交換機接入交換機虛擬蜜罐資產(chǎn)虛擬蜜罐資產(chǎn)管理區(qū)接入交換機代理轉(zhuǎn)發(fā)資產(chǎn)代理轉(zhuǎn)發(fā)資產(chǎn)內(nèi)網(wǎng)辦公區(qū)DNAT外網(wǎng)端口映射代理轉(zhuǎn)發(fā)資產(chǎn)DNAT外網(wǎng)端口映射DMZ區(qū)接入交換機內(nèi)網(wǎng)服務(wù)器區(qū)接入交換機捕風(fēng)蜜罐系統(tǒng)虛擬蜜罐資產(chǎn)Page26威脅框架：細粒度對抗威脅框架：細粒度對抗Page27Page27交換機木馬養(yǎng)殖系統(tǒng)木馬養(yǎng)殖系統(tǒng)惡意樣本養(yǎng)殖防火墻路由器隔離網(wǎng)與養(yǎng)殖場景外聯(lián)欺騙Page27交換機木馬養(yǎng)殖系統(tǒng)木馬養(yǎng)殖系統(tǒng)惡意樣本養(yǎng)殖防火墻路由器例蜜罐網(wǎng)關(guān)蜜罐交互蜜罐網(wǎng)關(guān)蜜罐交互智能交互響應(yīng)交換機智能交互響應(yīng)木馬養(yǎng)殖系統(tǒng)木馬養(yǎng)殖系統(tǒng)惡意樣本養(yǎng)殖隔離網(wǎng)惡意樣本養(yǎng)殖威脅框架：細粒度對抗威脅框架：細粒度對抗背景及客戶需求某高校網(wǎng)絡(luò)有PC終端1萬多臺，為3萬多用戶提供網(wǎng)絡(luò)服務(wù)。流經(jīng)網(wǎng)絡(luò)病毒監(jiān)測系統(tǒng)的流量非常大，產(chǎn)生大量的病毒監(jiān)測日志，需要專業(yè)人員來進行搜集和分析，雖然能得出校園網(wǎng)絡(luò)的安全情況，但是耗時耗力，無法及時精確地發(fā)現(xiàn)威脅，以下是具體需求：?精準(zhǔn)感知校園網(wǎng)網(wǎng)絡(luò)威脅，發(fā)現(xiàn)內(nèi)網(wǎng)失陷主機；?解決報警淹沒問題，確保重大威脅精準(zhǔn)告警，第一時間進行?高效檢測網(wǎng)絡(luò)安全威脅，及時發(fā)現(xiàn)網(wǎng)絡(luò)對抗攻擊； ?為網(wǎng)絡(luò)安全取證提供支撐。安天方案針對某高校需求，安天提供了蜜網(wǎng)方案，蜜網(wǎng)方案由多臺蜜罐組成，分別部署在高校的東校區(qū)和西校區(qū)，主?通過部署大量的與高校業(yè)務(wù)相似的蜜罐資產(chǎn)組成蜜網(wǎng)，迷惑攻擊者，使攻擊者真假難辨；?背景及客戶需求某高校網(wǎng)絡(luò)有PC終端1萬多臺，為3萬多用戶提供網(wǎng)絡(luò)服務(wù)。流經(jīng)網(wǎng)絡(luò)病毒監(jiān)測系統(tǒng)的流量非常大，產(chǎn)生大量的病毒監(jiān)測日志，需要專業(yè)人員來進行搜集和分析，雖然能得出校園網(wǎng)絡(luò)的安全情況，但是耗時耗力，無法及時精確地發(fā)現(xiàn)威脅，以下是具體需求：?精準(zhǔn)感知校園網(wǎng)網(wǎng)絡(luò)威脅，發(fā)現(xiàn)內(nèi)網(wǎng)失陷主機；?解決報警淹沒問題，確保重大威脅精準(zhǔn)告警，第一時間進行?高效檢測網(wǎng)絡(luò)安全威脅，及時發(fā)現(xiàn)網(wǎng)絡(luò)對抗攻擊； ?為網(wǎng)絡(luò)安全取證提供支撐。安天方案針對某高校需求，安天提供了蜜網(wǎng)方案，蜜網(wǎng)方案由多臺蜜罐組成，分別部署在高校的東校區(qū)和西校區(qū)，主?通過部署大量的與高校業(yè)務(wù)相似的蜜罐資產(chǎn)組成蜜網(wǎng)，迷惑攻擊者，使攻擊者真假難辨；?將蜜罐資產(chǎn)的登錄信息生成誘餌，誘騙攻擊者攻擊蜜罐，保障真實資產(chǎn)安全；?配置通知告警，通過多種方式接收告警，及時發(fā)現(xiàn)內(nèi)網(wǎng)失陷主機和網(wǎng)絡(luò)威脅。?部署捕風(fēng)蜜罐后，便發(fā)現(xiàn)蜜罐所監(jiān)控網(wǎng)段均存在wanncry等蠕蟲挖礦病毒、木馬等威脅；?發(fā)現(xiàn)連續(xù)存活感染主機，勒索感染主機、木馬控制主機、挖礦木馬主機、Sality感染型病毒主機等；?捕獲多起高危wannacry蠕蟲事件及多條攻擊鏈；?在我司安服人員處置方案建議下，客戶對感染主機及時進行了處置；管理區(qū)DMZ區(qū)捕風(fēng)蜜罐系統(tǒng)(管理區(qū)DMZ區(qū)捕風(fēng)蜜罐系統(tǒng)(內(nèi)網(wǎng)服務(wù)器區(qū)內(nèi)網(wǎng)辦公區(qū)客戶價值捕風(fēng)蜜罐系統(tǒng) ?在捕風(fēng)蜜罐的持續(xù)感知下，用戶逐漸加強內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)和辦公環(huán)境的安全建設(shè)，內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境安全的到了較大的提升。威脅框架：細粒度對抗威脅框架：細粒度對抗背景及客戶需求某集團建設(shè)了屬于自己的私有云，雖然私有云一般部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi)，來自于外部的威脅或許可以加以阻攔，但是橫向的網(wǎng)絡(luò)安全仍面臨著挑戰(zhàn)，所以想對私有云內(nèi)部環(huán)境進行威脅感知，及時發(fā)現(xiàn)潛在威脅，以下為某集團客戶的需求：?在不同的區(qū)域部署與業(yè)務(wù)環(huán)境相似的仿真業(yè)務(wù)，并與真實業(yè)務(wù)相對立；?感知攻擊者意圖，捕獲攻擊指紋信息，獲取攻擊鏈，有效追蹤攻擊者；?了解攻擊者意圖，及時優(yōu)化真實業(yè)務(wù)，確保真實業(yè)務(wù)的安全性。?為護網(wǎng)行動做支撐，助力得分。業(yè)務(wù)虛擬機資源池背景及客戶需求某集團建設(shè)了屬于自己的私有云，雖然私有云一般部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi)，來自于外部的威脅或許可以加以阻攔，但是橫向的網(wǎng)絡(luò)安全仍面臨著挑戰(zhàn)，所以想對私有云內(nèi)部環(huán)境進行威脅感知，及時發(fā)現(xiàn)潛在威脅，以下為某集團客戶的需求：?在不同的區(qū)域部署與業(yè)務(wù)環(huán)境相似的仿真業(yè)務(wù)，并與真實業(yè)務(wù)相對立；?感知攻擊者意圖，捕獲攻擊指紋信息，獲取攻擊鏈，有效追蹤攻擊者；?了解攻擊者意圖，及時優(yōu)化真實業(yè)務(wù)，確保真實業(yè)務(wù)的安全性。?為護網(wǎng)行動做支撐，助力得分。業(yè)務(wù)虛擬機資源池安天方案針對某集團需求，安天提供了蜜網(wǎng)方案，分別部署私有云的各個區(qū)域，主要實現(xiàn)：?收集用戶重要業(yè)務(wù)系統(tǒng)類型，創(chuàng)建