360的蜜罐程序,发现被攻击后,将攻击者引诱至此处,避免内部文档被泄露。
蜜罐技术(Honeypot)发展于1990年的一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机。复杂的网络环境和高频率的网络攻击,让网络安全形势越来越严峻。熟悉安全行业的朋友应该知道,长时间以来“安全”都是比较被动的概念,许多企业通常是被动的防御,被动的部署,被动的建设安全设施。但是近几年来,一种更主动的安全技术——蜜罐,开始越来越被甲方公司所接受。蜜罐技术的优点在于,它可以伪装成正常的业务系统,迷惑黑客、捕捉黑客的攻击信息并且能对攻击进行溯源,让安全工作变得更为主动。
蜜罐作为网络安全届的“网红”技术,有不少有实力的安全厂商推出了相关的安全产品。本文将围绕蜜罐技术的特点及优势进行探讨,并将当下有蜜罐技术相关商业化产品的公司做一个陈列,欢迎大家一同讨论,也为有相关安全需求的甲方公司提供一个简单的参考。
蜜罐是通过布设虚假资源来引诱攻击者采取行动,从而发现攻击与收集攻击信息。蜜罐是一种诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。
蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的 *** 作等,从而便于提供丰富的溯源数据。(注:以下资料均来自各公司官网以及公开资料)
产品形态:SaaS
能否申请试用:能
产品页面: 创宇蜜罐
产品价格:最低300元/月
1欺骗伪装,可以模拟企业多种真实业务
2威胁告警实时告警,能及时阻断攻击
3威胁态势同步展示,大屏实时监测威胁
4可以对攻击溯源,并分析入侵路径与攻击源
5系统状态性能监控
1轻量、无侵入的客户端。仅包含数据转发与攻击感知的功能,使得客户端占用资源极少,可在较低配置的服务器上运行,不会对现有的业务造成影响。
2高级仿真的蜜场集群。云端资源可快速调整,使得蜜罐可以根据用户的使用压力随时扩容。
3威胁事件详情全记录。IT及运维人员在收到告警消息后,可以登入创宇蜜罐管理系统,查看此次威胁事件的详情。
4各蜜罐之间实现联动,即便黑客已经入侵到实际资产中,也会被海量的蜜罐所迷惑。
5蜜罐持续迭代创宇蜜罐与知道创宇404安全实验室密切合作,时刻关注着业界安全态势,持续不断地跟踪、研究新型攻击手法。
6安全专家接入,在必要时刻,用户可联系创宇蜜罐团队一键接入知道创宇「紧急入侵救援服务」,协助用户实施专业的入侵应急措施。
产品形态:硬件、软件
能否申请试用:能
产品页面: 谛听
产品价格:无
1全端口威胁感知
2异常流量监测与重定向
3高仿真高交互蜜罐
4攻击预警与行为分析
5攻击者溯源
1东西向流量威胁感知能力。不同于传统内网安全产品基于已知漏洞规则库进行判定,谛听通过在攻击者必经之路上设置诱饵、 部署探针,监控攻击者每一步的动作。
2用户可自定义多种服务型蜜罐,覆盖信息系统中常用服务类型,并且支持高度自定义蜜罐数据,使得蜜罐蜜网环境和真实 环境更加契合,具备极强的伪装性和欺骗性。
3精准识别攻击意图,自动化完整取证。当感知到攻击行为,会在第一时间发起告警;通过完整记录攻击者入侵行为,能够协助用户分析其攻击意图。
4基于Docker架构,天然支持云端部署,支持在云上组蜜网,全方位保障云上安全。
产品形态:SaaS
能否申请试用:能
产品页面: 幻阵
产品价格:无
1基于行为的威胁检测
2动态网络隔离攻击
3设备指纹威胁溯源
4防抵赖入侵取证
5覆盖企业多种IT环境
1基于行为的高级威胁狩猎,精确分析攻击源、攻击路径及手法类型,并且无需升级,帮助企业感知和防御0day风险。
2根据攻击者行为和资产状态,实时构建动态沙箱,在不同网络环境中自动化部署沙箱、伪装代理、漏洞、诱饵等形成动态蜜网,实现对攻击者的全链路欺骗,使攻击者无法探测真实网络环境。
3拥有机器学习设备指纹专利技术,结合云端黑客指纹威胁情报库,提前识别并溯源攻击者,内核级的攻击行为取证技术如实记录攻击者入侵手法和行为。
4与企业安全防护产品联动,开放所有接口API,输出黑客行为、黑客画像、攻击轨迹,无缝对接企业防火墙、IPS、IDS、WAF等其他安全产品。
产品形态:SaaS
能否申请试用?:能
产品页面: 幻云
产品价格:无
1攻击欺骗与转移
2真实资产隔离防护
3攻击过程捕获分析
1有效应对高层次网络攻击,新型未知网络威胁、高级持续性威胁(APT)等高层次网络攻击。
2幻云的攻击发现基于欺骗,几乎不会产生任何误报,可做到报警即发现。捕获的攻击数据具有日志量较少、包含信息量高、纯净不掺杂任何业务数据的特点。
3增强协同防御能力,幻云捕获的攻击数据可加工形成标准的本地威胁情报输出,在其他安全设备和安全子系统中流动,增强用户原有安全体系整体防护能力。
目前国内提供蜜罐技术的公司主要就是上面这四家。而他们的产品主要功能大致相同,都是以欺骗伪装和攻击溯源为主。
知道创宇的创宇蜜罐在功能上非常丰富,能满足绝大部分公司的需求,包括数据分析、展示等,以及有专家1v1响应,这点还是十分不错的;
长亭的谛听是一款商业化很多年的产品,相比较来说经验更为丰富;
默安科技的幻阵从资料上来看没有很大的特点,是一款中规中矩的蜜罐产品;
锦行科技的幻云能找到的介绍资料很少,这里不过多做评价。
在此建议,公司或单位有蜜罐安全需求时,可以分别试用一下各家产品,选择最适合自己业务情况的一家。
蜜罐技术是一个故意设计的存在缺陷的系统,可以用来对档案信息网络入侵者的行为进行诱骗,以保护档案信息的安全。蜜网技术是一个用来研究如何入侵系统的工具,是一个设计合理的实验网络系统。蜜网技术第一个组成部分是防火墙,它记录了所有与本地主机的联接并且提供NAT服务和DOS保护、入侵侦测系统(IDS)。IDS和防火墙有时会放置在同一个位置,用来记录网络上的流量且寻找攻击和入侵的线索。第二个组成部分是远程日志主机,所有的入侵指令能够被监控并且传送到通常设定成远程的系统日志。
空间欺骗技术就是通过增加搜索空间来显著地增加档案系统网络入侵者的工作量,从而达到安全防护的目的。该技术运用的前提是计算机系统可以在一块网卡上实现具有众多IP地址,每个IP地址都具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。当网络入侵者的扫描器访问到网络系统的外部路由器并探测到这一欺骗服务时,还可将扫描器所有的网络流量重定向到欺骗上,使得接下来的远程访问变成这个欺骗的继续。当然,采用这种欺骗时,网络流量和服务的切换必须严格保密,因为一旦暴露就将招致入侵,从而导致入侵者很容易将任一个已知有效的服务和这种用于测试网络入侵者的扫描探测及其响应的欺骗区分开来。
网络动态配置和网络流量仿真。产生仿真流量的目的是使流量分析不能检测到欺骗的存在。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似,因为所有的访问联接都被复制。第二种方法是从远程产生伪造流量,使网络入侵者可以发现和利用。面对网络入侵技术的不断提高,一种网络欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使网络入侵者难以将合法服务和欺骗服务进行区分。
杀毒软件公司获取病毒样本的主要途径有以下两种1、“云安全”自动获取
瑞星杀毒软件有自己的云处理器,通过“云安全”可以自动截获病毒样本。以2015年举例,2015年1-12月,瑞星“云安全”系统共截获新增病毒样本3,715万个,手机病毒样本261万个,钓鱼网站737万个,挂马网站519万个
2、通过热心用户及网友上报
瑞星公司有自己的上报平台,用户及网友可以通过病毒上报窗口上报可疑文件
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)