每年的网络安全专项行动至今已是第五个年头,这场涉及关键信息基础设施的网络安全攻防演练参与者和攻击手段都在不断演变。随着各个行业信息化脚步的迈进,安全大考范围也逐步扩大,防守方选择的防护手段也在逐步升级,比如设置蜜罐就成为了企业改变网络攻防模式中的不对称性、实现从被动防御转变为主动防御的重要手段之一。
通过部署蜜罐的方式进行诱捕攻击与攻击引流,实现对真实系统的保护,这是众多用户选择蜜罐作为网络安全防御手段的原因。不过实战永远是检验产品与防护体系的重要契机,2020年的专项行动也暴露了因蜜罐本身存在的一些安全风险,而导致网络被突破的安全事件。那么蜜罐缘何变成了“破罐”呢?
一、“蜜罐”=“破罐”?
1.高交互却无高安全性保障
拥有基本网络防护措施的企业选择蜜罐产品来给予自身安全性提升时,会面临选择上的困难。
低交互蜜罐只是简单的基本模拟,它只会让攻击者非常有限地访问操作系统,欺骗性不高。相对的高交互蜜罐拥有较高的仿真性和迷惑性,它可以模拟出功能近似真实网络的应用环境,用以吸引攻击者接入,也往往能够有效发现异常行为,对攻击行为进行捕获和分析。但是高交互性的蜜罐因为设置比较多的仿真数据及应答机制,相应的对于蜜罐自身的安全性就有了更高的要求。
2.高权限却无法高度可控
为实现混淆攻击者目标与保护真实系统的目的,蜜罐往往部署在内网之中。当蜜罐成功诱骗攻击者对其进行攻击时,一旦蜜罐系统在捕捉攻击、分析进攻路径的过程中完全被攻陷,这个蜜罐就由攻击者掌控。它允许攻击者截获真实系统发送的有价值信息,并通过蜜罐本身获得对真实系统的访问权限,从而实施进一步的网络攻击。所以蜜罐内攻击者权限控制至关重要。
3.高仿真却没做到绝对隔离
因蜜罐连接内网,当蜜罐被突破后攻击者完全可以通过控制它直接横向侵入内网,攻击者可以利用被攻陷的蜜罐作为跳板,或是侵入其余部署蜜罐,或是直接攻击内网真实系统,又或是操纵它发起拒绝服务、身份仿冒等针对外网其他系统的攻击手段,进而造成难以预估的安全损失。一旦发生这类情况,被寄予厚望的蜜罐本身,反而会成为企业网络安全中的破绽缺口。所以蜜罐与客户真实资产隔离是杜绝这一隐患的唯一方式。
二、创宇蜜罐多管齐下实现牢不可破的立体化安全
作为安全产品来说,自身的安全无疑是基本且重要的因素,所以创宇蜜罐在设计之初,就对安全性给予高度关注,并从技术及研发流程上进行多重保障。通过网络隔离、环境隔离、流量单向控制等各个维度配置了安全防护系统,坚决保证创宇蜜罐自身安全性,并在此基础上,进行高交互、高仿真,以实现吸引攻击,延缓攻击,通过分析攻击行为寻找自身业务系统脆弱点,加强防护的目的。
1.绝对隔离--部署于内网,保证蜜场与内网绝对隔离
创宇蜜罐一般部署在企业内网中,它享有客户原有网域相同的网络安全防御措施,具有高交互性与高仿真性,可模拟出功能近似真实网络的应用环境,对攻击者的行径给予“正常”回应,并通过建立蜜场实现网络隔离,保证内网安全。蜜场本身可以包含30+ 种不同的蜜罐类型并同时部署上百个蜜罐,蜜罐之间同样是相互安全隔离的,无法横向攻破。
2.底层限制--底层多重限制,攻击访问高度可控
创宇蜜罐采用旁路部署,客户端与客户真实系统没有直接联系,一旦外部流量访问客户端,客户端就会将流量转发至蜜罐,实现环境隔离。创宇蜜罐本身被添加了诸多底层限制,外部环境到蜜罐建立的连接是单向的,蜜罐无法获取外部任何系统的访问权限。
与此同时,不开放蜜罐访问外网的权限,蜜罐本身不能与外部网络主动建立联系,即蜜罐向外通路不连通,彻底切断蜜罐到其他网络的访问路径,将所有攻击行为都隔离到封闭的蜜场中,无法由蜜场连接其他系统。哪怕蜜罐被攻击者攻陷发起控制也是无用功,攻击者既不可能利用攻陷蜜罐侵入内网,也不可能操控蜜罐攻击其他目标系统。
3.测试支撑--攻击思维测试支撑,验证安全保障
为保证创宇蜜罐本身有充足的安全保障,创宇蜜罐测试支撑思路结合知道创宇丰富的渗透测试及攻防经验制定,充分考虑到各种可能的安全风险。制定详尽的测试方案用以检验蜜罐自身安全性,保证解决包括蜜罐被攻破后是否能作为跳板攻击其他主机、蜜罐被攻破后是否能逃逸、攻击者是否能利用客户端对外进行地址欺骗、蜜罐与管理中心是否隔离等一系列问题。
创宇蜜罐作为一款运用网络欺骗技术、通过故意混淆和误导来实现对高级威胁的检测和防御的产品,在保障蜜罐自身安全性的前提下,通过在攻击者必经之路上构造陷阱,混淆其攻击目标,诱导攻击者进入与真实网络隔离的蜜场,让攻击者在蜜场中消耗大量精力,留下攻击痕迹。它能够对入侵行为进行实时告警,将其诱骗隔离以延缓攻击,并帮助用户追踪溯源、延缓攻击和安全加固,从而保护企业核心资产安全。
与此同时,创宇蜜罐通过无侵入、轻量级的软件客户端安装来实现网络自动覆盖,可快速在企业内网形成蜜网入口,目前已为教育、电力、金融等多行业单位提供安全保障,并收获了来自用户的高度评价。
在这个互联网全面普及、物联网应用日益广泛的时代,人们的生活和网络已经密不可分,攻击者为获取网络上承载的各种有价值信息而采用的攻击手段不断翻新,而创宇蜜罐的安全防护能力也会不断提升。
创宇蜜罐让防守不再是被动挨打、响应不再远远滞后,使被动防御变主动防御成为可能。同时提供业务与安全的双重保障,让用户能够清晰意识到,只有将网络安全的主动权牢牢掌握在自己手中,才能先敌制胜。
领取专属 10元无门槛券
私享最新 技术干货