360 攻击欺骗防御系统

需求分析
攻击手段不断更新

企业大多以防御者角度做安全建设,铺设安全设备以防御入侵。为应对市面上安全设备设置的规则,攻击者会对原有攻击手法做调整更新去绕过规则,或利用未知漏洞、自定义工具等手段去突破安全设备防线。

另一方面,攻击者也从人的弱点下手,通过社工、钓鱼等方式获取企业内部人员、管理员的账号与权限,借此使用合法身份正常操作进行入侵。通过长时间的内部潜伏,以获取企业的业务核心信息。

难以识别内部潜伏入侵者

内部已潜伏的入侵者获取了系统管理员的账号和权限,通过正常操作就能操控服务器,甚至是核心资产。传统的安全建设大多局限于边界防御,对于内网安全的重视不足。在这种情况下,难以明确定位是否攻击行为,安全设备也难以溯源攻击者。无法检测、及时发现并有效应对高等攻击和内网的横向渗透。

加密流量难以检测

当前防窃听协议越来越多,大多数业务系统对用户流量加密,而大多数安全设备对于此类流量检测能力弱,难以发现其中的攻击行为,无法记录完整的攻击事件。

异常检测类防御产品告警量大且不精准

针对流量侧的异常行为,企业通常采用入侵检测系统,SIEM 等安全设备来检测和运营处置。对于中大型企业场景,告警量大,且运营人员工作量繁重。找到精准的告警需要耗费安全专家的较多时间精力,并且也较难发现潜伏攻击者。

技术对抗产品更新速度慢

攻击技术和手段日益更新,而对抗的安全产品更新速度慢,企业更新产品的周期也相对漫长。难以应对多变攻击手段、新型威胁。亟需一种应对变化攻击手段和适应业务变更的新技术。

产品概述

360 攻击欺骗防御系统利用欺骗伪装技术,采用了全端口监听模式,实时感知内网多协议扫描行为;在黑客攻击路径上高度模拟企业真实服务环境,诱导攻击者入侵虚假服务、终端或系统,延缓攻击进程;并通过邮件实时精准告警,详细记录攻击信息,给应急响应预留时间。运营者通过捕获攻击行为,分析攻击信息,不仅能了解攻击者的攻击手法,还可实现威胁溯源,在必要时予以有力的司法打击,达到保护企业真实资产的效果。同时,该产品支持可视化操作,以节点方式部署,轻量简洁,非常便于内网安全防护工作的日常运营与管理。

功能介绍
捕获高级未知威胁,防微杜渐

区别于传统的网络安全产品,在对未知0day漏洞捕获能力上的欠缺。360 攻击欺骗防御系统基于攻击行为检测,能够捕获未知类型攻击。

灵活可变, 自定义配置仿真服务

通过自定义配置仿真服务(系统服务、Web服务、数据库服务等),灵活搭建真实可变的蜜网环境,满足不同场景下的需求。同时,也可在攻击链的每一个环节(侦查目标、攻击入侵、命令控制、横向渗透等)投放蜜饵、蜜标与面包屑,等待攻击者上钩。

内网威胁感知,保护真实资产

360 攻击欺骗防御系统位于企业内网中,以高仿真的特点迷惑攻击者,在保护企业真实资产的同时捕获内网威胁。

实时告警、快速响应

系统提供威胁告警和探针状态两大类告警,支持邮件通报。当检测到外部威胁或探针工作状态变化时,会向用户发送实时告警,用户也可自由配置告警策略,提升运营效率。

安全设备联动、数据多维分析

360 攻击欺骗防御系统支持Syslog日志导出,能够与企业已有安全产品联动,实现数据多维度、关联分析。

技术优势
丰富的欺骗环境,可灵活调整配置方案

基于360安全大脑强大的安全能力和专业攻防团队多年的积累,360 攻击欺骗防御系统不断迭代和完善,拥有丰富的欺骗环境,产品有高度仿真的蜜罐、极具迷惑性的蜜标诱饵,用户可匹配业务场景设置针对性的欺骗方案。

溯源追踪,主动防御

仿真服务和蜜饵在吸引黑客攻击时,会记录攻击信息,识别攻击指纹,结合360安全大数据和威胁情报,实现对威胁的溯源。

视频回放,记录攻击细节

当攻击者对虚拟服务进行攻击时,系统的录屏功能能够记录攻击者行为,可在系统后台通过视频方式进行攻击回放,可视化黑客攻击过程,并为取证提供支持。

典型应用
恶意代码捕获

360 攻击欺骗防御系统可以捕获网络攻击流量,进而捕获到恶意攻击代码,通过分析恶意代码了解攻击者意图。

分析未知攻击

基于规则的传统安全产品,无法感知未知威胁,360 攻击欺骗防御系统能捕获未知攻击,给企业调整安全策略预留时间,减少安全风险。

攻防演练

不管是企业内部的红蓝对抗,还是大型“护网”场景,360 攻击欺骗防御系统都能感知攻击、抓取入侵流量,助力防守方进行有效防御。

动态拓展网络拓扑

通过部署虚拟主机,使攻击者难以分析出企业的网络架构,迷惑攻击者,让企业的真实资产得到更好的保护。

入侵取证

360 攻击欺骗防御系统通过记录黑客攻击过程,分析攻击流量包特征,识别攻击者上传的文件与工具,结合360安全大脑丰富的威胁情报资源库,实现对攻击者的溯源。

部署方案

360 攻击欺骗防御系统支持软硬件部署,主要包括Agent端(传感器)、Server端(蜜罐服务)、数据展示与安全运营端(Web管理平台)构成,不会影响客户原有网络架构设计。 Server端支持以docker形式部署,由Elasticsearch + Kibana + Kafka几个模块构成,用于接收agent端返回的扫描数据。目前,支持绝大多数Linux系统私有化部署(Agent+Server)

usage-scene 部署示意图