明鑒迷網(wǎng)系統(tǒng)(以下簡稱“迷網(wǎng)”)是安恒信息根據(jù)多年在安全領域的攻防經(jīng)驗,打造的一款應對攻防實戰(zhàn)場景的安全產(chǎn)品。迷網(wǎng)基于網(wǎng)絡欺騙和主動防御理論,通過在真實業(yè)務網(wǎng)絡中部署各種高仿真蜜罐、蜜餌,形成沉浸式誘捕蜜網(wǎng),混淆攻擊視聽,增加攻擊代價,達到延緩攻擊進程,進而保護用戶資產(chǎn)的目的。目前成功案例已覆蓋公安、政府、金融、運營商、能源等行業(yè),為各行業(yè)提供安全防護支撐。
技術(shù)特性
迷網(wǎng)有別于傳統(tǒng)的安全產(chǎn)品,其并不通過特征檢測方式發(fā)現(xiàn)攻擊,而是通過設立誘餌吸引攻擊者,監(jiān)控誘餌異動,進而發(fā)現(xiàn)攻擊者的攻擊行為,推測出攻擊意圖。
迷網(wǎng)的主要特性如下:
1、它是傳統(tǒng)安全防護體系的重要補充,并且與現(xiàn)有安全體系產(chǎn)品并不沖突,能夠起到“1+1>2”的作用;
2、主要作用于“事中發(fā)現(xiàn)”、“事后處置”兩個環(huán)節(jié);
3、蜜罐、蜜餌并不是真實業(yè)務,正常情況下并不會被觸碰、使用,其上發(fā)生的所有的記錄、流量,都意味著攻擊行為,不存在誤報;
4、通過極小的代價,極高程度上提升網(wǎng)絡復雜度,增加攻擊代價;
5、對業(yè)務系統(tǒng)幾乎無感,不影響現(xiàn)有業(yè)務體系、安全防護體系;
6、能夠有效的采集黑客信息,輸出高質(zhì)量威脅情報。
核心能力
豐富的欺騙偽裝能力
迷網(wǎng)提供豐富的高低交互蜜罐類型,包括web服務蜜罐、操作系統(tǒng)蜜罐、數(shù)據(jù)庫蜜罐、系統(tǒng)服務蜜罐、中間件蜜罐、工控蜜罐、物聯(lián)網(wǎng)蜜罐等,可泛化上千種蜜罐節(jié)點,提升網(wǎng)絡復雜度。另外,可以通過在真實業(yè)務系統(tǒng)上安裝流量轉(zhuǎn)發(fā)Agent,將攻擊流量重定向引流至蜜罐網(wǎng)絡中,來擴大誘捕覆蓋面。
為保證系統(tǒng)具有更逼真的“用戶體驗”,系統(tǒng)利用模擬網(wǎng)絡流量、仿真業(yè)務系統(tǒng)界面、虛擬數(shù)據(jù)、高度偽裝內(nèi)容等手段,提升對攻擊者的吸引力,獲取攻擊者的注意,延緩攻擊進程,達到誘導、捕獲攻擊者的目的。
全面深度的威脅分析
迷網(wǎng)通過行為分析引擎、關聯(lián)分析引擎、文件檢測分析引擎將捕獲到的攻擊進行深度分析,可識別出攻擊源IP、MAC地址、地理位置、執(zhí)行命令、憑證信息、滲透請求數(shù)據(jù)、文件操作信息、進程信息等內(nèi)容。通過構(gòu)建殺傷鏈,將攻擊者入侵的每一環(huán)節(jié)直觀地呈現(xiàn)出來,并支持攻擊回放,提供相應的風險分析和處理建議。同時,迷網(wǎng)構(gòu)建態(tài)勢分析模型,從多維度、多視角實時監(jiān)看整體誘捕攻擊態(tài)勢,使攻防動態(tài)一目了然。
安全可靠的自身防護
為保障自身安全,避免攻擊者借助蜜罐作為跳板,對內(nèi)部真實業(yè)務系統(tǒng)發(fā)起攻擊,迷網(wǎng)建立了多重安全防護體系:
● 基于底層操作系統(tǒng)隔離技術(shù),在網(wǎng)絡層、應用層均做了隔離,阻止內(nèi)部越權(quán)以及攻擊的東西向移動
● 隱匿自身監(jiān)控進程不被攻擊者發(fā)現(xiàn)
● 使用通信加密技術(shù)對傳輸數(shù)據(jù)進行加密
● 提供一鍵蜜罐狀態(tài)回滾能力
● 攻擊者對蜜罐進行掃描時獲取的信息均經(jīng)過特殊處理,攻擊者無法通過掃描、探測辨別真?zhèn)?/p>
通過以上手段,能夠確保自身安全。
簡潔方便的部署管理
針對各種復雜的網(wǎng)絡環(huán)境,迷網(wǎng)提供跨網(wǎng)段部署方式,即在各網(wǎng)段網(wǎng)絡互通情況下,一臺設備支持多網(wǎng)段部署,減少設備堆疊,實現(xiàn)統(tǒng)一管理。
產(chǎn)品價值
事前
隱匿真實資產(chǎn),全面監(jiān)測預警 | 重要系統(tǒng)模擬,定向流量牽引
事中
高度交互吸引,仿真響應過程 | 摸清入侵思路,追溯攻擊源頭
事后
關聯(lián)數(shù)據(jù)分析,啟發(fā)未知漏洞 | 整合多源情報,完整過程取證