聚力安全 護航發展丨綠盟高階威脅狩獵系統助力精準畫像,主動防禦
化被動為主動,實現高階威脅防禦
為了應對傳統網路安全防禦體系靜態不變的特點,國內外的科研和技術團隊相繼展開了技術研究和創新工作,其中包括MTD(移動目標防禦體系)、網路空間擬態防禦理論、動態賦能網路空間防禦體系等。
相較於傳統的安全防禦方法,主動防禦中的擬態防禦技術融合多種主動防禦要素,在保證業務功能等價的情況下,可控地選擇執行硬體和軟體異構執行體,同時隨機的變換被保護目標,使攻擊者無法捕捉到目標的硬體執行環境和軟體工作狀態,以達到增強系統安全性的目的。
精準畫像,主動防禦
綠盟高階威脅狩獵系統(NSFOCUS Advanced Threat Hunting System,簡稱ATH),是一款以欺騙防禦技術為核心,對網路中潛在威脅進行檢測和發現的安全攻防產品,遵循綠盟智慧安全3.0理念,以體系化建設為指引,通過設下誘餌來捕獲攻擊者,並結合威脅情報,對攻擊者進行精準攻擊刻畫及追蹤溯源,發現更多威脅,保護政企行業使用者資產安全。
圖1 主動防禦機制圖
該系統採用欺騙防禦的思想,從網路層、計算環境層、應用層出發動態變換真實主機的網路地址、埠等系統資訊,在網路中偽裝出大量虛構主機,主動散播虛構系統資訊,誘導並捕獲網路中入侵或潛伏的未知特徵病毒、木馬;將誘捕到的攻擊流量進行分類和採集,對捕獲的攻擊日誌、流量協議從攻擊裝置、位置資訊、資產資訊等不同維度進行分析,形成相應維度的威脅報表和告警資訊;隨後對防禦策略進行調整,適當時進行追蹤溯源。
動態變換,擾亂攻擊行為
通過將系統的配置進行調整,對IP地址、埠進行週期或者非週期性變換,達到擾亂攻擊者攻擊行為的目的。採用網路地址和服務埠跳變,實現網路拓撲的動態變化,通過地址變換,達到網路的隱真示假,讓攻擊者無法準確獲取網路的真實情況和有效資訊。
圖2 網路地址動態變換圖
攻擊誘捕,定向捕獲
行為捕獲主要分為對主機攻擊行為和應用攻擊行為進行攻擊誘捕,並記錄攻擊的全過程。集中收集所捕獲到的資料,將捕獲到的資料彙集並儲存到一箇中心資料庫中,通過大資料、機器學習等技術對資料進行綜合分析,捕獲到的資料用於研究攻擊者的工具、策略和動機。
主機攻擊行為捕獲
在內網中模擬大量的主機終端,擾亂攻擊者視角,增大攻擊難度。監控和記錄攻擊者在網路內的所有行為,通過蜜罐資料引流技術將攻擊者的攻擊引流到模擬的主機終端上,虛構的作業系統形成蜜罐陷阱,對攻擊者訪問虛構主機做響應並實施捕獲,捕獲的資料包括攻擊IP地址、地理位置、開放埠等與攻擊者相關的所有資料。集中收集所捕獲到的資料,用於後續的攻擊行為分析。
圖3 主機攻擊行為捕獲圖
應用攻擊行為捕獲
對內部網路進行佈陣模擬,採用網路地址轉換、ARP欺騙等技術,在內網部署大量高互動蜜罐系統、蜜罐模擬應用系統,擾亂攻擊者視角,增大攻擊難度。監控和記錄攻擊者在網路內的所有行為,當攻擊者攻擊真實應用系統時,利用蜜罐資料引流技術,將威脅引流到蜜罐模擬應用系統中,並實施行為捕獲和記錄。攻擊記錄包括入侵者五元組,入侵時間,入侵具體業務(如ssh 執行的命令,mysql 操作的資料庫等)以及上傳下載檔案記錄。
圖4 應用攻擊行為捕獲圖
捕獲資料行為分析
通過將捕獲到的異常資料進行行為分析。對捕獲到的攻擊方法、攻擊手段、攻擊日誌、流量協議等資料,從攻擊裝置、位置資訊、資產資訊等不同維度進行分析,並進行反向探測與漏洞掃描,得到其開放埠、服務與版本號、弱口令等資訊。
圖5 攻擊分析報告型別圖
資料分析,策略調整
對資料進行攻擊日誌、流量協議等進行分析,將詳細日誌傳送給系統中其他安全裝置,為網路安全整體決策提供有效依據。通過與防火牆裝置聯動對已被入侵的網路地址和埠進行流量切斷和關閉,使其無法訪問業務系統;通過與防病毒軟體進行聯動,提取病毒的特徵碼,實時更新病毒庫,對網路中的病毒進行查殺;通過與入侵檢測系統進行聯動,對與此次入侵行為相似的異常資料流量進行控制,調整相應安全策略。
行為分析,追蹤溯源
通過行為分析結果,可對指定攻擊者發起、木馬誘騙、漏洞攻擊等不同程度的攻擊追蹤溯源。
木馬誘騙:可使攻擊者下載某個檔案時,替換成木馬檔案,誘騙攻擊者下載安裝,對指定的某個攻擊源IP地址發起木馬誘騙。
漏洞攻擊:可對攻擊者發起漏洞攻擊,掃描攻擊源IP地址,探測攻擊者主機的開放埠資訊、弱口令、漏洞等。
產品優勢
1.化被動為主動,實現高階威脅防禦
依託系統的感知節點、誘餌、狩獵網路的高互動性,誘導攻擊者深度入侵系統,對整個攻擊事件進行復現,清晰掌握攻擊軌跡和行為細節,結合裝置指紋和攻擊者畫像等技術實現攻擊溯源,真正做到化被動防禦為主動防禦。
2.提高攻擊成本,拖延攻擊者時間
通過克隆業務的高模擬感知節點,混淆攻擊者的攻擊目標,讓攻擊者無法命中真實業務系統,提高攻擊者的攻擊成本,主動暴漏攻擊者的身份、攻擊手法、攻擊目的等,從而實現攻擊隔離。
3.精準威脅溯源與攻擊取證
通過對捕獲的攻擊日誌、流量協議從攻擊裝置、位置資訊、資產資訊等不同維度進行分析,形成相應維度的威脅報表和告警資訊,有效發現利用0day漏洞的APT攻擊行為,保護客戶網路免遭0day等攻擊造成的各種風險。
相關文章
- 聚力安全 護航發展丨綠盟科技T-ONE CLOUD助力政務網站系統安全防護Cloud網站
- 新基建下的威脅狩獵|看綠盟綜合威脅分析系統
- 聚力安全 護航發展丨綠盟科技滲透測試服務為政府行業資產安全助力行業
- 信通院釋出蜜罐類產品測評|綠盟科技高階威脅狩獵系統(ATH)脫穎而出
- 聚力安全 護航發展丨強化審計,推動政府行業開發安全“左移”行業
- 防禦系統之正確評估安全威脅(轉)
- 免費好用的開源威脅狩獵工具!
- 【世界資訊保安大會】以資料驅動威脅狩獵
- 綠盟科技高階威脅狩獵解決方案榮獲2021年度通訊產業優秀產品技術方案獎產業
- 安全知識圖譜|威脅建模助力企業“建防禦 抓運營”
- 助力關鍵資訊基礎設施防護,綠盟科技推出威脅情報中心NTI
- 江民病毒威脅預警系統護航外交部網路安全
- 企業上雲安全實踐——公有云業務系統安全威脅與防護
- 車聯網安全威脅分析及防護思路,幾維安全為智慧汽車保駕護航
- Hunter狩獵者機器人系統開發(詳細功能)丨狩獵者機器人Hunter系統開發(案例原始碼)機器人原始碼
- Win10病毒和威脅防護如何關閉_win10系統關閉病毒和威脅防護的方法Win10
- 為新基建保駕護航 威圖驅動機櫃系統智慧發展
- 洞見RSA 2021|網路威脅狩獵——迴歸“樂趣”
- Hunter狩獵者夾子機器人策略分析丨系統開發原理剖析機器人
- 你的郵件安全嗎? 電子郵件威脅與防禦剖析
- 千兆應用入侵防護系統—入侵防禦系統(轉)
- 網路安全守護錦囊丨醫療機構如何防禦勒索病毒?
- CCTV:未知木馬防不勝防 主動防禦是防毒軟體發展方向防毒
- 防禦網路威脅UTM技術解密(圖示)解密
- 綠盟智慧安全運營解決方案 助力水利“建防禦 抓運營”
- 以實力護安全 | 綠盟科技深耕技術守護金融行業多元發展行業
- 網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段
- 狩獵者夾子機器人系統開發(案例開發),Hunter狩獵者夾子機器人系統開發原理詳細機器人
- 智勝空天·安全護航 | 無人機系統安全問題和防護技術無人機
- 守護雲安全,綠盟科技助力推動我國 “網際網路+醫療健康”發展
- 狩獵者Hunter機器人系統開發詳情機器人
- 三分鐘帶你瞭解網路安全主動防禦與被動防禦!
- 使用ATT&CK框架對威脅狩獵的成熟度進行評估框架
- 狩獵者Hunter機器人系統開發丨夾子機器人開發邏輯(原理)機器人
- Cyphort的平臺使高階威脅保護比以往更容易
- 一文帶你瞭解網路安全中的主動防禦與被動防禦!
- 智慧狩獵者Hunter機器人系統開發(定製)機器人
- 伏影實驗室在行動|7*24h攻防演練技術支援和威脅狩獵服務