先發制人！360攻擊欺騙防禦系統全面助力攻防演習“紅軍的反擊”

“網路安全的本質是對抗，對抗的本質是攻防兩端能力較量”。當前，網路空間正處於敵強我弱的局面之中，透過“攻防實戰演練”的形式快速找到企業防禦能力缺陷和防守視角缺失，提升網路安全能力和實戰對抗水平已成為常態。

近日，由中國資訊協會資訊保安專業委員會指導，360政企安全集團主辦的網路安全演習全紀錄正式上線。在網路空間對抗中，如何實現如同軍事演習的攻防演練目的，各單位如何做到與攻擊方的鬥智鬥勇，如何應用安全產品進行研判處置，成為新形勢下網路攻防演練專項行動的又一次看點。

在本次攻防實戰演練前夕，防守方已提前預設出可能需要應對的攻擊方式，並佈置了詳盡的應急處置預案，比如在防守邊界提前預設了眾多蜜罐來誘導攻擊者，延緩攻擊者的進攻並加以溯源。在實際攻防演練中，防守方遭遇大規模釣魚郵件攻擊。透過部署在郵件系統後端的檢測平臺，利用360攻擊欺騙防禦系統在攻擊者的必經之路上部署誘餌和陷阱，誘導攻擊者，起到及時發現、延緩攻擊的作用，為安全處置爭取了足夠時間。

事實已經證明，安全產品的誕生就是為了應對攻防實戰，其能力的差距只在於誰更瞭解對手，誰更能預判對手的攻擊意圖與作戰習慣。360政企安全集團打造的這套攻擊欺騙防禦系統正是對“未知攻，焉知防”這句話的最佳實踐。

安全風險分析+應對策略

利用高模擬高互動的欺騙服務誘敵深入

威脅分析：攻防演練期間，攻擊者將廣泛收集目標資產資訊，防守者的目標是汙染攻擊方掌握的資產情報，並誘導攻擊者優先訪問偽裝探針節點，以實現高模擬高互動的誘敵效果。

360攻擊欺騙防禦系統應對策略：構建全鏈路欺騙環境。一方面，360攻擊欺騙防禦系統擁有豐富的欺騙場景，能夠覆蓋攻擊鏈路的每個環節，全面的防護系統安全。系統擁有可放置在真實環境中的輕量蜜標（檔案、URL等形式的誘餌），在攻擊者資訊蒐集階段誘捕迷惑攻擊。

另一方面，360攻擊欺騙防禦系統支援應用級和系統級兩大類高互動蜜罐，能夠模擬企業多種應用場景，為提供使用者自定義模板、加入具備企業特徵的資料，進一步提高欺騙環境的真實性；在蜜罐的基礎上，360攻擊欺騙防禦系統支援使用者依據企業環境自定義可配置的高模擬服務蜜網環境，透過整合各個蜜罐的優勢與特點，將多個蜜罐聯動形成完整的動態虛擬網路，可以很好地感知東西向攻擊流量。 

Deceptive-Response Kill Chain概念

針對自適應部署

威脅分析：

誘捕面的合理部署是影響到防禦效果優劣的重要因素。

360攻擊欺騙防禦系統應對策略：一鍵配置模擬環境。360攻擊欺騙防禦系統支援自適應部署，自研的探測引擎透過對探針所處環境的識別與分析，智慧推薦最符合當前網路環境的欺騙方案，並提供一鍵部署功能，提升運營效率、實現精細化管控。

針對基於攻擊行為分析

威脅分析：掌握了攻擊者的攻擊資訊，同時對攻擊者的攻擊工具、路徑、意圖等進行進一步分析，掌握攻擊趨勢，並利用捕獲到的攻擊資訊進行溯源。

360攻擊欺騙防禦系統應對策略：實現精準告警。一方面，系統內建的行為分析引擎，是基於360內部多年實戰攻防經驗自研的新一代行為分析引擎，能夠識別包括資訊蒐集、武器構建、荷載投遞、漏洞利用等攻擊鏈過程的每一個階段。支援捕獲攻擊資料包、識別攻擊工具、截獲上傳檔案、記錄攻擊命令，以及完整地記錄攻擊流量pcap包、提供攻擊影片回放等功能。不僅能覆蓋常見的埠掃描探測、登入爆破、SSH異常連線、系統命令執行、反彈shell、資料庫連線等操作，還能感知未知威脅。

另一方面，基於蜜網純淨的流量來源，使得攻擊者觸碰即告警、告警即事件，零誤報；在此基礎上，透過對捕獲資料和告警事件的分析，安全人員能夠進一步分析出攻擊意圖，知己知彼，及時做好安全加固，防微杜漸。

時間線告警

針對攻擊溯源

威脅分析：蜜罐在攻防演練場景中應用的最大優勢是以攻為守，溯源得分。

360攻擊欺騙防禦系統應對策略：落實精準定位。威脅溯源打破了攻防不對等的局面，體現了主動防禦的理念。攻擊者在入侵虛假服務、碰觸蜜罐時會引發告警，系統除了能記錄攻擊行為還能識別攻擊者的資訊，如攻擊特徵、攻擊IP以及攻擊者身份資訊等，透過與360安全大腦強大的資料資源進行關聯分析，實現對攻擊者的追蹤溯源。

針對裝置聯動

威脅分析：當攻擊者進行攻擊時，蜜罐誘捕節點能夠迅速檢測到攻擊行為，並且將攻擊流量引入蜜罐系統，使其遠離真實網路，同時延緩攻擊程式，為使用者爭取應急響應時間。與此同時，對攻擊者進行全程監控，詳細記錄攻擊步驟、攻擊工具和攻擊手段，作為日後取證的依據。

360攻擊欺騙防禦系統應對策略：展開多維防禦。360攻擊欺騙防禦系統支援Syslog告警原文外發、SMTP郵件實時告警、雲沙箱樣本分析、威脅情報IOC接入以及開放API等多維度的聯動功能，全方位的保障企業安全系統更快更好地執行。 

聯動防禦體系

安全風險分析+應對策略

目前，360攻擊欺騙防禦系統可根據客戶實際需要，提供雲端安全大腦SaaS訂閱服務和本地安全大腦部署兩種服務模式。

360攻擊欺騙防禦系統誘捕反制示意圖

SaaS訂閱服務

SaaS雲服務部署方案採用360雲伺服器+客戶本地安裝探針的模式，客戶只須在本地部署輕量的探針，保證探針與雲伺服器的網路可達即可快速使用欺騙服務。

l 快速部署：申請24小時內即可開通360攻擊防禦系統服務，便捷高效。

l 節省成本：無需額外購買任何硬體裝置，可基於企業實際需求，自定義使用時間，按需付費，精準量化服務成本。

l 安全專家：360攻擊欺騙防禦系統由專業技術人員統一維護，提供7*24小時技術支援，一旦發現安全風險，安全專家可快速接入，配合客戶進行應急響應，全方位為企業安全保駕護航。

本地私有化部署

360攻擊欺騙防禦系統支援軟硬體部署方式，採用輕量級探針覆蓋攻擊者必經之路，並將實際攻擊流量轉發到蜜網中。

總結篇

眾所周知，真實網路攻防對抗遠比攻防實戰演練更加緊張殘酷，稍有不慎後果將不堪設想。“攻防實戰演練”是日常網路安全威脅的一個縮影，其本身不是目的，提高政府、企業安全意識，運用安全產品提升防護能力才是根本。

360攻擊欺騙防禦系統自問世以來，憑藉針對國家、政府、企業等多樣政企使用者的全方位需求以及360自身強大安全能力，在技術實現、安全服務等多方面不斷創新，幫助更多的政企客戶提升網路安全防禦能力與生態體系的建設、完善。如您想了解產品購買或試用資訊，可撥打垂詢電話：400-0309-360，360政企安全集團將竭誠守護您的安全！