全文共1275字,阅读大约需4分钟。
//
网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。
在攻防这场“无声硝烟”中,攻击方遇上蜜罐时纷纷苦不堪言,分分钟暴露无遗,遗憾出局。攻击者们避之不及的蜜罐,乃是绿盟高级威胁狩猎系统(ATH)的看家本领,不仅招招可让攻击者难过,还可以让防守者们实现姜太公钓鱼,愿者上钩。ATH将提供标准化硬件型号、国产化硬件型号、虚拟化型号,以应对客户不同场景的多样化需求。笑傲攻防演练的江湖,绿盟高级威胁狩猎系统(ATH)助力网安勇士,踏平攻防。
攻防博弈中的防守之道
知己知彼
我知道你想要什么。
通常情况下,攻击者会在攻击前期对目标信息系统进行全面的信息收集,以期望找到处于严控防护手段之外的站点或路径,利用漏洞获取Web服务器权限,或者采用0day攻击、社会工程学、物理入侵等手段突破或绕过边界防护,进入内网。
防守方应当提前分析自身网络特性,找到攻击者最可能“光顾”的区域,加强防护的同时,在相应区域内的关键信息节点部署ATH,使攻击者在信息收集阶段受到干扰,进而诱导攻击者对蜜罐发动攻击。
监察敌情
你看见的,是别人想让你看见的。
攻击者在进行信息收集时,会借用各类扫描工具向目标资产发送探测请求,进行信息收集。这些由探测工具发送的各类探测包,属于异常网络行为,这些探测行为背后,酝酿着各类可能发生的攻击动作。
ATH能够监控和记录攻击者扫描并进入蜜罐后的所有动作。Web类的蜜罐还可识别和记录攻击者使用的攻击方法和攻击载荷,可作为判断攻击者意图的重要依据。防守方将由ATH收集的信息汇总至欺骗伪装平台,由平台进行统一分析,根据攻击者的攻击意图战略调整监控防御节点,做到因“敌”制宜。
诱敌深入
关城门,迎敌!
攻防演练前,攻击方广泛收集目标资产信息,防守方的目标是污染攻击方掌握的资产情报,并诱导攻击者优先访问仿真节点。
这时采用ATH模拟真实资产,制作具有真实性和迷惑性的Web蜜罐,并将仿真Web蜜罐、通用Web蜜罐等及早映射至互联网,诱导攻击者进入欺骗伪装系统,以增加攻击者“上钩”概率为上上策。
强强联合
能合众力者,则能无敌于天下。
攻防演练中,WAF和IPS作为Web应用的重要防线,能够识别出大部分攻击行为,为获取更多攻击者信息,在演练中,ATH支持与绿盟WAF、IPS进行联动,将可疑访问转发至蜜罐中,与攻击者进行周旋,采集攻击者信息。
溯源分析
我把它们“调教”好了,日行千里,最善识途。
俗话说“擒贼先擒王”,遇到攻击者入侵进来时,首先需要定位来者何人,以便后续展开溯源分析,还原完整的攻击行为,为后续的风险处置、提高整体安全性等提供闭环的依据支撑。攻防演练活动中,防守方对攻击方行为、身份信息、地理位置信息等进行分析和判断,并向指挥部报告,可获得加分。因此,防守方在发现和研判攻击事件时,使用ATH实现采集和记录攻击行为和身份信息,助力大考加分。
通过以上多维度、全方位的诱捕,将有效延缓和阻断攻击,保护真实业务资产,并为防守方的安全防御体系的进一步加固提供高价值参考。当捕获到足够的攻击者信息后,绿盟威胁狩猎团队将基于ATH蜜罐系统,迅速对捕获到的攻击信息进行量化分析,协助防守方溯源取证。
点击阅读原文了解绿盟高级威胁狩猎系统(ATH)
原文始发于微信公众号(绿盟科技):攻防论道|利刃出鞘,攻防博弈中的防守之道
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论