纯干货|创宇蜜罐攻防演练落地应用方案

  • A+
所属分类:安全闲碎
纯干货|创宇蜜罐攻防演练落地应用方案


攻防实战演练即将拉开序幕,创宇蜜罐为备战中的您呈上一份“硬核”落地应用方案,助您理清思路,高效“备战”。




高频攻击分析+应对策略



创宇蜜罐结合知道创宇多年网络攻防经验,对攻防演练场景下攻击方发起频率最高的攻击路径进行了总结,针对这些潜在问题,逐一制定相对应的主动防御策略,进行有效应对。



针对信息收集


路径分析


攻防演练期间攻击者通常会利用信息公开平台如GitHub、码云、百度网盘、网络空间搜索引擎等互联网入口,并尝试利用信息挖掘脆弱点



应对策略


⚡ 1、构建陷阱:通过构造含有敏感词非关键源代码系统配置文件等信息的蜜罐系统作为吸引攻击者访问的陷阱。


⚡ 2、投放诱饵:在投递诱饵信息的时候,考虑到通过浏览器ID进行溯源成功概率更高,可更多的将诱饵投递到相关信息共享平台上。



针对系统踩点


路径分析


攻击者通过信息收集获取到目标资产信息或账号信息,会选择熟悉系统踩点找寻脆弱点



应对策略


⚡ 1、高度仿真重点系统:围绕攻防演练期间攻击者重点关注的企业真实业务系统仿真,可将已下线的历史业务系统重新上线至蜜罐系统当中,诱导攻击者停留


⚡ 2、模拟定制高仿真场景:结合人工维护的方式对这些域名网站进行如添加交互页面、定期发布集团公告信息、定期后台登录及管理等方式来构建高仿真场景



针对内网横向攻击


路径分析


预设攻击方通过0day等方式可以进入内网,由于攻防演练中获取防守方路径对应分值极大,路径摸排、内网横向攻击往往是攻防演练中必经的攻击过程。



应对策略


⚡ 1、及时攻击感知:内网尽可能多部署感知蜜罐,可通过trunk的方式进行空闲IP绑定,以此覆盖内网所有区域进行攻击感知。


⚡ 2、关键点部署蜜罐:为防止攻击者通过主机访问日志直接摸到真实的主机或运维终端,应将关键节点处的主机上开放部分端口绑定至蜜罐。


⚡ 3、敏感信息诱导攻击:可伪造登录域凭据、RDP连接记录、运维日志、用户文件夹、浏览器浏览记录及相关敏感信息内容来诱惑攻击者进行攻击。



针对实时攻击


攻击分析


攻击者发动实时攻击,防守者需要阻断攻击、记录攻击信息、分析攻击路径、溯源对手信息。这些绝非单纯的数据信息可以胜任的,必须依托于自身产品的攻击感知、记录的能力,还需要扩展其与安全产品的协同防御能力、结合安全大数据的溯源反制、人物画像能力。



应对策略:攻击重定向


⚡ 1、网络攻击检测:创宇蜜罐实时监测网络环境有无攻击流量。


⚡ 2、攻击流重定向:将攻击流重定向引入至部署蜜罐系统当中,实现攻击活动与客户网络环境的安全隔离,确保客户网络环境安全性。



针对攻击分析


应用分析


掌握了攻击者的攻击信息,还要对攻击者的攻击工具、路径、意图等进行进一步分析才可以寻找自身系统及防御漏洞,针对性查漏补缺。



应对策略:漏洞仿真


⚡ 1、仿真场景升级:基于国内最大最丰富的漏洞知识库Seebug,定期通过POC对蜜罐设备中的仿真场景进行升级。


⚡ 2、仿真漏洞设置:蜜罐系统可注入带有较新漏洞、贴合业务服务及应用需求的仿真场景,引诱入侵者对蜜罐进行探测并延长停留时间,精准捕获高风险黑客攻击,保护客户的业务系统。



针对攻击溯源


应用分析


蜜罐在攻防演练场景中应用的最大优势是以攻为守,溯源得分。



应对策略:攻击实时取证


⚡ 1、获取虚拟身份:获取攻击行为数据进行分类溯源处理,实现深度溯源与反渗透,可获取攻击者包括社交媒体身份IP、IM通讯工具ID等更多个人信息。


⚡ 2、关联威胁情报:攻击者常使用VPN/代理等手段发起访问请求,创宇蜜罐可通过其集成的丰富溯源插件获取攻击者的真实IP。创宇蜜罐对每个攻击源IP会建立唯一指纹进行标注,即使攻击者篡改IP也可通过指纹有效关联分析其攻击行为,并将此阶段获取到的信息同步到创宇安全大脑、腾讯威胁情报等大数据平台,构建出准确、全面的威胁情报。




实用部署技巧



分区域部署


创宇蜜罐提供本地感知蜜罐云端诱捕蜜罐两种区域部署方式,同时支持结合使用。


本地感知蜜罐


部署在企业内网区和核心交换区,感知发现攻击者,并将其尽快踢出内网区域。



云端诱捕蜜罐


部署在承载企业业务系统的公有云区,通过诱捕蜜罐、投递诱饵等手段收集攻击者信息,有效追踪和溯源攻击者,并实时监测外网域名探测扫描操作。


纯干货|创宇蜜罐攻防演练落地应用方案



系统仿真应用


围绕攻防演练期间攻击者重点关注的业务应用系统和企业真实业务系统进行蜜罐仿真系统部署。


纯干货|创宇蜜罐攻防演练落地应用方案



网络环境要求


蜜罐管理网址开放指定端口。分别用于管理员SSH登录系统进行管理、页面访问使用、探针与管理中心的单向加密通道等。


纯干货|创宇蜜罐攻防演练落地应用方案

蜜罐探针:为保证更好的感知效果,探针网址建议不做端口限制。



部署实施整体流程


纯干货|创宇蜜罐攻防演练落地应用方案



“甜度”增添计划


创宇蜜罐为了提高防护能力建设、提前布控,达到让蜜罐更具备高仿真性诱惑攻击者的目的,对蜜罐“甜度”增添制定了相关计划。


纯干货|创宇蜜罐攻防演练落地应用方案



攻防对抗本身是一场不对称的技术博弈,一味地进行被动防御,即使不断提高防御手段,往往也只是增加资源投入和成本,并不能起到更好的效果,反而时刻承担着系统与信息被破坏及窃取的风险。


纯干货的创宇蜜罐落地应用方案,欢迎结合自身实际,一一对号入座,希望可以助您高效备战,赢得最终胜利。





纯干货|创宇蜜罐攻防演练落地应用方案
精彩推荐



攻防演练后,一波“重磅单位”感谢信来袭
知道创宇云防御圆满完成2021年两会网络安全保障工作 无一例被黑事件发生
「云蜜罐」成就更强网站防御,全面溯源支撑攻防实战演练



纯干货|创宇蜜罐攻防演练落地应用方案
纯干货|创宇蜜罐攻防演练落地应用方案


👇 点击阅读原文,立即使用创宇蜜罐~

本文始发于微信公众号(知道创宇):纯干货|创宇蜜罐攻防演练落地应用方案

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: