文末免费试用不要错过
在攻防演练的高强度对抗赛场上
硬碰硬从来不是最聪明的选择
“拟态”在大自然中十分常见,很多生物能够跟随环境变化呈现出不同的形态,以提升捕食成功率或躲避天敌。
“拟态”能力在网络安全领域同样适用。
拟态攻击:攻击者伪装自己的身份,隐藏攻击payload,发起绕过、变形、混淆等攻击,使服务器无法分辨普通用户和攻击者的身份。
拟态防御:防御系统伪装自己的身份,模拟真实业务的形态,使攻击者无法分辨业务的真伪,无法感知防御系统的存在,从而混淆攻击者的攻击目标。
攻防演练中,拟态攻击十分常见,这类高级别攻击者甚至还很熟悉防守方业务,不容易被“欺骗”。
为应对这类高级别攻击者,长亭将拟态防御实际落地,推出拟态防护方案。它让同一业务在面对攻击者时,呈现不同状态,同时精准模拟当前业务,让攻击者无法分辨真伪,保护真实业务的同时拖延攻击。
先通过视频了解一下长亭解法
检测+迁移+伪装
拟态防护三步实现1+1>2
能力联动在安全行业一直是老生常谈,实际能实现 1+1>2 的联动方案少之又少。
长亭用拟态防护的思路将防护系统的检测能力和伪装系统的欺骗能力深度结合,并辅以进程热迁移技术作为连接两者的桥梁,事半功倍地提升防御效果。
长亭拟态防护方案架构图
长亭拟态防护方案由检测模块和伪装模块两个组件构成:
检测模块,检测请求的安全性,并根据检测结果引流:
-
无风险,则交由真实服务器处理流量
-
有风险,则迁移至伪装系统处理流量
伪装模块,由拟态蜜罐+蜜网实现,达到两个目的:
-
接受攻击流量,避免攻击请求流入真实服务器
-
动态模拟业务,使攻击者无法分别当前系统的真伪
“伪得真实”——在真实环境中做欺骗
攻防演练中,攻击者对防守方业务往往比较熟悉,普通伪装方案不容易让攻击者“上钩”。
长亭拟态防护方案不再提前定制伪造虚假域名、虚假 IP、虚假端口等信息,默认攻击者与正常用户都会访问真实业务入口,由在入口处集成的检测模块来识别攻击者。
“防得无感”——秒级迁移至拟态蜜罐
检测模块在检测到攻击者时,不会直接中断连接,而是利用热迁移技术将攻击者在几秒之内引流至拟态蜜罐,整个流程攻击者难以察觉。
另一方面,拟态蜜罐是对真实业务的实时动态镜像映射,其服务、形态等与真实业务完全一致。攻击者在被牵引至拟态蜜罐后误认为攻击成功,在蜜网中反复横跳,从而防止攻击者再次发起高强度攻击,减轻防护系统压力。
应用场景
目前长亭拟态防护方案现已实现Web攻击拟态防护、WebShell拟态防护、反弹Shell拟态防护等应用。
主机拟态防护流程示例
在主机防护场景中,攻击者上传WebShell,被牧云(CloudWalker)发现,牧云(CloudWalker)将WebShell转发到拟态蜜罐进行实时模拟,同时把原来的WebShell路径替换成代理。攻击者访问WebShell时,以为是可用的继续渗透,但实际已经被引流至了拟态蜜罐,接触不到真实业务。
Web拟态防护流程示例
在Web防护情境中,当雷池(SafeLine)检测到 Web 攻击时,会将攻击流量转发到拟态蜜罐,拟态蜜罐爬取原站,对业务进行拟态伪装,并将爬取结果返回给攻击者。该攻击者后续产生的所有流量,都被转发给蜜罐。攻击者看到的访问页面跟真实页面完全一样,但实际上已经被引流到了蜜罐,攻击流量不再影响真实业务。
关于拟态防护的更多应用场景长亭也在持续解锁中,欢迎扫描下方二维码试用尝鲜,一同探索高效防护的无限可能。
原文始发于微信公众号(长亭科技):攻防演练别再硬防了!长亭发来拟态防护新思路(文末福利)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论