政企机构蜜罐产品选型应关注6大问题

  • A+
所属分类:云安全
政企机构蜜罐产品选型应关注6大问题


近日,数说安全发布了《中国网络安全蜜罐顶级供应商评估报告》。报告选取了国内20家左右蜜罐厂商的主流产品进行研究,经过行业专家投票及多个环节的详细评估,最终确定了8家进入“中国网络安全蜜罐顶级供应商”,永信至诚春秋云阵新一代蜜罐系统成功入选该目录。


政企机构蜜罐产品选型应关注6大问题


报告认为,当前的蜜罐市场规模初现,未来1-2年将进入快速增长期,除了攻防实战演练传统场景外,常态化内网安全监测场景将成为另一类主流,并驱动产品功能由威胁猎捕向威胁检测方向演变。


此次报告从6个方面近30个功能特性对蜜罐产品进行了全面评估,这些特性也将成为政企机构选择蜜罐产品的一个参考标准。


政企机构蜜罐产品选型应关注6大问题

图片源自报告内容


01

 场景适应性


场景适应性代表了对客户不同应用需求的匹配程度,在攻防实战演练、内网威胁监测、金融/运营商IPv6环境、监管&执法等场景下,客户需求不尽相同。


春秋云阵新一代蜜罐系统以“平行仿真”系列技术为核心,依托永信至诚数年来在网络靶场仿真技术的积累,能够进行细粒度场景仿真,模拟多种典型的独立办公网络、跨地域网络、DMZ区网络、服务器网络、云服务器网络等环境,并且无需串联业务,独立部署,不影响业务的正常运行。在提供多套仿真场景的基础上,春秋云阵的使用者可以简单的利用B/S人机交互界面进行蜜罐靶标或场景的上传、修改、自定义配置等,根据防御的需要快速调整和更新蜜罐的仿真效果,快速实现应对各类应用场景的效果。与春秋云境网络靶场进行联动,还可组建更大规模、更复杂架构、更深度的弹性仿真蜜网,实现防御效果和仿真性的进一步跃升。


同时,春秋云阵新一代蜜罐系统还从攻击者的视角出发,让企业在防御的同时了解攻击者的手段和意图,不仅让入侵者增大攻击代价、徒劳无功,还对入侵者产生巨大的心理威慑,从欺骗、发现、预警、隔离、分析意图等方面来转换攻防角色,解决传统网络攻防不对称这一难题。


政企机构蜜罐产品选型应关注6大问题

春秋云阵新一代蜜罐场景仿真设置



02

 诱导攻击能力


诱导攻击能力代表了产品布置陷阱的能力,无论后端有多么高逼真的仿真资产,也需要通过大范围布置陷阱引诱攻击者进入,否则一切都是徒劳。


春秋云阵新一代蜜罐系统的特点在于“高甜度”设计,一方面凭借仿真能力把“陷阱”做的更加逼真,另一方面支持生成多种诱饵文件、诱饵内容迷惑攻击者,可以生成账号诱饵、文件诱饵、域名诱饵、溯源诱饵、协议诱饵等多种形式和类型的诱饵,大大增加蜜罐被触碰的机会。


防御者可以从后台页面中导出相应诱饵文件或信息,快速喷洒到互联网、内网主机或一些重要信息片段的内部,引诱攻击者进到蜜罐陷阱。在此基础上,蜜罐还支持使用诱捕节点设备等来延伸蜜罐的触角,扩大防御范围,达到以假乱真、虚虚实实的诱导效果。



03

 伪装仿真能力


在诱导攻击者进入后,全面的伪装和仿真可延长攻击者停留时间、引导其执行更多动作,从而为后续的分析和取证提供支撑。


春秋云阵新一代蜜罐系统可以根据防御网络的实际情况选择蜜罐网络的仿真层级和深度,在春秋云阵中默认包含了多种低交互蜜罐、高交互蜜罐、以及行业特色仿真蜜罐等各类单点蜜罐,并将这些蜜罐搭建成为了多个典型的带有多个子网和网络区域的典型网络架构


春秋云阵蜜罐自带爬取学习能力,可以仿真周围的目标应用,像“变色龙”一样将自身隐藏在防御网络内。仿真蜜罐中也按照常规的数据联系,对BANNER信息、账号、权限、数据库字段、数据依存关系等进行相关设计,进一步加强其伪装性和“甜度”,引诱攻击者不断深入蜜罐场景,暴露其动机和技术手段,延缓攻击者时间,从而使防御方牢牢掌握主动权,提升应对突发网络安全事件的应急响应速度。


政企机构蜜罐产品选型应关注6大问题

春秋云阵新一代蜜罐设备管理



04

 检测与分析能力


当攻击者现身后,需要对其入侵的行为进行识别和分析,判断其动机和意图,并输出检测结果进行后续的威胁处置响应。


春秋云阵新一代蜜罐系统内生诱捕机理,任何触碰和进入蜜罐的行为均被详细定位和分析,“攻击即报警,响应即处置”,能够第一时间发现攻击行为,可给其他防御设备和系统抓取精确特征,联动态势感知平台,溯源、定位攻击者与攻击方法。实现网络“监测、预警、处置、修复”的业务闭环,提升网络安全防御水平。


同时,春秋云阵新一代蜜罐系统还独创了“罐内威胁和罐外威胁”双视角分析模式:首先将触碰和探测蜜罐入口的行为定义为罐外威胁,而将真正通过漏洞利用等方式进入到蜜罐仿真场景后的行为定义为罐内威胁。通常罐外威胁数据量较大,有大量的探测和尝试行为;而罐内威胁则基本是攻击者明确的攻击行为,数量较少,但行为轨迹明确而简练。


政企机构蜜罐产品选型应关注6大问题

春秋云阵新一代蜜罐罐外威胁统计



05

 攻击取证和溯源反制能力


通过对攻击行为的全面记录,为全局态势感知与安全大数据分析提供证据信息,溯源和反制在攻防实战演练监管&执法场景下是客户最主要的需求之一。


春秋云阵新一代蜜罐系统具备完整的威胁ip画像能力,针对任意一个威胁ip,可对其攻击的整个尝试和渗透过程进行基于时间线的展示,清晰的呈现出攻击者的各类虚拟身份信息、攻击手法、攻击路径及结果等信息,并通过与内置的数十万条威胁情报、攻击模型等的碰撞匹配,一目了然的掌握其攻击方式方法、目的及路径等。在发现入侵时监控攻击者、分析定位攻击,做到实时掌握攻击态势,变被动为主动,保护真正的核心信息资产免受侵害,同时全程记录攻击轨迹和行为,能够实现攻击行为的快速取证溯源。


政企机构蜜罐产品选型应关注6大问题

春秋云阵新一代蜜罐威胁IP分布



06

 管理和易用性


管理和易用性代表了产品在后续运营维护方面的成本,良好的管理能力将有利于产品发挥更大的应用价值。


春秋云阵新一代蜜罐系统的数据可视化展示技术能够让用户清晰、直观的了解所面临的安全威胁,简化网络安全运维工作的复杂度。同时,不影响现有网络的安全架构,低成本、易部署、零误报,简化网络安全运维工作的复杂程度,有效增强实际业务网络的安全防护能力。


政企机构蜜罐产品选型应关注6大问题

春秋云阵新一代蜜罐总体分析页面



报告在最后也给出了专业的购买建议,政企机构在选择蜜罐时首要确定自身的使用场景,不同的场景对于蜜罐的能力需求有所不同。蜜罐会产生大量的安全事件和告警信息,良好界面感观和展示逻辑会有助于使用者快速掌握全局现状。政企机构还需要了解各厂商提供的服务内容和方式,只有好的运营和响应机制蜜罐才能体现更大的价值。


政企机构蜜罐产品选型应关注6大问题


往期精选 

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题

政企机构蜜罐产品选型应关注6大问题


 重大赛事 

政企机构蜜罐产品选型应关注6大问题


核心产品

政企机构蜜罐产品选型应关注6大问题


 完 

政企机构蜜罐产品选型应关注6大问题


政企机构蜜罐产品选型应关注6大问题

阅读原文,查看《中国网络安全蜜罐顶级供应商评估报告》详细信息

本文始发于微信公众号(永信至诚):政企机构蜜罐产品选型应关注6大问题

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: