开盒开盒,除了“开盲盒”,当下颇为热议的当属“开盒挂人”了。
“开盒挂人”是一种新式网络暴力违法犯罪行为。不法分子通过非法手段进行网络搜索、挖掘、搜集个人隐私信息,将这些内容在网络公开发布。这种行为不仅侵犯了他人的隐私权和名誉权,还会给受害者带来严重的心理和社会压力,甚至影响到他们的日常生活。
值得一提的是,在某些情境下,信息系统也有可能遭遇“被开盒”。 当攻击者突破端口入侵至信息系统内部窃取系统中的数据信息,该信息系统便类似于遭到了“被开盒”。
数字化浪潮席卷下,人工智能、云计算、大数据等新一代信息技术日新月异。技术的革新促使网络数据服务与应用迅猛发展,亦催生出更为多元的网络攻击入侵形式。面对攻击者“花样开盒式”的攻击手法,依赖安全工具进行被动防御的传统防御方式难免鞭长莫及。一方面,丰富的应用场景催生出更为广泛的攻击面,面对手法更为隐蔽、破坏力更为显著、攻击持续时间更长的攻击手段,企业遭受信息系统入侵的成本随之增长,传统以堵、杀、防为主的安全防护往往难以更好地满足企业内网防御需求。另一方面,传统防御大多依赖安全工具进行被动防守,而此类工具往往需要先提取威胁特征码再进行查杀等处理,这就导致防御处置响应与攻击之间存在较长时间差,面对新型威胁具有一定的处理滞后风险,且可能具有较高误报率,导致额外的成本消耗。
这一来二去之间,却叫攻击者一时夺得了“开盒系统”的主动权。
何解?
兵者,诡道也。
在不断涌现的新型安全威胁面前,敌暗我明,被动防守往往难以及时应对。对此,安全专家们深知,唯有分析敌方战术先发制人、主动对抗,才能在复杂的网络环境中抢占防御先机。
在此背景下,「欺骗伪装技术」应运而生。
正可谓,以彼之道还施彼身;善动敌者,形之,敌必从之;予之,敌必取之。如你所见,上图描绘了一个典型的欺骗伪装技术应用场景——蜜罐(Honeypots)场景。通常情况下,攻击者常常利用对外开放的站点、服务上存在的漏洞、未经严格控制而开放的测试站点等脆弱点作为突破口,或采用社会工程学、物理入侵等手段突破或绕过边界防护、入侵内网,对目标信息系统开展信息收集。当企业先发制人,锁定其相应的薄弱区域,在其关键信息节点部署内置虚假系统和服务的蜜罐、诱导攻击者对蜜罐发动攻击,便有望先敌一步,干扰攻击者的信息收集效率及准确性,从而为后续的攻击溯源和攻击行为分析积累防御与反制线索。
其实,早在2016年、2017年,全球知名咨询机构Gartner便在当时的Top 技术趋势中反复提及了欺骗伪装(Deception)技术,并评价该技术是“对现有安全防护体系产生深远影响的安全技术发展趋势。”作为一种诱敌深入、“反套路”式的主动防御技术手段,欺骗伪装技术的核心在于通过模拟真实的网络环境和系统,诱使攻击者暴露其意图和方法,从而帮助防守方提前发现并阻断潜在的威胁。其中,蜜罐(Honeypots)、蜜网(Honeynets)、欺骗性响应(Deceptive Responses)等,都是欺骗伪装技术的典型应用场景。
面向数字时代的新型安全威胁风险与挑战,这种立足动态防御的欺骗伪装技术,不仅能够有效提升系统的安全性,还能够为安全团队提供宝贵的攻击情报,以便安全专家及时采取更为精准的防御措施,知己知彼,先敌一手,克敌制胜。
长亭谛听(D-Sensor)伪装欺骗系统,是由长亭科技自主研发的国内首款欺骗伪装类产品,也是国内首个蜜罐类产品《IT产品信息安全认证证书》获得者。
身为一家发端于网络攻防实战赛场、身具“最了解攻击的防守队伍”美誉的新一代网络安全公司,长亭科技将攻防基因与“以攻量防”的实战经验能力植入产品,对长亭谛听(D-Sensor)进行算法升级,并通过攻击牵制、溯源反制、攻击诱捕、攻击分析等能力,多维覆盖网络攻击的完整生命周期,以智能为驱动,解决企业内网防护难以察觉、难以明确、难以追溯三大难题。同时,长亭科技发挥自研产品家族联动之优势,以AI大模型、WAF等能力加持欺骗防御效果,赋予长亭谛听(D-Sensor)灵活的、主动的诱捕模式,纵深打造内网保护屏障,保障企业业务连续性与平稳运行。
“国内首款”又如何?我有AI工具加持,攻击面那么多,你算得准、顾得过来吗?
“以其人之道还治其人之身”了解一下?与时俱进嘛。
真真假假假假真真,直叫人真伪难辨。究极的“伪装防御者”,总能综合利用容器、软件、硬件各类形态探针与真实业务构建虚实结合的环境,诱敌深入。长亭谛听(D-Sensor)伪装欺骗系统,做到了。
诚然,想要充分发挥欺骗伪装防御效果,绕不开提高攻击者的“触雷”概率。长亭谛听(D-Sensor)结合多年服务经验,基于传统“管理节点-探针”旁路轻量化部署架构,研发了可灵活编排的欺骗伪装网络虚拟能力。该能力能够支持企业根据实际网络区域划分和伪装欺骗系统覆盖度的需要,在网络中旁路虚拟出大量主机、服务资产,并随时通过Web界面动态调整,实现集灵活管理、快速上架、资源节约、仿真高效于一体的系统化内网欺骗防御覆盖方案。
此外,长亭谛听(D-Sensor)配备有支持多IP、可大范围覆盖内网、可部署于真实网络环境中的探针。当探针发现异常访问时,可迅速将异常访问流量重新定向至与其关联的蜜罐服务中,从而诱导攻击者进入数个蜜罐组合而成的蜜网环境,达成诱敌深入的效果。这种全线防护“网络杀伤链”、能够诱导攻击者在攻击之初的信息收集阶段便窃取到虚假数据,从而干扰攻击者“开盒系统”、消耗其精力、牵制其攻击进程,为防守方赢得宝贵的威胁处置主动权。
你有过墙梯,我有张良计。数字时代,面对长期潜伏、手持AI工具的攻击者,以AI反制AI可谓是是企业防御策略中亟待思考的重要一环。得益于长亭自研产品家族广泛的应用场景覆盖与灵活的功能耦合优势,长亭谛听(D-Sensor)伪装欺骗系统能够与长亭问津(ChaitinAI)安全大模型强强联手,以AI能力赋能高度仿真交互与分析研判,为防御提质增效、节约威胁应对所需的资源及人力成本。
高度仿真的诱饵与服务环境,是伪装欺骗系统诱敌深入的关键。长亭谛听(D-Sensor)立足攻击视角、以AI大模型能力加持开展主动防御策略,一方面,能够通过长亭问津(ChaitinAI)安全大模型借鉴社工伪装思路,提升诱饵的复杂度与真实度,生成与真实业务相似度更高的诱饵数据,甚至实现社工背景下大模型模拟真人与攻击者交互的精准仿真效果;另一方面,产品自身内置多种蜜罐类型,不仅支持模拟常见的服务、主机、数据、中间件、漏洞特征、工控协议/组件、5G核心网元等,还能够在复杂、高交互需求的蜜罐制作过程中,调用蜜罐智能学习功能进行人机交互模拟和响应记录,再将其封装成企业仿真蜜罐,使攻击者与蜜罐交互时难辨真假,从而有效牵制攻击进程,为企业的威胁防御处置和精准溯源赢得宝贵时间。
企业运行伪装欺骗系统时,捕获的流量一般为非法流量,如何快速识别攻击者意图、提取攻击payload、了解攻击手法等信息,对争取防守时间、抢占先手优势至关重要。面对庞大的流量日志,依托长亭问津(ChaitinAI)安全大模型的智能化、自动化分析研判能力,企业能够根据已有的攻击流量信息智能识别、分析不同的攻击类型,研判攻击行为的真实性,并将需要重点关注的攻击源反馈给安全运营团队,从而帮助企业在欺骗防御的威胁分析&处置环节节约人力、以大模型+人工,智能化提升分析研判效率。
攻防对抗的竞技场里,分秒必争。想要充分发挥欺骗防御效果,落地高质且高效的诱饵、服务部署不容忽视。长亭谛听(D-Sensor)伪装欺骗系统与长亭问津(ChaitinAI)安全大模型携手出击,达成AI+人工的高效工作流程,保障欺骗防御效果更高效、更智能。这里,以安全大模型X蜜罐场景为例,奉上一份详实的【实用锦囊】👇👇👇
继排兵布阵、设下重重“陷阱”主动诱捕之后,取证与溯源对后续的威胁处置与资产保护具有重要意义。长亭谛听(D-Sensor)伪装欺骗系统能够通过覆盖各攻击阶段的十余种溯源反制技术迅速获取踩中诱饵及仿真服务的攻击者主机信息、浏览器信息、真实或代理IP等关键信息,并及时采集其攻击行为特征、多维取证,对攻击者的攻击行为及画像进行综合性分析研判。
同时,长亭谛听(D-Sensor)还能够直接“调用外部资源”,产品支持集成外部威胁情报资源。这意味着,其能够在攻击早期直接获取部分攻击者的威胁等级、威胁标签、设备类型、注册域名等信息,做到先发制人,及时、适时地帮助企业动态调整安全策略、保障企业核心业务资产安全。
长亭科技顺应国家战略导向与市场需求,近年来持续完善产品的信创、国产化适配,先后与海光、华为鲲鹏、统信UOS等众多生态合作伙伴完成兼容认证,多维融入国产化生态。
作为长亭科技明星自研产品之一,长亭谛听(D-Sensor)伪装欺骗系统可达成全产品代码级自主可控,满足「CPU+操作系统+数据库+中间件」的全栈国产化要求。同时,Docker架构的技术优势可以轻松实现虚拟化和容器环境部署,赋能更为丰富的信创部署及业务环境需求。
同时,长亭谛听(D-Sensor)通过旁路部署方式接入客户网络,采用“管理节点-蜜罐-探针”的轻量化架构设计与虚拟流量分发技术。这种轻量化的部署模式,使其仅需占用少量的计算、网络、机房资源,即可实现客户全网络的欺骗防御覆盖。在运营管理方面,产品部署的蜜罐和探针能够实现平台上统一管理。这使其在运行阶段更易于维护,管理更具人性化,从而保障企业多业务场景下的高稳定性、高可靠性、高效率、高定制化的欺骗防御部署需要,主动出击,反制攻击者“开盒真实系统”。
原文始发于微信公众号(长亭安全观察):系统“被开盒”? 你可以这样反套路!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论