事件背景
某企业集团是大型国有企业,在历经国家级攻防演练时,发现自身现有安全防护技术手段中,缺乏可以有效快速拦截来自高级持续性威胁APT的恶意攻击行为(高级威胁通常利用定制恶意软件、0Day漏洞或高级逃逸技术,突破防火墙、IPS、AV等基于特征的传统防御检测设备,针对系统未及时修复的已知漏洞、未知漏洞进行攻击)。仅依靠已有的各类传统安全监测与防护设备,无法形成联动防御体系,无法实现一点攻击全网防护,从而造成安全处置人员疲于应对监测分析组的海量拦截处置需求,且效果不佳。
同时目前网络使用广泛的阻断技术主要为串联部署,例如防火墙、IPS、WAF等设备,将阻断设备部署到出口网络干路上,所有外部网络访问内部服务器的流量均需要经过这些设备,由设备安全策略决定放行或拒绝。此方式对各设备数据流处理能力要求较高,任何一环的负荷超载都会导致出口网瘫痪。
解决方案
过去几年间,国家、各行业和各企业举办了大量的攻防演习。在这些攻防演习中,防守方大部分时间都处于被动防守的状态,因此任何的防护措施上的疏漏都会导致演习防守的失败。引入蜜罐欺骗防御系统后,防守方可以彻底的改变攻防不对等的状况,有效的增加攻击者攻击的难度、延缓攻击进程,增加防守方主动溯源和反制能力,提升防守方在护网过程中获得佳绩的能力。
为此,该集团在总结复盘后,综合考虑其现网结构以及现有安全监测技术手段,结合日常与演习期间出现的各类安全事件诱因分析,最终采取在其内网核心交换机位置部署**幻云蜜罐欺骗防御系统+旁路阻断系统,有效针对高级持续性威胁APT进行攻击诱捕与拦截,同时可针对攻击特征识别进行有效封堵。旁路阻断设备与幻云蜜罐欺骗防御平台进行对接,接收所有来自蜜罐平台下发的阻断策略,形成多规则自动化封堵,实现常态化高风险安全事件自动闭环处置,以及特殊时期海量安全事件快速自动化处置拦截。**从而为该集团在内部安全防护能力验证测试期间有效抵御大量攻击事件。
(图-网络部署图)
本方案首先在核心交换机旁路部署蜜罐欺骗防御系统,构建高度仿真的业务蜜网,诱惑攻击行为实现攻击捕获,全程记录攻击轨迹和行为,快速取证溯源,打破攻防不对称的局面,实现主动威胁防御的有效补充;同时结合蜜罐发现的威胁情报,联动旁路阻断系统及时的阻断威胁流量,极大增强了实战攻防演习过程中的针对网络高级威胁攻击的对抗能力。
蜜罐是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而对攻击行为进行捕获和分析。在一定程度上改变了以往“攻在暗,守在明”的局势。通过引入蜜罐技术,防守者不仅可以更全面地感知到攻击者的态势,还能改变原来被动修建堡垒的防御思路,虚实结合,将攻击者引入事先准备好的诱捕陷阱中,做到主动出击。
旁路阻断系统采用旁路注入的流量阻断技术,在实现灵活部署的同时,**在不需改变现有的网络结构的情况下,可对上下行流量进行精准检测,且旁路架构不会对网络稳定性、转发性能造成任何影响,任意一方收到阻断流量都会终止TCP连接。**此外,旁路阻断系统还结合了最新的攻击检测和阻断技术,具有智能化的防范攻击能力,能够准确区分正常用户访问和攻击者的恶意行为,对攻击行为进行实时阻断和报警,全面保障网络安全性,降低安全风险。
**#**方案特色
增防降压:通过引入蜜罐欺骗防御能力,防守方增强了网络防御能力,改变了攻防双方不对等的态势,蜜罐技术吸引了攻击者的注意力,混淆其攻击路线,从而降低其他安全设备的压力,提升整体防护效果。
协同阻断:当蜜罐系统监测捕获到攻击后,通过联动旁路阻断系统的协同联防策略实现对攻击流量的快速阻断,或将其引入攻击欺骗的场景中,让其无法达成攻击的目的。
联动处置:旁路阻断系统也可联动各类安全检测和威胁情报产品,对接阻断IP、域名请求,实现对风险的处置闭环;也可以联动各类蜜罐设备,将攻击流量重定向到蜜罐设备,达到攻击欺骗、攻击溯源、攻击反制的目的。
精确管控:旁路阻断系统在不影响正常流量的情况下,针对安全事件均可实现精准、智能、细粒度的多维打击和管控,帮助企业实现有效的安全管控,同时快速响应指令,一键拦截访问,避免企业在各类场景中因设备告警分析不及时所导致的不可控的安全事件影响。
# 方案价值
伪装欺骗,攻击诱捕**:**蜜罐通过仿真客户环境,建立仿真业务系统、PC机、数据库等,诱导攻击者对其实施攻击。降低攻击者入侵真实目标的概率,拖延攻击时间,给防守方提供更大的缓冲时间。攻防演练全过程干扰、诱捕、取证、溯源和反制红队攻击者;帮助蓝队精准定位攻击成员,还原攻击过程,最终得分。
**快速处置,精准拦截:**旁路阻断设备采用旁路报文注入的流量阻断技术,同时提供应用级的安全检测和防御手段,还具备智能化的检测和阻断攻击能力。它弥补了传统IDS/IPS等网络安全产品诸多缺陷,包括误报率高、部署方式不够灵活、无法拦截应用层攻击以及无法应对智能化的攻击手段等。它还能够监测网络中的全流量,能够准确发现恶意请求和攻击,并能够阻断TCP连接,对攻击行为进行实时阻断和报警,全面提升了高强度网络攻击的应对能力。
双向联动,安全闭环:该集团将旁路阻断设备与幻云蜜罐欺骗防御平台进行对接,实现依据其现有蜜罐欺骗防御平台的威胁情报,灵活快速处置安全事件,自平台上线以来,集团累计封禁5万条恶意IP地址,其中自动化封禁恶意攻击IP近4万余条,累计拦截恶意攻击6500万次以上。协助安全运营团队实现常态化互联网攻击事件以及内网恶意外联事件的按需自动封禁与闭环处置。
推 荐 阅 读