freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

锦行科技新发布的“幻云”,要为黑客制造“盗梦空间”
2016-11-23 09:20:32

* FreeBuf官方报道,作者:孙毛毛,转载请注明来自FreeBuf.COM

11月22日在京举行的锦行幻云发布会现场,安全界的老前辈谢朝霞提到,对于网络安全行业来说,先驱的时代已经过去了,无论是国家最新颁布的网络安全法还是各企业公司安全意识的不断提高,都能够说明现在正是各类网络安全产品万马奔腾的最好时期。就是这么一个有钱有人才有技术的黄金时期,现实中的安全情况却恰恰相反。

最近几年连续有影响力较大的事件曝光:无论你是财富500强企业也好,或者自己本来就是安全厂商,甚至原本就是窃取他人数据的组织,都不可避免的遭受了系统被入侵或数据被泄露的尴尬境地。想要解决这个问题,在幻云的创造者,广州锦行科技的团队看来,要从最基本的攻防关系讲起。

8c13e5c.jpg

不在同一维度上的攻防关系

在昨天攻击态势感知平台“幻云”正式上线的发布会中,锦行科技首席安全官王俊卿(老王)专门提到,攻击者和防御者从一开始就不在一个维度上,目前绝大多数的网络攻防的存在不对称性。他的这种说法其实很容易理解,如果单纯从防御者的宏观角度来说,在数据被泄露之前大家都觉得自己是安全的,谁会每天怀疑自己的系统存在安全缺陷呢?但是如果从攻击者的微观角度来审视目前存在的防御体系,他们会更关注如何绕过目标的防护手段。在双方关注点完全不一样的情况下,最终导致的结果就是你防你的,我攻我的。攻防不在一个维度上!

209809809182.jpg 

锦行科技首席安全官王俊卿

具体而言,攻击者一旦通过某种新型技术绕过了企业现有的防御手段,企业往往会陷入“谁进来了不知道、是敌是友不知道、干了什么不知道”的被动局面。而且现在被大家广泛利用的安全策略更多的都是站在防御的角度,那么谁又能保证你防御的就一定是攻击者想攻的地方呢?

所以王俊卿便提到了目前内网防护的弱点有以下几个方面。

首先安全是有时间效力的,就算是发现了安全漏洞,响应也需要时间,而这个时间差说不定恰好会被入侵者所利用。

而且目前针对内网的安全防护更多的都是从网络上去防御的、只有差不多0.5%的主机安装了杀毒软件,也没有太多针对主机安全加固和安全器械的产品,大部分企业只能通过管理员这样的软性手段来保证安全。

就算是可以通过攻防演练的记录分析出攻击者的来源和手段,但这个前提是企业已经遭到攻击之后。一旦攻击者突破了企业的边界防御,企业会受到大量的安全告警,又该如何在其中识别出真正的攻击?

一般企业在遭到攻击之后,最先想到的就是要把攻击者赶出去。但是之后呢?攻击者到底掌握了多少信息,多少入侵通道,他入侵的动机是什么,基本都只能靠猜测。完美的入侵一般都是安静的,并没有华丽的特效,却可能决定一家企业的生死。到底该如何分析攻击者的行为就要回到今天的重点,幻云。

梦境还是现实?

幻云,作为一个攻击态势感知平台,像是个“异次元空间”。幻云利用各种类型的蜜罐技术,营造了一个让攻击者无法区分真假的网络空间,其中没有任何参照物能让攻击者分辨出当前所处的位置到底是真是假,还可以全方位地观察和分析攻击者,预测他的攻击意图,并且通过行为分析,掌握攻击者在真实情况下所处的环境。

下图就是此次发布会的签到小礼品,借鉴了《盗梦空间》电影中陀螺的寓意,分辨你现在是在梦境还是现实中,虽然这个陀螺要平稳地转起来还真是不容易...但当它转起来的时候,还真有了点儿分不清现实和梦境的意思,这大概也是幻云之所以名为幻云的原因。

668890016423084834.jpg

总得说来,幻云完全摒弃了防御者的思路,以攻击者的角度来思考问题。它的功能可以总结为:防御+威慑。

首先幻云是一款基于欺骗诱导和信息的防御产品,而且对传统的防御产品而言,幻云起到的是与其相互补充的作用。锦行科技的COO董梁专门强调了传统防御产品的必要性和不可替代性。他还谈到与幻云的团队一拍即合,从攻击者的角度来做安全产品的理念,为此他成了“负心汉”,离开工作四年多的腾讯安全,来到了锦行科技。

董梁也提到高度静默是入侵的最高追求,很多企业都是在数据被公开后才承认自己遭到了攻击,其实敌人很有可能已经在企业内网中潜伏了很久。

幻云团队分析总结了大量案例,根据企业的业务特性为其搭建虚假网络空间,期望能够起到捕获作用。因为蜜罐是被动防御的,那么又怎么保证敌人一定会触发陷阱呢?这就是为什么要了解攻击者的习性、思维模式和特征,这样才能布置出对敌人来说最致命的陷阱。一旦发现攻击者入侵,幻云会向系统备份人、负责人进行短信、邮件、电话不同层级的报警,让企业及时感知到自己所遭受的威胁,尽快为下一步的应急工作制定相应策略。

55CE5B39960D784827EF81550F05CAC8.jpg

企业在遭到攻击之后,如何做到让“攻击者徒劳无功”?幻云内网在依靠企业中的主场优势,控制住入侵者,其实有经验的攻击者很容易识破单个蜜罐,幻云会通过各种类型的蜜罐打造一个类似于迷宫的内网环境,敌人进来出不去,到不了真实环境,起到拖延甚至消除敌人可能造成损失的可能性,为企业的应急提供时间。尽可能的为遭到攻击的企业止损。

另一方面,让入侵者感受到自己的无能为力,幻云的虚实难辨可能对他们产生一定的心理威慑。只要入侵者担心自己的技术手段遭曝光,或者真实身份被披露,幻云威慑作用的重要性就体现出来了。

董梁认为最重要的一点,就是要预测敌人的意图,尽可能的斩草除根。幻云可以在赶走入侵者之后,结合他们的行为来分析意图,他们为什么来,想要获得什么?或者说他们已经获得了什么?知道了这些,就可以在关键节点上加固保护,虽然不能一劳永逸,但也是未雨绸缪。

最后,就像案件侦破很大程度上需要完整的犯罪现场来进行取证,幻云会完整记录攻击者的一举一动,其实可以说它最大的价值就体现在用相对低成本的简便方式帮企业完成原本复杂昂贵的取证工作,同时对入侵者起到一定的心理震慑作用。

如何实现?

发布会上,人称大师兄的项目总监胡鹏从技术角度解析了幻云,其产品架构如下图所示。产品的架构,是中心+端的模式,多个端点像触角一样深入到客户的业务网络内部,再分布到不同的子网中,通过这些感应节点可以及时的发现攻击者。端点还可以把攻击者的流量转移到幻云系统所构建的环境中,感应节点好像是陷阱入口。从攻击的角度来看,这个环境和真实的业务环境没有区别,攻击者无法区分哪个是真哪个是假。客户一键式操作可以完成部署。

77824576364831519.jpg

攻击者通过感应节点进入了幻云的蜜场环境中,为了尽量地迷惑攻击者,幻云还仿真了业务的访问活动,诱骗攻击者在这个环境中展开攻击。同时为了保证安全性,攻击者所做的所有的攻击都被隔离的。蜜场环境就像一个舞台,让攻击者尽情的表演,但是攻击者不知道的,所有的表演已经被我们采集系统记录下来了。

保存的数据经过预处理会交给鉴影分析系统,试图分析获得攻击者的真实意图。这里的鉴影分析系统就相当于产品的大脑。分析结果会通过短信、邮件等方式发送给客户,让客户充分了解整个攻击过程。同时在幻云捕捉到攻击者的数据后可以通过一定的格式和其他的安全产品联动,客户可以选择是否阻断攻击。

幻云的核心技术主要是以下几个:

546798791359706661.jpg

对应实现的技术效果分别是:

蜜场

快速部署环境、陷阱

获取攻击者的行为数据

实现更准确的攻击者画像

617884936737514909.jpg

幻云主要的功能包括四个部分,攻击欺骗,相当于诱敌深入,通过多种欺骗手段把攻击者诱骗到我们的产品中。

幻云一感应到入侵行为,就会启动预警系统,预警方式比较灵活,目前支持的预警类型有50多种,近70种攻击类型。我们可以按照攻击行为的危险等级进行分类,可以选择低危报警还是高危报警。

攻击行为分析是幻云的核心功能,会根据一定的规则来分类和梳理,让攻击过程更清晰。有相应的命令和指令或者视频回放功能,因为攻击者一般都会使用自己熟悉的方式,所以可通过攻击路径的分析知道攻击者的技术水平。

攻击数据管理,安全专家和客户可从各个维度来了解攻击数据。

目前幻云共有针对不同企业的不同发展阶段共有两个版本,其中互联网版本主要是针对中小型企业,是免费的。这种服务设置在云端,企业需要把感应节点布置在内网当中,一旦被入侵幻云会及时报警。

还有一种是针对于中后期企业的收费版本,一般需要内网和外网分离,由安全专家专门定制,功能更多,包括行为分析、还原取证、针对企业的业务特性来服务。

IMG_0021.JPG

至于幻云之后的发展,团队表示会将全部精力放在优化产品上。董梁说到幻云是不专门针对某个行业的,而会做行业公司的定制化,幻云会输出一个标准化格式的威胁情报。因为黑客或者黑产永远不会针对某一家公司,所以之后幻云可能会对某些行业做威胁情报共享。实际上,我们也在最近描绘有关威胁情报的产品中谈到了攻防不对称的问题。这种对蜜罐的利用,或威胁情报的及时更新,或许的确能在一定程度上改善攻防不对称的局面。

* FreeBuf官方报道,作者:孙毛毛,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 蜜罐 # 幻云 # 广州锦行
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑