传统防御方式的主旨是将攻击者拒之门外,然而随着攻击手段的多样化、隐蔽化、复杂化,传统的防御方式往往疲于应付,比如利用0day漏洞的APT攻击,传统的基于规则和特征库的安全产品很难察觉。出现问题时安全运维人员只能做事后修补,而实际上攻击者早已渗透到内网并潜伏。企业需要一种技术手段,主动对抗攻击行为,采取有利于防守方的技术措施,对攻击者形成震慑,保护数据安全。
为了改变网络空间攻守力量不对称性,弥补传统防御方式的不足,快速感知威胁、延缓攻击、保护资产安全,欺骗伪装技术应运而生。
简介
威胁狩猎服务是阿里云基于多年网络攻防经验推出的一款欺骗伪装类产品。威胁狩猎基于欺骗伪装技术,通过在攻击者入侵的关键路径上部署诱饵和陷阱,诱导攻击者进入与真实网络隔离的蜜网,让攻击者在蜜网中攻击“假”目标、获取虚假数据。在此过程中,威胁狩猎能完整记录攻击者行为,捕获高级未知攻击,并且可以对攻击者做追踪溯源,提供先人一步的主动防御手段,保护真实资产,提升主动防御能力。
产品价值
-
扰乱攻击者视线,延缓攻击进程,间接保护真实资产
利用欺骗伪装技术模拟真实Web服务、主机、数据库等,在攻击者渗透到内网时,混淆攻击者视线,使其误认为嗅探到真实的业务系统,并对仿真服务和主机尝试进行提权等非法操作,从而延缓攻击者的进程,间接保护真实资产免遭攻击。
-
分析行为特征,采取反制措施
攻击者在执行攻击行为的各个阶段会暴露出不同的行为特征,通过欺骗伪装技术识别出攻击者时,可以通过分析其行为特征判断下一步的行动计划,从而针对性采取反制措施。
-
攻击溯源,定位真实攻击信息
搜集到足够多攻击信息时,能够借助基础信息库对攻击行为进行追踪和溯源,例如:恶意程序样本、远程控制站点URL、攻击者IP等信息中暴露出的代码特征、站点注册信息、IP地理位置等,从而定位攻击实体,借助法律手段,追究攻击者责任从而降低攻击事件影响。
服务介绍
服务大类 |
服务名称 |
服务说明 |
---|---|---|
威胁狩猎方案部署 |
部署方案设计 |
根据客户业务架构、VPC网络等制定威胁狩猎服务部署架构及所需资源等 |
高交互蜜罐布局 |
部署高交互蜜罐,支持主流操作系统、应用及中间件、数据库等,形成主动防御蜜网,迷惑攻击者攻击视线 |
|
诱饵部署 |
部署Github、邮件系统、文件等诱饵,通过凭证伪造等方法吸引攻击 |
|
防御策略制定 |
结合客户外网环境及业务分部情况,制定攻击流量引流策略,最大程度发挥高交互蜜罐的威胁狩猎能力 |
|
威胁狩猎日常运营 |
威胁事件分析 |
每周开展威胁检测分析服务,分析维度包括但不限于:威胁发展趋势、威胁数量和类型分布、攻击源排行等 |
基础溯源分析 |
每周收集和整理蜜罐捕获到的攻击者信息,提供普通溯源分析服务,输入统计报告 |
|
深度溯源分析 |
针对蜜罐中的安全事件及捕获到的攻击信息,提供专家溯源分析服务,输出攻击事件画像 |
|
防护策略优化 |
针对大促、国庆、红蓝对抗、日常运营等不同场景,不定期调整威胁狩猎策略,确保策略及时有效 |
|
威胁狩猎服务报告 |
威胁情报模块 |
威胁分析报告、事件处置报告、溯源统计报告等 |
深度溯源模块 |
攻击者身份和位置定位,攻击过程分析等 |
|
日常巡检模块 |
防御系统可用性、策略有效性、设备升级、容量分析等季度性常态化巡检 |
服务版本
版本 |
服务模式 |
配置清单 |
服务周期 |
---|---|---|---|
内网专属服务 |
根据每个客户网络情况,定制化部署,部署在客户内网服务器区 |
|
年 |
互联网服务 |
二级域名指向到探针(仿真业务,最多可3个域名同时指向探针) |
|
年 |
护航服务 |
根据每个客户网络情况,定制化部署,部署在客户内网服务器区 |
|
月 |
端口说明
地址及端口说明
-
蜜罐管理节点服务器:管理网地址开放SSH、80、443端 口,方便软件安装及管理;管理网地址开放1337端口,保 证蜜罐探针与管理节点的通信。
-
蜜罐探针服务器:管理网地址开SSH端口,方便软件安 装及管理;生产地址建议开放全部端口,至少应开放相应 模拟服务的端口。
防火墙需开放端口说明
为了保证蜜罐探针与蜜罐管理节点间的通信畅通,需在防火墙 中开放相应的通讯端口以保证通信畅通,具体端口见下表:
序号 |
源IP→目的IP |
目的端口 |
协议 |
用途 |
备注 |
---|---|---|---|---|---|
1 |
蜜罐探针→蜜罐管 理节点 |
1337 |
TCP |
蜜罐探针与管理 节点建立TCP加 密长链接,同步 配置、数据等信 息 |
必选 |
2 |
蜜罐探针→蜜罐管 理节点 |
443 |
TCP |
为部署时方便使 用脚本安装探针 |
可选 |
3 |
控制中心或PC→ 蜜罐管理节点 |
22 |
TCP |
安装管理节点及 SSH远程管理 |
必选 |
4 |
控制中心或PC→ 蜜罐探针 |
任意 |
TCP |
SSH远程安装探 针及管理 |
必选 |
5 |
蜜罐管理节点→日 志服务器 |
514 |
UDP |
发送syslog信息 |
可选 |
6 |
客户端→蜜罐管理 节点 |
443 |
TCP |
HTTPS访问web 控制中心 |
必选 |
7 |
客户端→蜜罐管理 节点 |
80 |
TCP |
HTTP访问web控 制中心 |
可选 |