在一次攻防演練中,攻擊者“鐵柱”試圖通過攻擊服務系統獲取企業內部賬號及身份信息,進入內網開展他的“橫向滲透”計劃。
系統掃描過程中,鐵柱意外發現了“遠程桌面服務”,嘗試操作系統后并未發現異常,他一陣狂喜:“這下應該可以拿到關鍵數據了!”最終,他決定通過口令爆破獲取賬號密碼并嘗試登入系統。
恭喜鐵柱!“成功”跳進了蜜罐的圈套。蜜罐識別到攻擊并記錄了他在虛擬服務里的所有行為,包括請求IP、端口、請求時間甚至是輸入的密碼,都一一記錄在案,防火墻通過對蜜罐記錄數據的分析溯源進行攻擊者定位及聯動處置,快速將鐵柱緝拿歸案。
一、與其被動“挨打”,不如主動出擊
道高一尺魔高一丈,網絡技術飛速演進,黑客的攻擊手法也變得愈加隱晦,面對網絡入侵者,防火墻可以融合邊界對抗所需的安全防御能力,從而抵御各類威脅。然而在攻防演練中,我們常處于“攻防信息不對稱”狀態,攻擊方是誰、從哪里發動攻擊、用何種手段均一無所知。因此,僅通過網絡邊界進行被動防御,威脅的發現往往是滯后的。
而蜜罐作為一種網絡主動防御技術,當攻擊者被成功引入后,蜜罐會實時記錄、審計攻擊者的攻擊流量、行為和數據,我們可以清晰了解到黑客所使用的工具和方法,掌握黑客的攻擊動機及社交網絡行為并進行攻擊溯源、取證等。
如果將防火墻的智能防護能力與蜜罐的誘捕溯源能力相結合,各系統充分聯動、信息共享,便可以在有效信息情報的基礎上對入侵者進行鎖定與處置,展開全面、精準的溯源反制,縮短威脅處置時間,最終在實戰攻防中占據先機。
二、云網聯動,三招“制服”攻擊者
從主動防御視角來看,下一代防火墻聯動云蜜罐可以從以下三招入手,通過主動誘捕、精準識別、深度溯源,有效解決被動型安全防御面臨的攻擊行為感知不及時、處置效率低、分析過程繁瑣等問題。
招式一:主動誘捕、多樣引流
在事前階段,我們需要主動去獲取攻擊者的身份信息。
從“被動”等待踩陷阱,到“主動”誘敵深入,深信服下一代防火墻構建偽裝業務/應用訪問端口,并指向云端蜜罐,同時,管理員可直接通過防火墻按需上傳業務、主機相關文件,云端將自動生成偽裝業務,一旦外部訪問到偽裝業務/應用,即會跳轉云端蜜罐,實現誘捕。
▲防火墻聯動云蜜罐捕獲攻擊者信息
招式二:指紋識別、持續阻斷
黑客在攻擊過程中會結合多種自動化工具獲取信息,也十分擅長通過“修改IP”等方式變換、偽裝身份。因此,要想精準識別攻擊者行為,需通過識別攻擊者指紋并進行IP鎖定,防止攻擊者換IP攻擊。
區別于普通防火墻僅支持IP識別攻擊者,深信服下一代防火墻AF通過創新合入人機對抗anti-bot技術,以主流18+瀏覽器指紋精準識別自動化工具,能夠依靠瀏覽器指紋特征準確識別ZAP、AWVS、BurpSuit、AppScan等漏洞掃描工具,并在入侵者“信息收集”、“漏洞探測”階段提前發現黑客行為和機器碼。
▲開啟人機識別功能后,精準識別到AWVS漏洞掃描工具
同時,深信服云蜜罐將獲取的攻擊者信息,同步至下一代防火墻,管理員通過防火墻管理界面即可知悉存在威脅的攻擊者,一鍵阻斷具備指紋信息的攻擊者,即便攻擊者變換 IP也無法發起入侵行為,構建“硬核”的主動防御網。
招式三:深度溯源、全網狙擊
溯源是威脅識別檢測、聯動阻斷后的關鍵一步。攻防演練中,傳統入侵檢測產品可以檢測到攻擊者的入侵手段,但往往難以全面記錄攻擊者入侵的所有行為及證據,即便檢測到威脅卻無法溯源到攻擊者的真實身份,不能徹底解除威脅。
深信服下一代防火墻可以通過云蜜罐功能對黑客的全網攻擊過程進行記錄,深度溯源指紋信息、社交信息、位置信息等并分析獲取“黑客畫像”,根據黑客畫像快速判定攻擊者真實身份,關聯攻擊鏈后一鍵反向探測端口、漏洞信息,最終在攻防演練中還原攻擊者所有行為,并實現全網狙擊。
深信服下一代防火墻與云蜜罐智能化結合,充分發揮系統化的主動防御能力,在攻防對抗中捕獲更多內外網攻擊行為,并聯合云端高級捕獲與分析技術,獲取攻擊方的指紋信息、工具、手法、攻擊軌跡等,進行全面分析溯源并采取反制措施,實現“全面檢測、主動誘捕、指紋識別、聯動阻斷、深度溯源”的閉環。
深信服下一代防火墻云蜜罐支持基于攻防實踐經驗的重點監控模式,對“反序列化攻擊、上傳shell”等攻防中的高危攻擊行為進行重點監控設置,有效扭轉攻防局勢,其檢測溯源、聯動處置能力得到客戶的信任與高度認可。
未來,深信服下一代防火墻將繼續加強以云蜜罐為重要構成的主動防御能力,持續提升產品安全能力及用戶體驗,更有效地幫助用戶抵御安全威脅。
