2020年，于國(guó)于企業(yè)而言都是艱難的一年，可是越是艱難，越要不忘初心，堅(jiān)持成長(zhǎng)。

近年來(lái)，隨著攻防手段的不斷演變，不論是交鋒日益激烈的網(wǎng)絡(luò)安全日常防護(hù)，還是常態(tài)化的網(wǎng)絡(luò)攻防演練，高對(duì)抗性?xún)叭怀蔀榱司W(wǎng)絡(luò)安全攻防的本質(zhì)。市場(chǎng)在明確對(duì)抗重要性這一前提下，越發(fā)注重能夠擺脫“原地等待被動(dòng)挨打”現(xiàn)象的主動(dòng)防御，而可以實(shí)現(xiàn)網(wǎng)絡(luò)威脅誘捕與溯源的蜜罐技術(shù)就這樣逐漸得到廣泛關(guān)注。

基于知道創(chuàng)宇十余年國(guó)內(nèi)外網(wǎng)絡(luò)安全大數(shù)據(jù)積淀，“創(chuàng)宇蜜罐”在經(jīng)歷了三年的威脅誘捕和溯源技術(shù)創(chuàng)新、產(chǎn)品打磨落地后，終于在2020年收獲了屬于它的極速成長(zhǎng)過(guò)程。

創(chuàng)宇蜜罐客戶(hù)案例

網(wǎng)絡(luò)安全沒(méi)有捷徑，必須依賴(lài)于技術(shù)的厚積薄發(fā)。做足準(zhǔn)備的創(chuàng)宇蜜罐在這一年中發(fā)揮自身創(chuàng)新技術(shù)與產(chǎn)品優(yōu)勢(shì)，在競(jìng)爭(zhēng)激烈的市場(chǎng)中脫穎而出。

01 突破創(chuàng)新，深鉆誘捕溯源技術(shù)

(1)關(guān)于誘捕技術(shù)

創(chuàng)宇蜜罐通用版和定制版已累計(jì)打造用于誘捕的蜜罐50余種，覆蓋操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、常用軟件、Web網(wǎng)站等多種類(lèi)型。客戶(hù)可自定義網(wǎng)站名稱(chēng)、LOGO，配合知道創(chuàng)宇安全研究團(tuán)隊(duì)提供的“養(yǎng)”罐方案更新數(shù)據(jù)庫(kù)內(nèi)容和網(wǎng)站資訊等，讓蜜罐更加逼真、更具迷惑性。

將客戶(hù)環(huán)境中部署的多個(gè)蜜罐構(gòu)建成蜜場(chǎng)(LAN)，讓黑客在蜜場(chǎng)之間穿梭、流連忘返，以為自己攻入了客戶(hù)的真實(shí)內(nèi)網(wǎng)，殊不知自己的攻擊行動(dòng)都被安全管理人員實(shí)時(shí)監(jiān)控。

創(chuàng)宇蜜罐部署架構(gòu)

(2)關(guān)于溯源技術(shù)

創(chuàng)宇蜜罐在傳統(tǒng)IP溯源方式的基礎(chǔ)上，借助強(qiáng)大的溯源插件可以獲取黑客在網(wǎng)絡(luò)活動(dòng)中多種虛擬身份。

通過(guò)對(duì)黑客所用客戶(hù)端指紋生成唯一的指紋ID，該指紋ID與知道創(chuàng)宇云防御體系所識(shí)別的攻擊者指紋ID保持一致，可以根據(jù)該ID識(shí)別攻擊者在全網(wǎng)的攻擊歷史，做到全網(wǎng)范圍的流量溯源和數(shù)據(jù)聯(lián)動(dòng)。

在此基礎(chǔ)上，結(jié)合騰訊威脅情報(bào)和知道創(chuàng)宇安全大腦，對(duì)攻擊源及攻擊者身份進(jìn)行精準(zhǔn)匹配，協(xié)助客戶(hù)找到攻擊源，并對(duì)攻擊源進(jìn)行黑名單標(biāo)注，實(shí)現(xiàn)溯源反制。

創(chuàng)宇蜜罐溯源流程

(3)關(guān)于部署形態(tài)

創(chuàng)宇蜜罐提供私有化以及云端SaaS部署兩種形式，是目前市場(chǎng)上唯一一款可提供SaaS部署方式的蜜罐產(chǎn)品。

云端SaaS可實(shí)現(xiàn)1分鐘快速構(gòu)建部署。同時(shí)提供SaaS智能域名一鍵接入功能，自成高敏感性子域名，在攻擊者使用子域名爆破攻擊的必經(jīng)之路上設(shè)置陷阱，提高攻擊捕獲可能性。

創(chuàng)宇蜜罐SaaS版模式對(duì)于中大型企業(yè)以及安全合規(guī)要求嚴(yán)格的客戶(hù)，私有化部署通過(guò)在各個(gè)防御網(wǎng)區(qū)放置陷阱入口，感知并將攻擊誘騙進(jìn)蜜罐中隔離，快速構(gòu)建欺騙防御環(huán)境。

創(chuàng)宇蜜罐私有版版模式

(4)關(guān)于自身安全

創(chuàng)宇蜜罐采用旁路部署的方式，無(wú)外部訪(fǎng)問(wèn)權(quán)限，與客戶(hù)真實(shí)網(wǎng)絡(luò)資產(chǎn)不會(huì)發(fā)生任何直接聯(lián)系，能夠?qū)崿F(xiàn)蜜罐跟客戶(hù)真實(shí)網(wǎng)絡(luò)環(huán)境的隔離。

創(chuàng)宇蜜罐的操作系統(tǒng)由知道創(chuàng)宇自研，有嚴(yán)格的安全策略，可實(shí)現(xiàn)跟外部環(huán)境的隔離。所以即使黑客把創(chuàng)宇蜜罐攻破，也無(wú)法將其作為跳板，橫向?qū)蛻?hù)其它網(wǎng)絡(luò)資產(chǎn)進(jìn)行攻擊。

02 厚積薄發(fā)，成就獨(dú)特產(chǎn)品優(yōu)勢(shì)

(1)全網(wǎng)溯源、攻擊重現(xiàn)

創(chuàng)宇蜜罐基于知道創(chuàng)宇的全網(wǎng)安全大數(shù)據(jù)庫(kù)，在這些安全大數(shù)據(jù)庫(kù)的支撐下，創(chuàng)宇蜜罐可實(shí)現(xiàn)覆蓋國(guó)內(nèi)、外的全網(wǎng)攻擊溯源，可進(jìn)行精準(zhǔn)黑客畫(huà)像，包括其使用的IP、設(shè)備物理地址、個(gè)人社交賬號(hào)、實(shí)時(shí)地理位置等。

知道創(chuàng)宇安全大數(shù)據(jù)庫(kù)

案例一

創(chuàng)宇蜜罐及時(shí)發(fā)現(xiàn)勒索病毒，為用戶(hù)保護(hù)真實(shí)資產(chǎn)安全。XX單位在網(wǎng)絡(luò)安全防護(hù)方案中配備了創(chuàng)宇蜜罐及創(chuàng)宇盾，創(chuàng)宇蜜罐發(fā)現(xiàn)黑客在蜜罐中進(jìn)行字典口令爆破攻擊，爆破成功后攻擊者修改了賬號(hào)密碼，隨即上傳勒索病毒，創(chuàng)宇蜜罐實(shí)時(shí)發(fā)出告警通知客戶(hù)單位管理人員，管理人員即刻將攻擊源IP加入創(chuàng)宇盾黑名單，防止黑客對(duì)真實(shí)網(wǎng)絡(luò)資產(chǎn)發(fā)起攻擊。

蜜罐部署情況及攻擊截獲情況：

蜜罐部署情況

發(fā)現(xiàn)某內(nèi)網(wǎng)IP不斷對(duì)全端口發(fā)起掃描，確定對(duì)445端口大量掃描，協(xié)助客戶(hù)設(shè)備排查：

發(fā)現(xiàn)中毒機(jī)器，防止內(nèi)網(wǎng)橫向攻擊：

案例二

2020年專(zhuān)項(xiàng)安全演練，某省級(jí)事業(yè)單位在外網(wǎng)放置蜜罐偽裝成本單位的行政系統(tǒng)，將誘惑性強(qiáng)的域名解析到蜜罐地址上，應(yīng)對(duì)攻擊方針對(duì)外網(wǎng)資產(chǎn)偵察、踩點(diǎn)事件。

7天捕獲威脅請(qǐng)求67w+次，10+起口令爆破、1起 webshell 上傳。經(jīng)過(guò)創(chuàng)宇蜜罐威脅分析引擎分析可以清晰看到每一次的攻擊命令，第一時(shí)間將危險(xiǎn)攻擊源IP上報(bào)給處置組做封禁。

最后再通過(guò)全網(wǎng)溯源數(shù)據(jù)庫(kù)，得到攻擊者完整畫(huà)像，獲取到該攻擊者的畢業(yè)院校、工作單位、地理位置等信息。

(2)覆蓋全國(guó)的安全服務(wù)團(tuán)隊(duì)

創(chuàng)宇蜜罐可共享公司豐富的服務(wù)團(tuán)隊(duì)資源：

300+銷(xiāo)售及售前人員，覆蓋華北、華中、華南、西南、西北等片區(qū)，客戶(hù)遍及金融、能源、醫(yī)療、教育、政府、國(guó)企、央企、IT互聯(lián)網(wǎng)等行業(yè)，為客戶(hù)提供周到的產(chǎn)品解決方案咨詢(xún)服務(wù)。

200+安服、技服、客服團(tuán)隊(duì)，為客戶(hù)提供安裝部署、升級(jí)運(yùn)維、使用咨詢(xún)、安全分析等專(zhuān)業(yè)服務(wù)。

03 無(wú)懼挑戰(zhàn)，打造復(fù)雜場(chǎng)景下的產(chǎn)品應(yīng)用

(1)蜜罐部署管理

創(chuàng)宇蜜罐提供SaaS版與私有版的部署方案，適用于多網(wǎng)絡(luò)場(chǎng)景的客戶(hù);客戶(hù)端支持直連與中繼模式，無(wú)論是單網(wǎng)段還是跨網(wǎng)段場(chǎng)景，都能通過(guò)控制中心快速構(gòu)建蜜場(chǎng)環(huán)境。強(qiáng)大的蜜場(chǎng)提供多種蜜罐類(lèi)型與定制業(yè)務(wù)場(chǎng)景服務(wù)，構(gòu)建出的蜜場(chǎng)環(huán)境能夠與實(shí)際網(wǎng)絡(luò)環(huán)境保持統(tǒng)一，具有強(qiáng)大的迷惑性。

(2)攻擊路線(xiàn)還原

捕獲數(shù)據(jù)是蜜罐的主要目的，創(chuàng)宇蜜罐威脅控制中心將晦澀難懂的數(shù)據(jù)流轉(zhuǎn)換為易于檢索、定位的攻擊日志。攻擊日志能夠清晰的呈現(xiàn)攻擊者從入侵到攻擊執(zhí)行的完整攻擊路線(xiàn)，讓用戶(hù)清楚的了解到攻擊者什么時(shí)候攻擊了什么蜜罐、采用了什么手段、執(zhí)行了哪些命令等，并且提供攻擊源數(shù)據(jù)全文檢索服務(wù)來(lái)作為工具，不依賴(lài)系統(tǒng)的獨(dú)立分析。

(3)精準(zhǔn)溯源畫(huà)像

欺騙防御是一種主動(dòng)安全防御機(jī)制，其最主要的特征就是能夠分析捕獲到的數(shù)據(jù)，從而了解攻擊者使用的方法并對(duì)其溯源形成畫(huà)像，便于事后追溯。創(chuàng)宇蜜罐數(shù)據(jù)分析中心將攻擊數(shù)據(jù)進(jìn)行全面分析后生成一個(gè)個(gè)的可視化畫(huà)像，融入了捕獲到的攻擊者豐富的指紋信息，可以直觀的看到該攻擊者的常用手段、攻擊路徑以及可能與之相關(guān)聯(lián)的攻擊者。

(4)實(shí)時(shí)攻擊大屏

當(dāng)蜜場(chǎng)構(gòu)建完成后，創(chuàng)宇蜜罐還提供了數(shù)據(jù)豐富的風(fēng)險(xiǎn)大屏，全面動(dòng)態(tài)展示網(wǎng)絡(luò)資產(chǎn)保護(hù)狀態(tài)，供用戶(hù)進(jìn)行觀測(cè)。通過(guò)大屏實(shí)時(shí)監(jiān)測(cè)在蜜罐中的攻擊行為，對(duì)當(dāng)前活躍在蜜罐中的攻擊者、攻擊手段等數(shù)據(jù)了如指掌。

(5)有效告警通知

一旦攻擊者踩入蜜罐陷阱，創(chuàng)宇蜜罐會(huì)第一時(shí)間發(fā)現(xiàn)，并通過(guò)站內(nèi)信、郵件等方式實(shí)時(shí)對(duì)用戶(hù)做告警。對(duì)異常的蜜罐及客戶(hù)端連接狀態(tài)也會(huì)進(jìn)行消息上報(bào)，讓用戶(hù)能夠及時(shí)處理突發(fā)情況，保證系統(tǒng)穩(wěn)定運(yùn)行。

(6)攻擊阻斷聯(lián)動(dòng)

支持?jǐn)?shù)據(jù)推送實(shí)現(xiàn)消息聯(lián)動(dòng)，可以將蜜罐平臺(tái)所記錄的黑客威脅數(shù)據(jù)字段根據(jù)需要利用SYSLOG推送到其它安全可視化平臺(tái)上。這樣就提供了足夠的威脅情報(bào)數(shù)據(jù)分析的來(lái)源日志，并且實(shí)現(xiàn)與其他第三方設(shè)備聯(lián)動(dòng)阻斷的能力。

(7)威脅態(tài)勢(shì)報(bào)告

基于對(duì)威脅事件的統(tǒng)計(jì)分析，并結(jié)合全網(wǎng)威脅情報(bào)，創(chuàng)宇蜜罐能夠根據(jù)威脅數(shù)據(jù)生成客戶(hù)網(wǎng)絡(luò)威脅態(tài)勢(shì)報(bào)告、評(píng)估威脅指標(biāo)、預(yù)測(cè)威脅走勢(shì)并給出防護(hù)建議。整體安全局勢(shì)一目了然，方便安全管理人員進(jìn)行態(tài)勢(shì)評(píng)估與趨勢(shì)分析，提前加固，防患于未然。

創(chuàng)宇蜜罐后臺(tái)數(shù)據(jù)1

創(chuàng)宇蜜罐后臺(tái)數(shù)據(jù)2

04 未來(lái)可期，應(yīng)對(duì)更為嚴(yán)峻的安全挑戰(zhàn)

在網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻的環(huán)境下，國(guó)家出臺(tái)若干網(wǎng)絡(luò)安全政策，推動(dòng)整個(gè)行業(yè)蓬勃發(fā)展，各行各業(yè)信息化基礎(chǔ)建設(shè)都逐步將網(wǎng)絡(luò)安全納入核心考察項(xiàng)目。

蜜罐產(chǎn)品已經(jīng)在攻防對(duì)抗、等保2.0、網(wǎng)絡(luò)靶場(chǎng)等業(yè)務(wù)場(chǎng)景下展示了優(yōu)秀的檢測(cè)防御能力，發(fā)揮了重要作用。一方面是對(duì)真實(shí)資產(chǎn)的保護(hù)，一方面是對(duì)黑客攻擊手法還原，可以協(xié)助公安機(jī)關(guān)找到黑客。并且在數(shù)據(jù)敏感的金融、工業(yè)領(lǐng)域;飽受勒索病毒之苦的醫(yī)療、教育行業(yè);積極開(kāi)展網(wǎng)絡(luò)靶場(chǎng)應(yīng)用的科研機(jī)構(gòu);網(wǎng)絡(luò)安全倡導(dǎo)及先行者的政府機(jī)構(gòu);業(yè)務(wù)穩(wěn)定要求非常高的IT互聯(lián)網(wǎng)企業(yè)等等多行業(yè)中，蜜罐產(chǎn)品都可以適用，為其網(wǎng)絡(luò)資產(chǎn)保駕護(hù)航，找到攻擊的始作俑者。

創(chuàng)宇蜜罐也可以及時(shí)發(fā)現(xiàn)勒索病毒攻擊、0day漏洞攻擊、挖礦等網(wǎng)絡(luò)攻擊行為，保護(hù)客戶(hù)網(wǎng)絡(luò)資產(chǎn)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

蜜罐從以往的開(kāi)源應(yīng)用，到逐步走向商業(yè)化并得到良好的市場(chǎng)認(rèn)知，用了數(shù)十年。在未來(lái)，創(chuàng)宇蜜罐將無(wú)懼挑戰(zhàn)，走向一個(gè)新的歷史階段，為客戶(hù)帶來(lái)更大的應(yīng)用價(jià)值，為網(wǎng)絡(luò)安全主動(dòng)防御領(lǐng)域開(kāi)啟新的篇章。