網絡攻擊誘捕平臺

產品介紹
網絡攻擊誘捕平臺 - 隱鋒是基于SDN的仿真欺騙節點批量化部署技術，可將誘捕能力發布到全網各個網段，無須在客戶服務器中安裝Agent，極大提高黑客攻擊蜜罐的概率?；谄垓_防御技術，通過誘騙攻擊者入侵蜜罐陷阱，不僅可以零誤報定位攻擊威脅，而且可在真實攻擊對抗中消耗攻擊資源，溯源、反制攻擊者，化攻防被動為主動。

產品介紹

1. 吸引-基于 SDN 技術全網蜜罐部署

高捕獲率部署模式：物壹隱鋒平臺基于 SDN 的仿真欺騙節點批量化部署技術，可將誘 捕能力發布到全網各個網段，無須在客戶服務器中安裝 agent，極大提高黑客攻擊蜜罐的概 率。如下圖例子所示，在運維區旁路 trunk 接入物壹隱鋒平臺，便可在各個網絡區域、網段 快速生成多個高交互的虛擬蜜罐。

2. 吸引-引流防御

傳統的威脅處置是采取封堵 IP 的操作，但攻擊者大概率會換 IP 再次發起攻擊，防守方 只能疲于應對。
物壹隱鋒平臺支持引流防御，可將訪問真實業務的攻擊流量引流到仿真蜜罐，對于攻擊 者來說，攻擊的目標是真實業務，實際在內部已被替換成仿真業務蜜罐，攻擊者無法命中真 實目標。相對真實封堵 IP，引流防御不僅直接保護了真實資產，而且有效消耗攻擊資源。
通過引流防御，可主動捕獲攻擊流量，黑客命中蜜罐的概率達到 100%，解決了蜜罐被 動誘捕的弊端，并可主動對攻擊者溯源、攻擊反制，化被動為主動

3. 吸引-設置誘餌主動欺騙

物壹隱鋒平臺支持在真實服務器上設置蜜罐誘餌，蜜罐誘餌：是設置在真實服務器中的 虛假文件，在黑客攻陷服務器后，通過預設的蜜罐誘餌（虛假文件）對其造成誤導，使其攻 擊目標轉向蜜罐，間接保護其他資產。

物壹隱鋒平臺支持的誘餌功能有 5 種，分別是：歷史命令欺騙誘餌、主機名欺騙誘餌、SSH 公鑰欺騙誘餌、office 誘餌、互聯網誘餌。

4. 仿真牽制-業務仿真蜜罐

物壹隱鋒平臺可快速生成完全模擬客戶真實業務系統的蜜罐，仿真業務蜜罐可與真實業 務系統完全一致。通過部署完全仿真業務蜜罐，可吸引真實攻擊者（人）來攻擊，捕獲黑客 攻擊行為、溯源攻擊者身份信息、社交賬號等信息。

物壹隱鋒平臺內置了多個仿真業務系統，用戶可直接使用。同時，也可以自定義新的仿 真業務蜜罐，可將多個真實業務系統接入物壹隱鋒平臺中，生成完全仿真業務蜜罐?；蛘咦?建偽裝服務集群，比如 OA 系統、ERP 系統、VPN 系統、郵箱系統，將這些系統接入物壹 隱鋒平臺，生成仿真業務蜜罐。

5. 仿真牽制-自適應高交互蜜罐

• 內置“各類數據庫、中間件、web 應用、遠程協議應用、大數據應用、物聯網應 用”，共 30+不同類型的高交互蜜罐，基于 docker 技術，擴展性強。
• 內置適配多種場景下的蜜罐模板，用戶也可隨意組合不同高交互蜜罐服務成新蜜罐模 板。
• 支持對多臺蜜罐主機一鍵切換蜜罐模板，在攻防對抗中根據實際情況隨意調整誘捕策 略。

物壹隱鋒平臺可同時運行 30+蜜罐沙箱，可組合不同蜜罐沙箱形成自定義蜜罐模板。并 可結合物壹隱鋒平臺資產掃描功能，識別每個網絡區域具體開放了哪些類型的應用或服務， 在相應區域一鍵切換適配的蜜罐模板，以假亂真，讓黑客無法分辨是蜜罐還是真實主機。

6. 溯源-高分辯率黑客畫像

洛卡爾物質交換定律：凡物體與物體之間發生接觸后會存在物質的轉移，目標物體會從 源物體上帶走一些物質，同時也會將自身的一些物質遺留在原物體上。洛卡爾物質交換定律 告訴我們，犯罪行為人只要實施犯罪行為，必然會在犯罪現場直接或間接地作用于被侵害客 體及其周圍環境，會自覺或不自覺地遺留下痕跡。 黑客入侵蜜罐同樣會留下痕跡，會被物壹隱鋒平臺記錄并分析出黑客畫像。物壹隱鋒平
臺黑客畫像支持 5 個維度，包括：設備指紋、位置信息、社交指紋、反向探測-漏洞信息、攻 擊者標簽，5 個維度具體的溯源信息如下圖所示。
由于物壹隱鋒平臺支持漏洞掃描主動探測的功能，如果攻擊主機是內網主機，用戶可通 過漏洞探測，分析內網攻擊主機的失陷原因，查看是否由于存在相關可入侵漏洞導致，有助 于失陷主機處置

7. 溯源-攻擊鏈取證技術

基于 MITRE ATT&CK 理念，從“網絡層、應用層、主機層”對攻擊行為全量溯源，提 取攻擊入侵證據：“攻擊特征取證、行為取證、日志取證、病毒取證”。全面還原攻擊者入 侵過程：探測掃描、滲透攻擊、攻限蜜罐、后門遠控、跳板攻擊。
用戶可以一鍵提取攻擊鏈條日志，形成取證證據。

8. 處置-不同烈度的攻擊反制

攻擊者訪問仿真業務蜜罐時，支持主動對指定攻擊者發起不同烈度的攻擊反制行為，包 括：威懾反制、拒絕服務反制、木馬誘騙反制、漏洞攻擊反制，具體如下：
1）   威懾反制： 可不斷彈框警告攻擊者，比如灌輸國家網絡安全法、告知已獲得相關 溯源信息，發揮蜜罐威懾作用，使攻擊者放棄后續的攻擊行為；可靈活指定對某個攻擊 源 IP 地址發起威懾反制。
2）   拒絕服務反制：可使攻擊者瀏覽器拒絕服務，可靈活指定對某個攻擊源 IP 地址發 起拒絕服務反制。
3） 木馬誘騙反制：可使攻擊者下載某個文件時，替換成木馬文件，誘騙攻擊者下載 安裝；可靈活指定對某個攻擊源 IP 地址發起木馬誘騙反制。
4）   漏洞攻擊反制：支持一鍵掃描攻擊源 IP 地址，探測攻擊者主機的開放端口信息、 弱口令、漏洞等。

處置-情報聯動

攻傳統安全檢測設備只能產生攻擊 IP、惡意文件等較低價值的威脅情報，且誤報率高。物 壹隱鋒平臺基于“五維度的黑客畫像技術”、“攻擊鏈檢測技術”，可幫助客戶收集更多更 高價值的威脅情報，包括：

• 攻擊者社交賬號信息：可獲取到攻擊者百度、QQ 等社交賬號信息，可以定位到真實身 份；
• 攻擊者唯一 ID、設備指紋：可生成唯一標識攻擊者的 ID，攻擊者若換了 IP 來訪問，也 能通過該 ID 進行關聯；
• 攻擊者真實 IP：攻擊者撥 VPN、掛代理之前的真實 IP；
• 攻擊 IP 以及惡意文件：高準確率的惡意 IP、惡意文件情報；

同時支持通過豐富的 api 接口、標準的 syslog 日志輸出告警日志輸出情報到相關安全管
控平臺，聯動安全防護設備進行阻斷。比如輸出日志到安全態勢感知平臺，通過安全態勢感 知平臺聯動安全設備的能力進行自動阻斷處置