什么是蜜罐
蜜罐是一种互联网安全系统,部署诱饵和陷阱在关键网络入口,诱导攻击者攻击伪装目标,保护真实资产,并且对攻击者做行为取证和追踪溯源,定位攻击者自然人身份,提升主动防御能力,让安全防御工作由被动变主动。
蜜罐通常是为了了解攻击者在网络中的活动而设置的,以便可以提出针对这些入侵的方法。蜜罐不携带任何有价值的数据,因为它是一个虚假的代理,有助于记录网络流量。
蜜罐的工作原理
-记录攻击者的操作记录
-记录攻击者的 IP 地址
-记录攻击者使用的用户名和密码
-记录攻击者访问、删除或更改的数据类型
蜜罐的种类
1、小型交互蜜罐
记录网络或系统上存在的较少的漏洞。这种类型的蜜罐可用于跟踪UDP,TCP和ICMP端口和服务。我们可以利用虚假的数据库,数据,文件等作为诱饵来诱捕攻击者,以了解实时发生的攻击。如Honeytrap,Specter,KFsensor等
2、中型交互蜜罐
基于模仿实时操作系统,并将其所有应用程序和服务作为目标网络的应用程序和服务。他们倾向于捕获更多信息,因为他们的目的是阻止攻击者,以便组织有更多时间来适当地响应威胁。如Cowrie,HoneyPy等
3、高级交互蜜罐
利用易受攻击的软件和正在运行的系统漏洞。收集更多的有用信息,如蜜网
4、纯蜜罐
此类蜜罐通常模仿组织的实际生产环境,使攻击者认为它是真正的蜜罐,并投入更多时间来利用它。一旦攻击者试图找到漏洞,组织就会收到警报,因此可以更早地阻止任何类型的攻击。
5、数据库蜜罐
此类蜜罐伪装成实际的数据库,在实际环境中很容易受到攻击,并且通常会吸引攻击者进行SQL注入等攻击。旨在诱使攻击者认为它们可能包含敏感信息,但其实钻进了人家的口袋。
什么情况下需要用到蜜罐
-0day漏洞攻击无法识别,未知风险难以抵御
-入侵者进入内网后无法及时发觉
-入侵者成功内网防御无纵深,真实内网信息一览无遗
-入侵者来去无踪,被动且无法取证
德迅猎鹰(云蜜罐)的特点
1、1分钟快速构建内网主动防御系统
无侵入、轻量级的软件客户端安装,实现网络自动覆盖可快速在企业内网形成蜜网入口,轻松排兵布阵。
2、Web蜜罐配套协议蜜罐,以假乱真延缓攻击
多种真实蜜罐和服务形成的蜜罐系统,使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。
3、隐密取证,抓获自然人
通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像,提供完整攻击信息,为溯源、抓捕攻击者提供有效依据。
4、转移战场,高度内网安全保障
将攻击流量引出内网转移战场到SaaS蜜网环境,并从网络隔离、流量单向控制等维度配置安全防护系统,保证系统自身不被攻击者识别和破坏。
5、捕获0day攻击等高级新型威胁
蜜网流量纯粹,无干扰流量,基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。
6、安全专家服务一键接入
德迅云安全蜜罐管理平台由专家团队监控维护,一旦发现安全风险,及时分析预警,配合客户进行应急响应。
