概述

攻击诱捕防御与溯源系统(DecoyPro)采用欺骗防御、智能仿真等新技术,以攻防对抗思路为基础,以攻击者视角去发现威胁,可有效弥补传统网络安全防御方案的弱点,提升网络安全防御能力。产品在用户内部网络中的关键区域智能化部署高度仿真、安全可控的虚假服务、计算环境和网络,通过布设的蜜标、诱饵等手段主动吸引入侵者对虚假环境或服务进行攻击。在虚假环境中对攻击者行为进行抓取和存储,基于对攻击者的行为分析来实现攻击告警、威胁分析和溯源取证,结合多种处置响应手段对威胁进行快速处置和防御。最终达到改变攻防不对称的现状,变被动为主动,提升用户网络安全的主动防御能力。
魔镜-攻击诱捕防御与溯源系统

主要特性

计算环境仿真

产品在用户内部网络中的关键区域智能化部署高度仿真、安全可控的虚假服务、计算环境和网络,通过布设的蜜标、诱饵等手段主动吸引入侵者对虚假环境或服务进行攻击。

攻击行为诱捕

通过在攻击者必经之路上布设诱捕器、密标和诱饵,以及采用虚拟IP和流量转发等技术主动诱导攻击者进入与真实网络隔离的仿真环境,留下攻击痕迹。

威胁智能分析

基于仿真节点和诱捕探针各类行为日志数据,采用行为分析、关联分析、数据标记、威胁情报、威胁狩猎等智能安全引擎分析、识别各类威胁或异常行为,快速发现各类攻击行为,结合ATT&CK模型对威胁进行标定和分析。

威胁溯源取证

综合利用多种反制手段,结合仿真节点和诱捕探针采集的各类行为日志数据,基于ATT&CK框架对威胁进行标定和分析,还原完整攻击链。结合攻击者特征、各类行为日志数据和流量包以及威胁情报,对事件进行溯源,对攻击过程和行为进行取证。

威胁应急处置

支持对新产生的安全事件进行确认,支持人工调整安全事件确信度,系统自动根据确认记录对后继同类事件进行自动处理;支持根据事件确信度不同等级采取不同的事件处置策略。

产品亮点

 智能化环境仿真

 

结合网络测绘技术对部署环境的自动探测分析,基于软件仿真、容器、虚拟机等技术手段提供的多样化环境仿真能力,智能实现对用户真实计算环境的平行仿真,有效提高诱捕环境的仿真度。
 多样化溯源能力

 

利用WEB反制、扫描反制、密标反制等多样化技术手段,在受到攻击后能主动去获取攻击者主机和网络的信息,通过这些信息能够更准确的定位攻击者的身份,实现更精准的溯源。
开放式平台架构 

 

提供标准化扩展接口,基于仿真模板支持用户自定义各类高、中、低交互威胁诱捕器和各类仿真数据,支持仿真模板和情报数据共享,可有效提升产品与用户业务环境贴合度。

产品价值

 精准掌握网络风险态势

 

产品采用欺骗防御、智能平行仿真等新技术手段,主动对抗攻击行为,能够第一时间发现网络内横向渗透等各种攻击行为,快速、精准感知内网安全风险态势并预警。
 快速对攻击做取证溯源

 

在发生攻击事件后,通过反向获取的攻击者特征,结合系统记录的攻击者完整的行为、过程数据以及威胁情报,可实现对攻击行为的快速取证溯源,对网络安全破坏者进行有效震慑。
完善网络安全防御体系 

 

可与其他安全产品和网络产品联动,实现内部情报共享、联动防御、攻击者溯源定位。可以有效改变攻防不对称,变被动为主动,有助于完善网络安全防御体系,提升网络安全防御能力。

部署方案

一体式部署 一体式部署
分部式部署 分部式部署

一体式部署模式,适用于中小规模网络环境,部署简单,即插即用。管理中心和仿真节点集成到一台独立的设备上,部署时将一体式设备接入用户网内即可工作。一体式设备提供威胁诱捕管理、诱捕行为分析以及各类告警、日志数据统一分析、管理的功能。可接入网络出口镜像流量来探测资产实现智能平行仿真,可在内网部署诱捕探针来进一步提高对威胁的诱捕能力。

分布式部署模式,适用于中大规模网络环境,监测范围广,诱捕能力强。 在服务器区部署管理中心,在各子网按需部署一到多台仿真节点,在子网主机上部署诱捕探针;管理中心与各仿真节点和诱捕探针间要求网络可达,管理中心可接入网络出口镜像流量来探测资产实现智能平行仿真。系统运行时,仿真节点上按需运行多类高、中、低交互威胁诱捕器,并可生成蜜网(诱捕网络);诱捕探针在本地运行中、低交互威胁诱捕器同时可以开启虚拟网络服务,将访问这些服务的攻击流量转发到仿真节点进行安全分析;各仿真节点和诱捕探针将捕获到的各类告警、日志、流量等数据汇聚到管理中心进行统一分析、管理。