如何在攻防實(shí)戰(zhàn)中占據(jù)先機(jī)？云網(wǎng)聯(lián)動(dòng)，三招“制服”攻擊者

在一次攻防演練中，攻擊者“鐵柱”試圖通過(guò)攻擊服務(wù)系統(tǒng)獲取企業(yè)內(nèi)部賬號(hào)及身份信息，進(jìn)入內(nèi)網(wǎng)開(kāi)展他的“橫向滲透”計(jì)劃。

系統(tǒng)掃描過(guò)程中，鐵柱意外發(fā)現(xiàn)了“遠(yuǎn)程桌面服務(wù)”，嘗試操作系統(tǒng)后并未發(fā)現(xiàn)異常，他一陣狂喜：“這下應(yīng)該可以拿到關(guān)鍵數(shù)據(jù)了!”最終，他決定通過(guò)口令爆破獲取賬號(hào)密碼并嘗試登入系統(tǒng)。

恭喜鐵柱!“成功”跳進(jìn)了蜜罐的圈套。蜜罐識(shí)別到攻擊并記錄了他在虛擬服務(wù)里的所有行為，包括請(qǐng)求IP、端口、請(qǐng)求時(shí)間甚至是輸入的密碼，都一一記錄在案，防火墻通過(guò)對(duì)蜜罐記錄數(shù)據(jù)的分析溯源進(jìn)行攻擊者定位及聯(lián)動(dòng)處置，快速將鐵柱緝拿歸案。

一、與其被動(dòng)“挨打”，不如主動(dòng)出擊

道高一尺魔高一丈，網(wǎng)絡(luò)技術(shù)飛速演進(jìn)，黑客的攻擊手法也變得愈加隱晦，面對(duì)網(wǎng)絡(luò)入侵者，防火墻可以融合邊界對(duì)抗所需的安全防御能力，從而抵御各類威脅。然而在攻防演練中，我們常處于“攻防信息不對(duì)稱”狀態(tài)，攻擊方是誰(shuí)、從哪里發(fā)動(dòng)攻擊、用何種手段均一無(wú)所知。因此，僅通過(guò)網(wǎng)絡(luò)邊界進(jìn)行被動(dòng)防御，威脅的發(fā)現(xiàn)往往是滯后的。

而蜜罐作為一種網(wǎng)絡(luò)主動(dòng)防御技術(shù)，當(dāng)攻擊者被成功引入后，蜜罐會(huì)實(shí)時(shí)記錄、審計(jì)攻擊者的攻擊流量、行為和數(shù)據(jù)，我們可以清晰了解到黑客所使用的工具和方法，掌握黑客的攻擊動(dòng)機(jī)及社交網(wǎng)絡(luò)行為并進(jìn)行攻擊溯源、取證等。

如果將防火墻的智能防護(hù)能力與蜜罐的誘捕溯源能力相結(jié)合，各系統(tǒng)充分聯(lián)動(dòng)、信息共享，便可以在有效信息情報(bào)的基礎(chǔ)上對(duì)入侵者進(jìn)行鎖定與處置，展開(kāi)全面、精準(zhǔn)的溯源反制，縮短威脅處置時(shí)間，最終在實(shí)戰(zhàn)攻防中占據(jù)先機(jī)。

二、云網(wǎng)聯(lián)動(dòng)，三招“制服”攻擊者

從主動(dòng)防御視角來(lái)看，下一代防火墻聯(lián)動(dòng)云蜜罐可以從以下三招入手，通過(guò)主動(dòng)誘捕、精準(zhǔn)識(shí)別、深度溯源，有效解決被動(dòng)型安全防御面臨的攻擊行為感知不及時(shí)、處置效率低、分析過(guò)程繁瑣等問(wèn)題。

招式一：主動(dòng)誘捕、多樣引流

在事前階段，我們需要主動(dòng)去獲取攻擊者的身份信息。

從“被動(dòng)”等待踩陷阱，到“主動(dòng)”誘敵深入，深信服下一代防火墻構(gòu)建偽裝業(yè)務(wù)/應(yīng)用訪問(wèn)端口，并指向云端蜜罐，同時(shí)，管理員可直接通過(guò)防火墻按需上傳業(yè)務(wù)、主機(jī)相關(guān)文件，云端將自動(dòng)生成偽裝業(yè)務(wù)，一旦外部訪問(wèn)到偽裝業(yè)務(wù)/應(yīng)用，即會(huì)跳轉(zhuǎn)云端蜜罐，實(shí)現(xiàn)誘捕。

▲防火墻聯(lián)動(dòng)云蜜罐捕獲攻擊者信息

招式二：指紋識(shí)別、持續(xù)阻斷

黑客在攻擊過(guò)程中會(huì)結(jié)合多種自動(dòng)化工具獲取信息，也十分擅長(zhǎng)通過(guò)“修改IP”等方式變換、偽裝身份。因此，要想精準(zhǔn)識(shí)別攻擊者行為，需通過(guò)識(shí)別攻擊者指紋并進(jìn)行IP鎖定，防止攻擊者換IP攻擊。

區(qū)別于普通防火墻僅支持IP識(shí)別攻擊者，深信服下一代防火墻AF通過(guò)創(chuàng)新合入人機(jī)對(duì)抗anti-bot技術(shù)，以主流18+瀏覽器指紋精準(zhǔn)識(shí)別自動(dòng)化工具，能夠依靠瀏覽器指紋特征準(zhǔn)確識(shí)別ZAP、AWVS、BurpSuit、AppScan等漏洞掃描工具，并在入侵者“信息收集”、“漏洞探測(cè)”階段提前發(fā)現(xiàn)黑客行為和機(jī)器碼。

▲開(kāi)啟人機(jī)識(shí)別功能后，精準(zhǔn)識(shí)別到AWVS漏洞掃描工具

同時(shí)，深信服云蜜罐將獲取的攻擊者信息，同步至下一代防火墻，管理員通過(guò)防火墻管理界面即可知悉存在威脅的攻擊者，一鍵阻斷具備指紋信息的攻擊者，即便攻擊者變換 IP也無(wú)法發(fā)起入侵行為，構(gòu)建“硬核”的主動(dòng)防御網(wǎng)。

招式三：深度溯源、全網(wǎng)狙擊

溯源是威脅識(shí)別檢測(cè)、聯(lián)動(dòng)阻斷后的關(guān)鍵一步。攻防演練中，傳統(tǒng)入侵檢測(cè)產(chǎn)品可以檢測(cè)到攻擊者的入侵手段，但往往難以全面記錄攻擊者入侵的所有行為及證據(jù)，即便檢測(cè)到威脅卻無(wú)法溯源到攻擊者的真實(shí)身份，不能徹底解除威脅。

深信服下一代防火墻可以通過(guò)云蜜罐功能對(duì)黑客的全網(wǎng)攻擊過(guò)程進(jìn)行記錄，深度溯源指紋信息、社交信息、位置信息等并分析獲取“黑客畫(huà)像”，根據(jù)黑客畫(huà)像快速判定攻擊者真實(shí)身份，關(guān)聯(lián)攻擊鏈后一鍵反向探測(cè)端口、漏洞信息，最終在攻防演練中還原攻擊者所有行為，并實(shí)現(xiàn)全網(wǎng)狙擊。

深信服下一代防火墻與云蜜罐智能化結(jié)合，充分發(fā)揮系統(tǒng)化的主動(dòng)防御能力，在攻防對(duì)抗中捕獲更多內(nèi)外網(wǎng)攻擊行為，并聯(lián)合云端高級(jí)捕獲與分析技術(shù)，獲取攻擊方的指紋信息、工具、手法、攻擊軌跡等，進(jìn)行全面分析溯源并采取反制措施，實(shí)現(xiàn)“全面檢測(cè)、主動(dòng)誘捕、指紋識(shí)別、聯(lián)動(dòng)阻斷、深度溯源”的閉環(huán)。

深信服下一代防火墻云蜜罐支持基于攻防實(shí)踐經(jīng)驗(yàn)的重點(diǎn)監(jiān)控模式，對(duì)“反序列化攻擊、上傳shell”等攻防中的高危攻擊行為進(jìn)行重點(diǎn)監(jiān)控設(shè)置，有效扭轉(zhuǎn)攻防局勢(shì)，其檢測(cè)溯源、聯(lián)動(dòng)處置能力得到客戶的信任與高度認(rèn)可。

未來(lái)，深信服下一代防火墻將繼續(xù)加強(qiáng)以云蜜罐為重要構(gòu)成的主動(dòng)防御能力，持續(xù)提升產(chǎn)品安全能力及用戶體驗(yàn)，更有效地幫助用戶抵御安全威脅。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）