什么是欺骗防御?
让入侵者相信内网中存在有价值且可利用的安全弱点,并具有值得攻击窃取的资源(伪造的或不重要的),从而将入侵者引向这些蜜标。允许防护者跟踪入侵者的行为,在入侵者入侵窃取重要信息之前修补系统可能存在的安全漏洞。
在真实环境中,如何诱导攻击者攻击蜜罐?
蜜罐上会部署一些弱安全的服务,例如弱口令或者漏洞,来吸引攻击者攻击。
在攻击者容易发现的地方放置蜜标,例如账号密码,证书等等。
蜜罐如何感知恶意攻击?
蜜罐通过监控攻击者的网络流量和进入蜜罐后的异常行为,来获取攻击者。
探针可以部署在哪些系统上?
探针可以部署在任意系统,包括但不限于 Windows、Ubuntu、Centos、Macos。
部署探针是否会存在安全隐患?
探针在部署机器上只起到代理作用,用于流量转发,攻击者无法对部署机器进行任何操作,可以保证部署机器的安全性。基于 SSL 加密的探针和中控交互,可以保证通信的安全性。
如何部署蜜罐?
蜜罐高度集成在御阵中心,蜜罐无法直接和用户环境通信,与外部环境通信需要通过欺骗防御与威胁感知系统中心配置。
客户内网环境中每个区域建议部署多少探针?
探针的数量不受蜜罐数量限制,可以实现多对一,建议机器与探针的比例是3 : 1,3台机器可以部署1个探针。该比例可以保证欺骗防御与威胁感知系统对内网节点的全面覆盖。
如何实现探针的部署?
根据探针与蜜罐的绑定与选择,可以有针对性地部署探针。欺骗防御与威胁感知系统分为两种蜜罐,报警蜜罐和主机蜜罐,报警蜜罐成本低,方便扩容,主机蜜罐成本高,可以实现对攻击数据的细粒度感知。
针对公司的核心资产区(如数据,运维区域),可以多部署主机蜜罐,并在不同区域绑定不同蜜罐。例如在数据区、生产资料区,可以多绑定数据库蜜罐和中间件蜜罐。在办公区,可以多绑定 Windows 系统蜜罐。在服务器区,多部署 Linux 系统蜜罐。
非重要区域可以多部署报警蜜罐,在节省成本的做到对内网的全覆盖。