2020年，于國于企業(yè)而言都是艱難的一年，可是越是艱難，越要不忘初心，堅持成長。

近年來，隨著攻防手段的不斷演變，不論是交鋒日益激烈的網(wǎng)絡安全日常防護，還是常態(tài)化的網(wǎng)絡攻防演練，高對抗性儼然成為了網(wǎng)絡安全攻防的本質。市場在明確對抗重要性這一前提下，越發(fā)注重能夠擺脫“原地等待被動挨打”現(xiàn)象的主動防御，而可以實現(xiàn)網(wǎng)絡威脅誘捕與溯源的蜜罐技術就這樣逐漸得到廣泛關注。

基于知道創(chuàng)宇十余年國內(nèi)外網(wǎng)絡安全大數(shù)據(jù)積淀，“創(chuàng)宇蜜罐”在經(jīng)歷了三年的威脅誘捕和溯源技術創(chuàng)新、產(chǎn)品打磨落地后，終于在2020年收獲了屬于它的極速成長過程。

創(chuàng)宇蜜罐客戶案例

網(wǎng)絡安全沒有捷徑，必須依賴于技術的厚積薄發(fā)。做足準備的創(chuàng)宇蜜罐在這一年中發(fā)揮自身創(chuàng)新技術與產(chǎn)品優(yōu)勢，在競爭激烈的市場中脫穎而出。

01 突破創(chuàng)新，深鉆誘捕溯源技術

(1)關于誘捕技術

創(chuàng)宇蜜罐通用版和定制版已累計打造用于誘捕的蜜罐50余種，覆蓋操作系統(tǒng)、數(shù)據(jù)庫、中間件、常用軟件、Web網(wǎng)站等多種類型。客戶可自定義網(wǎng)站名稱、LOGO，配合知道創(chuàng)宇安全研究團隊提供的“養(yǎng)”罐方案更新數(shù)據(jù)庫內(nèi)容和網(wǎng)站資訊等，讓蜜罐更加逼真、更具迷惑性。

將客戶環(huán)境中部署的多個蜜罐構建成蜜場(LAN)，讓黑客在蜜場之間穿梭、流連忘返，以為自己攻入了客戶的真實內(nèi)網(wǎng)，殊不知自己的攻擊行動都被安全管理人員實時監(jiān)控。

創(chuàng)宇蜜罐部署架構

(2)關于溯源技術

創(chuàng)宇蜜罐在傳統(tǒng)IP溯源方式的基礎上，借助強大的溯源插件可以獲取黑客在網(wǎng)絡活動中多種虛擬身份。

通過對黑客所用客戶端指紋生成唯一的指紋ID，該指紋ID與知道創(chuàng)宇云防御體系所識別的攻擊者指紋ID保持一致，可以根據(jù)該ID識別攻擊者在全網(wǎng)的攻擊歷史，做到全網(wǎng)范圍的流量溯源和數(shù)據(jù)聯(lián)動。

在此基礎上，結合騰訊威脅情報和知道創(chuàng)宇安全大腦，對攻擊源及攻擊者身份進行精準匹配，協(xié)助客戶找到攻擊源，并對攻擊源進行黑名單標注，實現(xiàn)溯源反制。

創(chuàng)宇蜜罐溯源流程

(3)關于部署形態(tài)

創(chuàng)宇蜜罐提供私有化以及云端SaaS部署兩種形式，是目前市場上唯一一款可提供SaaS部署方式的蜜罐產(chǎn)品。

云端SaaS可實現(xiàn)1分鐘快速構建部署。同時提供SaaS智能域名一鍵接入功能，自成高敏感性子域名，在攻擊者使用子域名爆破攻擊的必經(jīng)之路上設置陷阱，提高攻擊捕獲可能性。

創(chuàng)宇蜜罐SaaS版模式對于中大型企業(yè)以及安全合規(guī)要求嚴格的客戶，私有化部署通過在各個防御網(wǎng)區(qū)放置陷阱入口，感知并將攻擊誘騙進蜜罐中隔離，快速構建欺騙防御環(huán)境。

創(chuàng)宇蜜罐私有版版模式

(4)關于自身安全

創(chuàng)宇蜜罐采用旁路部署的方式，無外部訪問權限，與客戶真實網(wǎng)絡資產(chǎn)不會發(fā)生任何直接聯(lián)系，能夠實現(xiàn)蜜罐跟客戶真實網(wǎng)絡環(huán)境的隔離。

創(chuàng)宇蜜罐的操作系統(tǒng)由知道創(chuàng)宇自研，有嚴格的安全策略，可實現(xiàn)跟外部環(huán)境的隔離。所以即使黑客把創(chuàng)宇蜜罐攻破，也無法將其作為跳板，橫向對客戶其它網(wǎng)絡資產(chǎn)進行攻擊。

02 厚積薄發(fā)，成就獨特產(chǎn)品優(yōu)勢

(1)全網(wǎng)溯源、攻擊重現(xiàn)

創(chuàng)宇蜜罐基于知道創(chuàng)宇的全網(wǎng)安全大數(shù)據(jù)庫，在這些安全大數(shù)據(jù)庫的支撐下，創(chuàng)宇蜜罐可實現(xiàn)覆蓋國內(nèi)、外的全網(wǎng)攻擊溯源，可進行精準黑客畫像，包括其使用的IP、設備物理地址、個人社交賬號、實時地理位置等。

知道創(chuàng)宇安全大數(shù)據(jù)庫

案例一

創(chuàng)宇蜜罐及時發(fā)現(xiàn)勒索病毒，為用戶保護真實資產(chǎn)安全。XX單位在網(wǎng)絡安全防護方案中配備了創(chuàng)宇蜜罐及創(chuàng)宇盾，創(chuàng)宇蜜罐發(fā)現(xiàn)黑客在蜜罐中進行字典口令爆破攻擊，爆破成功后攻擊者修改了賬號密碼，隨即上傳勒索病毒，創(chuàng)宇蜜罐實時發(fā)出告警通知客戶單位管理人員，管理人員即刻將攻擊源IP加入創(chuàng)宇盾黑名單，防止黑客對真實網(wǎng)絡資產(chǎn)發(fā)起攻擊。

蜜罐部署情況及攻擊截獲情況：

蜜罐部署情況

發(fā)現(xiàn)某內(nèi)網(wǎng)IP不斷對全端口發(fā)起掃描，確定對445端口大量掃描，協(xié)助客戶設備排查：

發(fā)現(xiàn)中毒機器，防止內(nèi)網(wǎng)橫向攻擊：

案例二

2020年專項安全演練，某省級事業(yè)單位在外網(wǎng)放置蜜罐偽裝成本單位的行政系統(tǒng)，將誘惑性強的域名解析到蜜罐地址上，應對攻擊方針對外網(wǎng)資產(chǎn)偵察、踩點事件。

7天捕獲威脅請求67w+次，10+起口令爆破、1起 webshell 上傳。經(jīng)過創(chuàng)宇蜜罐威脅分析引擎分析可以清晰看到每一次的攻擊命令，第一時間將危險攻擊源IP上報給處置組做封禁。

最后再通過全網(wǎng)溯源數(shù)據(jù)庫，得到攻擊者完整畫像，獲取到該攻擊者的畢業(yè)院校、工作單位、地理位置等信息。

(2)覆蓋全國的安全服務團隊

創(chuàng)宇蜜罐可共享公司豐富的服務團隊資源：

300+銷售及售前人員，覆蓋華北、華中、華南、西南、西北等片區(qū)，客戶遍及金融、能源、醫(yī)療、教育、政府、國企、央企、IT互聯(lián)網(wǎng)等行業(yè)，為客戶提供周到的產(chǎn)品解決方案咨詢服務。

200+安服、技服、客服團隊，為客戶提供安裝部署、升級運維、使用咨詢、安全分析等專業(yè)服務。

03 無懼挑戰(zhàn)，打造復雜場景下的產(chǎn)品應用

(1)蜜罐部署管理

創(chuàng)宇蜜罐提供SaaS版與私有版的部署方案，適用于多網(wǎng)絡場景的客戶;客戶端支持直連與中繼模式，無論是單網(wǎng)段還是跨網(wǎng)段場景，都能通過控制中心快速構建蜜場環(huán)境。強大的蜜場提供多種蜜罐類型與定制業(yè)務場景服務，構建出的蜜場環(huán)境能夠與實際網(wǎng)絡環(huán)境保持統(tǒng)一，具有強大的迷惑性。

(2)攻擊路線還原

捕獲數(shù)據(jù)是蜜罐的主要目的，創(chuàng)宇蜜罐威脅控制中心將晦澀難懂的數(shù)據(jù)流轉換為易于檢索、定位的攻擊日志。攻擊日志能夠清晰的呈現(xiàn)攻擊者從入侵到攻擊執(zhí)行的完整攻擊路線，讓用戶清楚的了解到攻擊者什么時候攻擊了什么蜜罐、采用了什么手段、執(zhí)行了哪些命令等，并且提供攻擊源數(shù)據(jù)全文檢索服務來作為工具，不依賴系統(tǒng)的獨立分析。

(3)精準溯源畫像

欺騙防御是一種主動安全防御機制，其最主要的特征就是能夠分析捕獲到的數(shù)據(jù)，從而了解攻擊者使用的方法并對其溯源形成畫像，便于事后追溯。創(chuàng)宇蜜罐數(shù)據(jù)分析中心將攻擊數(shù)據(jù)進行全面分析后生成一個個的可視化畫像，融入了捕獲到的攻擊者豐富的指紋信息，可以直觀的看到該攻擊者的常用手段、攻擊路徑以及可能與之相關聯(lián)的攻擊者。

(4)實時攻擊大屏

當蜜場構建完成后，創(chuàng)宇蜜罐還提供了數(shù)據(jù)豐富的風險大屏，全面動態(tài)展示網(wǎng)絡資產(chǎn)保護狀態(tài)，供用戶進行觀測。通過大屏實時監(jiān)測在蜜罐中的攻擊行為，對當前活躍在蜜罐中的攻擊者、攻擊手段等數(shù)據(jù)了如指掌。

(5)有效告警通知

一旦攻擊者踩入蜜罐陷阱，創(chuàng)宇蜜罐會第一時間發(fā)現(xiàn)，并通過站內(nèi)信、郵件等方式實時對用戶做告警。對異常的蜜罐及客戶端連接狀態(tài)也會進行消息上報，讓用戶能夠及時處理突發(fā)情況，保證系統(tǒng)穩(wěn)定運行。

(6)攻擊阻斷聯(lián)動

支持數(shù)據(jù)推送實現(xiàn)消息聯(lián)動，可以將蜜罐平臺所記錄的黑客威脅數(shù)據(jù)字段根據(jù)需要利用SYSLOG推送到其它安全可視化平臺上。這樣就提供了足夠的威脅情報數(shù)據(jù)分析的來源日志，并且實現(xiàn)與其他第三方設備聯(lián)動阻斷的能力。

(7)威脅態(tài)勢報告

基于對威脅事件的統(tǒng)計分析，并結合全網(wǎng)威脅情報，創(chuàng)宇蜜罐能夠根據(jù)威脅數(shù)據(jù)生成客戶網(wǎng)絡威脅態(tài)勢報告、評估威脅指標、預測威脅走勢并給出防護建議。整體安全局勢一目了然，方便安全管理人員進行態(tài)勢評估與趨勢分析，提前加固，防患于未然。

創(chuàng)宇蜜罐后臺數(shù)據(jù)1

創(chuàng)宇蜜罐后臺數(shù)據(jù)2

04 未來可期，應對更為嚴峻的安全挑戰(zhàn)

在網(wǎng)絡安全形勢日益嚴峻的環(huán)境下，國家出臺若干網(wǎng)絡安全政策，推動整個行業(yè)蓬勃發(fā)展，各行各業(yè)信息化基礎建設都逐步將網(wǎng)絡安全納入核心考察項目。

蜜罐產(chǎn)品已經(jīng)在攻防對抗、等保2.0、網(wǎng)絡靶場等業(yè)務場景下展示了優(yōu)秀的檢測防御能力，發(fā)揮了重要作用。一方面是對真實資產(chǎn)的保護，一方面是對黑客攻擊手法還原，可以協(xié)助公安機關找到黑客。并且在數(shù)據(jù)敏感的金融、工業(yè)領域;飽受勒索病毒之苦的醫(yī)療、教育行業(yè);積極開展網(wǎng)絡靶場應用的科研機構;網(wǎng)絡安全倡導及先行者的政府機構;業(yè)務穩(wěn)定要求非常高的IT互聯(lián)網(wǎng)企業(yè)等等多行業(yè)中，蜜罐產(chǎn)品都可以適用，為其網(wǎng)絡資產(chǎn)保駕護航，找到攻擊的始作俑者。

創(chuàng)宇蜜罐也可以及時發(fā)現(xiàn)勒索病毒攻擊、0day漏洞攻擊、挖礦等網(wǎng)絡攻擊行為，保護客戶網(wǎng)絡資產(chǎn)，降低網(wǎng)絡安全風險。

蜜罐從以往的開源應用，到逐步走向商業(yè)化并得到良好的市場認知，用了數(shù)十年。在未來，創(chuàng)宇蜜罐將無懼挑戰(zhàn)，走向一個新的歷史階段，為客戶帶來更大的應用價值，為網(wǎng)絡安全主動防御領域開啟新的篇章。