十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
复杂的网络环境和高频率的网络攻击,让网络安全形势越来越严峻。熟悉安全行业的朋友应该知道,长时间以来“安全”都是比较被动的概念,许多企业通常是被动的防御,被动的部署,被动的建设安全设施。但是近几年来,一种更主动的安全技术——蜜罐,开始越来越被甲方公司所接受。蜜罐技术的优点在于,它可以伪装成正常的业务系统,迷惑黑客、捕捉黑客的攻击信息并且能对攻击进行溯源,让安全工作变得更为主动。
高邮网站制作公司哪家好,找创新互联公司!从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设公司等网站项目制作,到程序开发,运营维护。创新互联公司从2013年开始到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司。
蜜罐作为网络安全届的“网红”技术,有不少有实力的安全厂商推出了相关的安全产品。本文将围绕蜜罐技术的特点及优势进行探讨,并将当下有蜜罐技术相关商业化产品的公司做一个陈列,欢迎大家一同讨论,也为有相关安全需求的甲方公司提供一个简单的参考。
蜜罐是通过布设虚假资源来引诱攻击者采取行动,从而发现攻击与收集攻击信息。蜜罐是一种诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。
蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。(注:以下资料均来自各公司官网以及公开资料)
产品形态:SaaS
能否申请试用:能
产品页面: 创宇蜜罐
产品价格:最低300元/月
1.欺骗伪装,可以模拟企业多种真实业务
2.威胁告警实时告警,能及时阻断攻击
3.威胁态势同步展示,大屏实时监测威胁
4.可以对攻击溯源,并分析入侵路径与攻击源
5.系统状态性能监控
1.轻量、无侵入的客户端。仅包含数据转发与攻击感知的功能,使得客户端占用资源极少,可在较低配置的服务器上运行,不会对现有的业务造成影响。
2.高级仿真的蜜场集群。云端资源可快速调整,使得蜜罐可以根据用户的使用压力随时扩容。
3.威胁事件详情全记录。IT及运维人员在收到告警消息后,可以登入创宇蜜罐管理系统,查看此次威胁事件的详情。
4.各蜜罐之间实现联动,即便黑客已经入侵到实际资产中,也会被海量的蜜罐所迷惑。
5.蜜罐持续迭代创宇蜜罐与知道创宇404安全实验室密切合作,时刻关注着业界安全态势,持续不断地跟踪、研究新型攻击手法。
6.安全专家接入,在必要时刻,用户可联系创宇蜜罐团队一键接入知道创宇「紧急入侵救援服务」,协助用户实施专业的入侵应急措施。
产品形态:硬件、软件
能否申请试用:能
产品页面: 谛听
产品价格:无
1.全端口威胁感知
2.异常流量监测与重定向
3.高仿真高交互蜜罐
4.攻击预警与行为分析
5.攻击者溯源
1.东西向流量威胁感知能力。不同于传统内网安全产品基于已知漏洞规则库进行判定,谛听通过在攻击者必经之路上设置诱饵、 部署探针,监控攻击者每一步的动作。
2.用户可自定义多种服务型蜜罐,覆盖信息系统中常用服务类型,并且支持高度自定义蜜罐数据,使得蜜罐蜜网环境和真实 环境更加契合,具备极强的伪装性和欺骗性。
3.精准识别攻击意图,自动化完整取证。当感知到攻击行为,会在第一时间发起告警;通过完整记录攻击者入侵行为,能够协助用户分析其攻击意图。
4.基于Docker架构,天然支持云端部署,支持在云上组蜜网,全方位保障云上安全。
产品形态:SaaS
能否申请试用:能
产品页面: 幻阵
产品价格:无
1.基于行为的威胁检测
2.动态网络隔离攻击
3.设备指纹威胁溯源
4.防抵赖入侵取证
5.覆盖企业多种IT环境
1.基于行为的高级威胁狩猎,精确分析攻击源、攻击路径及手法类型,并且无需升级,帮助企业感知和防御0day风险。
2.根据攻击者行为和资产状态,实时构建动态沙箱,在不同网络环境中自动化部署沙箱、伪装代理、漏洞、诱饵等形成动态蜜网,实现对攻击者的全链路欺骗,使攻击者无法探测真实网络环境。
3.拥有机器学习设备指纹专利技术,结合云端黑客指纹威胁情报库,提前识别并溯源攻击者,内核级的攻击行为取证技术如实记录攻击者入侵手法和行为。
4.与企业安全防护产品联动,开放所有接口API,输出黑客行为、黑客画像、攻击轨迹,无缝对接企业防火墙、IPS、IDS、WAF等其他安全产品。
产品形态:SaaS
能否申请试用?:能
产品页面: 幻云
产品价格:无
1.攻击欺骗与转移
2.真实资产隔离防护
3.攻击过程捕获分析
1.有效应对高层次网络攻击,新型未知网络威胁、高级持续性威胁(APT)等高层次网络攻击。
2.幻云的攻击发现基于欺骗,几乎不会产生任何误报,可做到报警即发现。捕获的攻击数据具有日志量较少、包含信息量高、纯净不掺杂任何业务数据的特点。
3.增强协同防御能力,幻云捕获的攻击数据可加工形成标准的本地威胁情报输出,在其他安全设备和安全子系统中流动,增强用户原有安全体系整体防护能力。
目前国内提供蜜罐技术的公司主要就是上面这四家。而他们的产品主要功能大致相同,都是以欺骗伪装和攻击溯源为主。
知道创宇的创宇蜜罐在功能上非常丰富,能满足绝大部分公司的需求,包括数据分析、展示等,以及有专家1v1响应,这点还是十分不错的;
长亭的谛听是一款商业化很多年的产品,相比较来说经验更为丰富;
默安科技的幻阵从资料上来看没有很大的特点,是一款中规中矩的蜜罐产品;
锦行科技的幻云能找到的介绍资料很少,这里不过多做评价。
在此建议,公司或单位有蜜罐安全需求时,可以分别试用一下各家产品,选择最适合自己业务情况的一家。
国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。
蜜罐是用来吸引那些入侵者,目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。
蜜罐的目标及作用
蜜罐技术强大而灵活,不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作,与
IDS相比,蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务,也没有任何合法用户,但并不是网络上的空闲设备。因此,任何流入或者流出蜜罐的网络通信都可以是做可疑的,是网络正在被攻击的一种标志。
蜜罐的主要目标是容忍入侵者攻击自身,在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时,收集这些信息,从而根据其调整网络安全策略,提高系统安全性能。同时蜜罐还具有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用。
蜜罐的分类
蜜罐可以运行任何操作系统和任意数量的服务。蜜罐根据交互程度(Level
ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。
相反,低交互蜜罐只可以模拟部分系统的功能。高交互蜜罐和真实系统一样可以被完全攻陷,允许入侵者获得系统完全的访问权限,并可以以此为跳板实施进一步的网络攻击。相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。
从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。
蜜罐技术蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。不过,设置蜜罐并不是说没有风险。这是因为,大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任(downstream liability),由此引出了蜜网(honeynet)这一话题。蜜网是指另外采用了技术的蜜罐,从而以合理方式记录下黑客的行动,同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接,而是防止蜜罐建立出站连接。不过,虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除,所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。(务必同时监控日志服务器。如果攻击者用新手法闯入了服务器,那么蜜罐无疑会证明其价值。)近年来,由于黑帽子群体越来越多地使用加密技术,数据收集任务的难度大大增强。如今,他们接受了众多计算机安全专业人士的建议,改而采用SSH等密码协议,确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统,以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志,蜜网计划采用了一种隐蔽技术。譬如说,把敲入字符隐藏到NetBIOS广播数据包里面。详见