长亭谛听(D-Sensor)伪装欺骗系统是长亭团队基于多年网络攻防经验打造的国内首款欺骗伪装类产品,获得了国内第一个蜜罐类《IT产品信息安全认证证书》。
谛听(D-Sensor)基于欺骗伪装技术的核心思路,对网络攻击杀伤链进行全方位防护。首先,谛听(D-Sensor)在攻击者入侵的关键路径上部署诱饵和陷阱,诱导攻击者进入与真实网络隔离的蜜网,使攻击者在蜜网中攻击虚假目标、获取不实数据。然后,在与攻击者交互的过程中,谛听(D-Sensor)完整记录攻击者行为,捕获高级未知攻击,并对攻击者全面溯源,强力反制。最后,产品及时输出威胁情报,并可与其他安全产品快速联动,形成保护网。
谛听(D-Sensor)致力于为防守方提供先发制人的主动防御手段,可用于金融、政府、能源、运营商、互联网等包含敏感信息和机密数据的企事业单位。该产品伪装服务的仿真性、感知入侵的精准性,输出情报的高效性,是降低企业安全风险,减少甚至消除其经济损失的有力保障。
产品优势
网络杀伤链全防护
谛听(D-Sensor)结合长亭多年的攻防实战经验,从攻击者的视角出发,分析复杂的网络攻击中各个具体实施阶段的行为特征,针对性地设计了多种诱捕手段,覆盖网络攻击的完整生命周期,为企业提供高效、严密的欺骗防御方案。
蜜罐类型丰富,形态灵活
谛听(D-Sensor)内置了多种蜜罐类型,可模拟常见的服务、主机、数据库、中间件、漏洞特征、工控协议/组态、5G核心网元等,满足企业日常使用需求。
同时,谛听(D-Sensor)内置的蜜罐模板允许企业替换蜜罐中的数据、图片等信息,灵活改变蜜罐形态,满足企业个性化使用的需求。并且,企业可根据自身需求,基于谛听(D-Sensor)定制蜜罐,保障伪装欺骗效果。
内网大范围覆盖,探针支持配置多IP
欺骗防御的效果与攻击者触碰的概率紧密相关。提升触碰概率的方法除了提高欺骗系统的诱惑力之外,也可以通过扩大覆盖范围实现。但在面对企业庞大的内网资产规模时,传统的欺骗防御技术就会遇到挑战:
如果想充分发挥欺骗防御的效果,就需要相应地部署大量节点;但预算、虚拟机、机房空间、网络设备的接口资源、甚至具备欺骗防御知识的安全工程师都是有限的。如果随着资产量级的上升,而部署相应数量的欺骗节点,将带来难以预计的安全运维成本。
考虑到企业部署欺骗防御系统的以上痛点,谛听(D-Sensor)结合多年的服务经验,基于一贯的“管理节点-探针”旁路轻量化部署架构,研发了灵活编排的欺骗网络虚拟能力。
企业部署欺骗系统时,可以根据实际的网络区域划分和欺骗系统覆盖度需要,在网络中旁路虚拟出大量的主机,服务资产,并随时通过Web界面调整,实现集管理灵活、上架快速、节省资源、高交互仿真等多个优点于一体的内网欺骗防御系统全覆盖方案。
管理节点连接多网口探针,多网口探针连接到接入交换机,在接入交换机下的区域虚拟出大量资产。
多维度取证溯源,精准识别攻击者身份
在布下重重陷阱的同时,谛听(D-Sensor)使用了多种行为监控技术,完整记录攻击者入侵行为,由此能够协助用户分析攻击意图、实时调整安全策略、保护核心资产、占据防守先机。
谛听(D-Sensor)基于欺骗伪装的思路,深入挖掘了多种攻击者常用的安全工具、常利用的漏洞,自研出一身“黑科技”级别的客户端反制技术。当攻击者触碰到欺骗系统、发起攻击时,谛听(D-Sensor)能够基于这些反制技术,获取攻击者的设备信息.真实IP、社交媒体账号,甚至真实名称、屏幕截屏等信息。
同时,谛听(D-Sensor)可以集成外部威胁情报的资源,在攻击的早期直接获取攻击者的威胁等级、威胁标签、设备类型、注册域名等信息。
谛听(D-Sensor)丰富的溯源取证渠道,能够为安全人员定位攻击者身份、追究法律责任提供强有力的证据,最终实现打击网络犯罪,震慑不法分子的目的。
简易轻量旁路部署,无负担上云
谛听(D-Sensor)通过旁路部署的方式接入客户网络,不会对运行中的业务造成影响,也不需要对原有的网络拓扑进行任何改动。“管理节点-蜜罐-探针”的轻量化架构设计,以及虚拟流量分发的技术,使谛听(D-Sensor)仅需占用少量的计算、网络、机房资源,即可实现客户全网络的欺骗防御覆盖。运行过程中,所有蜜罐和探针可在平台上统一管理,易于维护。
除此之外,谛听(D-Sensor)基于Docker容器管理的架构设计,天然支持云端部署,能够满足客户在全部业务上云的过程中,对于云上安全问题的诉求。谛听(D-Sen-sor)不仅支持将用于流量分发的探针部署在云端,还允许将蜜罐服务和管理平台全部上云,直接在云上组建密网,全方位保障云上安全。
底层隔离技术,切实保证产品自身安全
传统的蜜罐技术在实际运用中常常会面临安全性的问题,原因在干蜜罐要想实现高仿真的效果,一般都需要启用真实服务,虚拟机甚至主机。假如此类设施的网络隔离,安全审计不够完善,反而会成为攻击者的跳板,给企业引入额外的安全风险,这也导致很多开源、内部研制的蜜罐系统即使成本低廉,也难以实际运用在企业真实内网中。
长亭科技深知安全对干蜜罐系统的重要性,谛听(D-Sensor)系统设计架构之初,便充分考虑了蜜罐系统的安全性。谛听(D-Sensor)系统的各模块充分解耦,探针、蜜罐,管理系统后端,管理系统前端等系统部件独立运行,遵守严格的最小信任原则:模块内启用最小功能,关闭底层一切不必要的服务和功能;模块间传输流量时,进行严密的单向加密,身份认证和数据校验。辅以内研的容器逃逸检测技术,和本就强大的入侵告警能力,谛听(D-Sensor)从技术底层实现了抵御外部利用和及时告警的能力。
除此之外,谛听(D-Sensor)安全经验丰富的技术支持团队,也将全程保证系统部署的规范性,避免出现软件版的宿主机操作系统版本过低、依赖版本过低、开放多余端口、部署位置不合理等状况。
产品特点
多IP全端口威胁感知
谛听(D-Sensor)能监听多个IP全部端口的TCP/UDP异常流量,从而识别内网中的潜在威胁并及时告警。探针群大范围覆盖内网,共同构成一道严密的“警戒线”,让攻击者无所遁形。
异常流量监测与重定向
谛听(D-Sensor)提供适配多种操作系统的探针。探针一般部署于真实网络环境中,当探针发现异常访问时,可以将异常访问流量重定向至与探针关联的蜜罐服务中,诱导攻击者进入由数个蜜罐组合而成的蜜网环境,实现层层深入的欺骗效果。
高仿真交互蜜罐
谛听(D-Sensor)内置丰富的蜜罐服务模版,包括各类系统服务、Web服务和
数据库服务、工控蜜罐、5G核心网元蜜罐等。用户可根据业务需求布设蜜罐,实现应用、数据、协议、设备层等多维度欺骗。
谛听(D-Sensor)蜜罐允许用户自定义服务标识、伪装数据等,支持真实的访问交互,实现深度仿真、高度交互的伪装服务,从而诱导攻击者释放攻击载荷。
攻击预警与行为分析
谛听(D-Sensor)在监测到攻击行为后,会立即通过邮件、短信、Syslog等方式发出告警信息,并根据蜜罐所记录的攻击者行为日志,形成攻击者入侵时间线,完整记录其行为。产品支持日志下载、日志回放、PCAP流量下载和遗留文件下载功能。
谛听(D-Sensor)可根据攻击者的浏览器指纹,遗留文件、IP地址,威胁情报等信息,综合分析形成攻击者画像,智能关联攻击事件,精准定位攻击者。防守人员可根据产品记录和分析的攻击者行为特征,深度分析攻击者的攻击目标和攻击手段,第一时间判断攻击者意图,针对性地加固真实业务系统。
攻击者溯源和反制
谛听(D-Sensor)利用WebRTC技术等自研“黑科技”,可在攻击者入侵蜜罐时获取其主机信息、浏览器信息、社交信息、真实IP、代理IP。通过综合分析上述数据,专业安全人员可精确定位攻击者的真实身份。以上信息均可作为追究其法律责任的有效证据,协助网警打击网络犯罪,震慑不法分子。
威胁监控与展示
谛听(D-Sensor)内置的威胁监控大屏,可全面、动态展示伪装欺骗组网正在遭受的攻击,防守方可以通过大屏观察攻击者的一举一动。
