主动防御时代,开展全域流量检测至关重要
近年来,随着各行业领域数字化转型加速,网络空间面临的安全挑战也日益复杂多变,信息系统常常面临内网信息泄漏、服务器被远程控制甚至APT攻击等重大风险隐患,及时发现并处置网络安全威胁,实现全域的网络安全威胁检测则显得尤为必要和重要。
常规全流量检测产品虽然能够扩大威胁检测范围,但仍属于被动防御手段,很难在威胁行为对用户真实业务或数据产生影响前进行精准预警,导致用户难以判断攻击意图和识别潜在的威胁。例如在面对未知威胁时,仍存在误报和漏报的情况,且对内部人员违规、社工攻击成功后伪造身份的威胁行为也很难第一时间检测到,不能更好地适应当前复杂的网络安全环境和威胁态势。
蜜罐与全流量检测技术相融合,五大能力实现全域检测
春秋云阵新一代蜜罐结合主动防御+被动防御理念,以全域检测为核心,正如“酱香拿铁”一般,将欺骗防御技术与全流量检测技术两大防御类技术相结合,以全域检测、攻击诱骗、全流量检测、攻击者溯源、攻击事件溯源五大能力,解决威胁检测范围窄和事件分析效率低等痛点,同时实现攻击者溯源与攻击事件溯源场景全覆盖,优化传统防御体系,为政企用户提供更加全面、高效的安全防御策略和追踪溯源手段。
一、全域检测能力
永信至诚春秋云阵新一代蜜罐通过向办公网投放各种诱饵,将业务仿真场景捕获到的攻击流量牵引至蜜罐环境,精准预警威胁行为。同时旁路接入用户网络交换机的镜像流量,无论是否触碰蜜罐,均可以进行全面深度的威胁检测与分析,为用户提供虚实结合的全方位预警与检测能力。
二、攻击诱骗能力
春秋云阵新一代蜜罐贴合用户真实业务环境,利用独有的平行仿真技术,结合混合虚拟化技术实现对不同类型操作系统、内网的不同区域、业务系统数据的仿真,1:1还原真实业务场景,同时提供文件诱饵、邮件诱饵、浏览器诱饵等诱饵,引诱攻击者不断深入蜜罐场景,达到暴露其动机和技术手段、延缓攻击者时间的目的,从而使防御方牢牢掌握主动权,提升应对突发网络安全事件的应急响应速度。
三、全流量检测能力
永信至诚春秋云阵新一代蜜罐集威胁情报、新一代入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术于一体,对全域流量进行交叉验证降低误报和漏报概率,实现从扫描探测到行动收割攻击阶段的全覆盖,更可将不同阶段的攻击事件进行关联分析,提高事件分析效率的同时方便用户判断攻击阶段以及攻击载荷的分析。
四、攻击者溯源能力
永信至诚春秋云阵新一代蜜罐基于诱捕全流量重定向技术、混合入侵检测技术、全量威胁行为库,精准识别访问类型,提取行为数据特征,实现对攻击流量全量抓取,精确还原、清晰呈现攻击者从入侵到攻击执行的完整攻击路径;系统内置溯源反制插件,通过身份标签聚合,准确溯源攻击者更多样化的信息证据,以便对攻击者进行追踪和打击,同时可以验证攻击者的意图和目标,为应对后续的攻击提供支持和参考。
五、攻击事件溯源能力
春秋云阵新一代蜜罐具备网络全流量原始数据存储、应用层协议解析、攻击链溯源支撑、会话流量在线分析能力,在攻防演练和日常安全监测中对攻击事件进行全包的攻击取证、任意时刻的超快溯源分析、历史流量回放复查威胁,通过回溯分析数据包特征、异常网络行为,实现攻击事件数据包级的溯源取证,发现潜伏已久的高级未知攻击。
建立全流量检测体系,助力常态化安全建设
蜜罐与全流量融合理念旨在优化传统威胁检测手段、扩大威胁感知面、提高处置分析效率、丰富威胁溯源场景和手段,将多种能力汇聚于一体,解决单一传统安全设备检测能力不足、大量安全日志跨设备分析效率低、溯源取证困难等问题。春秋云阵新一代蜜罐以全域检测为核心,为用户构建全包取证、诱骗跟踪、溯源反制和攻击链条管理一体化能力,覆盖日常安全检测及攻防演练全场景,有效弥补用户现有检测防御体系的不足,帮助用户更好地发现攻击行为与安全隐患,保护真实资产,保障“数字健康”。
