随着云、大、物、移、智等新技术的深度发展,业务应用及it环境都发生了巨大的变化,业务系统规模越来越大、信息管理日趋复杂、资产数据爆发式激增,来自攻击者的勒索病毒、apt等新型攻击威胁也不断高涨。
2020年12月,知名it公司solarwinds旗下的orion网络监控软件更新服务器遭黑客入侵并植入恶意代码。攻击者入侵了it公司solarwinds,利用其软件渠道向该公司的18000个orion平台客户发布恶意更新,导致美国财政部、商务部等多个政府机构受到长期入侵和监视。
2020年6月,澳大利亚航运及物流公司toll集团遭到勒索软件攻击。据悉,这是四个月内toll集团遭遇的第二次勒索软件攻击,另一次攻击事件发生在今年2月份。经调查发现,被攻击系统中存在nefilim勒索软件(由 nemty 演变而来的新一代勒索软件)。该勒索软件会利用暴露在外的远端桌面(rdp)连接进行散播,并使用 aes-128 加密来锁定文件,不法分子会以公布机密资料作为理由来勒索企业。
2020年4月,欧洲公用事业巨头、世界上最大的可再生能源开发商之一葡萄牙跨国能源公司edp(energias de portugal)遭到勒索软件“ragnar locker”攻击。黑客声称已经掌握了10tb机密信息,要求edp在20日内以比特币的形式交付1000万欧元赎金,否则就将公开这些数据。
为何企业的安全防御体系越来越完善,应对互联网的攻击和非法入侵行为的手段也越来越多,但依然无法有效减少恶意攻击的数量呢?究其根本,大多数安全体系都处于被动救火式防御阶段,防御体系背后的资产依旧存在着暴露过多的情况。恶意攻击者只要接入到目标网络后,就能轻易窃听扫描获得大量可二次攻击的目标资产。这些资产真实存在于网络中,攻击者无需花费时间以及精力去辨识资产本身的真假以及是否为防御者布置的诱饵,只要采用较好的隐蔽手段就能长久潜伏于目标网络中。当下资产暴露过多已然成为制约安全运营效率提升的重大问题,这为防护者带来了极大的被动性。
打破僵局,变被动为主动
若长期如此,企业将永远处于被动状态,资产安全也无法得到保障。而天融信安全运营之主动防御方案,选择变被动为主动,采用蜜罐欺骗防御技术,在网络中部署大量仿真主机,增加网络资产迷惑性,诱导攻击者对错误的目标发动攻击,耗费其大量精力,提前暴露其攻击意图和攻击来源等信息,降低真实资产被攻陷的概率并增加攻击者被发现的概率,弥补网络防护体系短板,进而提升网络的主动防御能力。
天融信蜜罐欺骗防御技术采用sdn、nfv、容器等一系列先进的技术,能够快速构建大规模蜜罐网络,并具备攻击快速发现、攻击威胁取证以及威胁情报输出等三大特点:
攻击快速发现
支持30余种交互协议,可识别数十种已知或未知威胁类型,并进行实时告警,弥补了基于规则库的防护设备在未知威胁、apt、0day漏洞等存在的不足。
攻击威胁取证
全方位记录从网络行为到主机行为的所有攻击行为,有效还原加密流量,抓取的pcap包可下载到本地,留存攻击证据,为网络管理收集信息、描绘攻击者画像提供高价值威胁情报。
威胁情报输出
支持以邮件、syslog等多种方式同时向多平台外发威胁情报,确保了情报的及时传递,适应用户的各种网络环境。
近些年来,网络安全正在逐渐受到重视,国家也在不断出台安全相关政策法规加强安全运营相关工作,其中《网络安全法》要求企业履行法律义务保障所运营网络运行安全,“等保2.0规范”明确要求二级及以上被保护对象应建立安全管理中心进行集中安全管理。无论是现实需求还是政策要求,都表明着安全运营已经成为安全体系中非常重要的工作。
目前,天融信安全运营之主动防御方案已在运营商、海关、金融、军工等多个行业帮助用户强化威胁发现能力,通过长期实时分析并捕获流量,发现网络中存在的异常行为,从而帮助管理员及时采取防护措施,完善防御机制,保障业务安全。未来,天融信将继续秉承开放、创新的研发理念持续深耕主动防御技术领域,帮助客户在安全运营中实现从被动防御到主动防御的转变,促进网络防护能力的长效提升。
- 关键词标签:
- 天融信 企业安全防御体系 蜜罐欺骗防御技术