對于獵人來說，蜜罐是用來捕熊的。把蜜罐偽裝成“食物”引誘熊前來享用，最后獵人再將熊捕獲。如今，蜜罐技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全中一種針對入侵行為的誘餌，目的是偽裝自己引誘攻擊者前來攻擊，并收集攻擊者畫像便于后期溯源。

　　不對稱的網(wǎng)絡(luò)安全攻防態(tài)勢

　　傳統(tǒng)的網(wǎng)絡(luò)安全防御是被動等待攻擊者，并將其關(guān)在門外。防御方式往往基于規(guī)則和特征庫的安全產(chǎn)品，很難察覺基于0day漏洞的攻擊。出現(xiàn)問題時，安全運維人員只能做事后修補(bǔ)。而實際上，攻擊者早已滲透到內(nèi)網(wǎng)并潛伏，網(wǎng)絡(luò)中的資產(chǎn)已是他們的囊中之物。

　　欺騙防御技術(shù)扭轉(zhuǎn)攻防的不對稱

　　Gartner對欺騙偽裝技術(shù)定義為：“使用騙局或假動作來阻撓或推翻攻擊者的認(rèn)知過程，擾亂攻擊者的自動化工具；延遲或阻斷攻擊者的活動，通過使用虛假的響應(yīng)、有意混淆，以假動作、誤導(dǎo)等偽造信息達(dá)到‘欺騙’的目的。”

　　綠盟攻擊誘捕系統(tǒng)（簡稱AES），基于欺騙防御技術(shù)，誘騙攻擊者入侵系統(tǒng)上生成的蜜罐主機(jī)，不僅可精準(zhǔn)定位攻擊源、回溯攻擊行為，且可在真實攻防對抗中，消耗攻擊資源、溯源攻擊者、反制攻擊者，幫助用戶解決攻易守難的困境，化被動防御為主動防御。通過設(shè)置“蜜罐”，你可以清楚地了解到：

　　1、誰想攻擊我？

　　2、誰在攻擊我？

　　3、誰怎么攻擊的我？

　　綠盟攻擊誘捕系統(tǒng)包括四大安全功能引擎：布陣仿真引擎、誘騙吸引引擎、感知溯源引擎、反制監(jiān)測引擎。

　　布陣&仿真：擾亂攻擊者視角，全內(nèi)網(wǎng)大量部署高交互蜜罐、仿真業(yè)務(wù)蜜罐

誘騙&吸引：吸引、牽制住攻擊，采取獨特的無感威脅引流，以及設(shè)置各類誘餌

感知&溯源：感知攻擊行為、攻擊者身份，基于攻擊鏈以及黑客畫像技術(shù)

反制&監(jiān)測：采取攻擊反制、情報聯(lián)動溯源攻擊、失陷主機(jī)處置

核心功能

　　全內(nèi)網(wǎng)高交互蜜罐部署

　　AES基于多網(wǎng)段部署蜜罐專利技術(shù)，無需鏡像、流量牽引、安裝agent，實現(xiàn)全內(nèi)網(wǎng)蜜罐部署。在用戶的運維區(qū)旁路trunk接入AES，便可在各個網(wǎng)絡(luò)區(qū)域、網(wǎng)段快速生成多個高交互的虛擬蜜罐。

　　完全仿真業(yè)務(wù)蜜罐

　　AES可快速生成完全模擬客戶真實業(yè)務(wù)系統(tǒng)的蜜罐，仿真業(yè)務(wù)蜜罐可與真實業(yè)務(wù)系統(tǒng)完全一致，吸引真實攻擊者，捕獲黑客攻擊行為、溯源攻擊者身份信息、社交賬號等信息。

　　引流防御-有效消耗攻擊資源

　　AES通過引流防御，可將訪問真實業(yè)務(wù)的攻擊流量引流到仿真蜜罐，對于攻擊者來說，攻擊的目標(biāo)是真實業(yè)務(wù)，實際在內(nèi)部已被替換成仿真業(yè)務(wù)蜜罐，攻擊者無法命中真實目標(biāo)。相對真實封堵IP，引流防御不僅直接保護(hù)了真實資產(chǎn)，而且有效消耗攻擊資源。

　　設(shè)置誘餌主動欺騙

　　AES在真實服務(wù)器上設(shè)置蜜罐誘餌（在真實服務(wù)器中設(shè)置虛假文件），在黑客攻陷服務(wù)器后，通過預(yù)設(shè)的蜜罐誘餌對其造成誤導(dǎo)，使其攻擊目標(biāo)轉(zhuǎn)向蜜罐，間接保護(hù)其他資產(chǎn)。

　　入侵攻擊鏈取證技術(shù)

　　AES結(jié)合網(wǎng)絡(luò)攻擊行為分析和蜜罐行為分析，極大地提高了攻擊鏈條的取證準(zhǔn)確率，將攻擊分為：探測掃描、滲透攻擊、攻限蜜罐、后門遠(yuǎn)控、跳板攻擊五大階段。用戶可以一鍵提取攻擊鏈條日志，形成取證證據(jù)。

　　高分辯率黑客畫像

　　AES記錄并分析出黑客畫像，包括5個維度的溯源信息：設(shè)備指紋、位置信息、社交指紋、反向探測-漏洞信息、資產(chǎn)登記信息。更加快速、精準(zhǔn)、直接定位攻擊者信息。

　　主動探測資產(chǎn)風(fēng)險

　　AES支持漏洞掃描、資產(chǎn)梳理等主動探測的功能，用戶可在事前進(jìn)行資產(chǎn)梳理、漏洞掃描監(jiān)測，排查潛在安全風(fēng)險的資產(chǎn)，在事后可幫助用戶提供失陷主機(jī)的漏洞加固建議，避免主機(jī)存在漏洞風(fēng)險導(dǎo)致重復(fù)失陷。

　　產(chǎn)品優(yōu)勢

　　1、有效提升攻防對抗能力

　　AES可有效幫助用戶對抗真實黑客的攻擊以及攻防演練，化被動防御為主動防御。

　　外部威脅對抗

　　可主動將攻擊流量吸引到克隆仿真蜜罐，讓攻擊者無法命中真實業(yè)務(wù)系統(tǒng)，并對攻擊者進(jìn)行溯源。

　　內(nèi)部威脅對抗

　　為了及時發(fā)現(xiàn)攻擊者通過社工、釣魚直接獲取內(nèi)網(wǎng)訪問權(quán)限，在內(nèi)網(wǎng)各個網(wǎng)段中部署大量高交互蜜罐，使攻擊者橫向攻擊過程中難以命中真實目標(biāo)，并且及時定位失陷主機(jī)、處置失陷主機(jī)。

　　2、滿足監(jiān)管與合規(guī)需求

　　等級保護(hù)2.0等監(jiān)管條例發(fā)布后對安全基本要求有了新的高度，其中對于主動防御、主動預(yù)警均有明確要求，要求開展內(nèi)網(wǎng)威脅處置、資產(chǎn)梳理、漏洞風(fēng)險檢測等安全工作。

　　3、提高安全運維效率

　　AES基于SDN部署技術(shù)，通過部署大量蜜罐陷阱可幫助用戶精準(zhǔn)定位內(nèi)網(wǎng)威脅，提供失陷處置方案，提高威脅處置效率。