明鉴®迷网系统

明鉴迷网系统一款融合网络欺骗技术、“先发制人”的主动防御技术以及追踪溯源技术,从而达到攻击流量转移、攻击行为隔离、攻击溯源取证的多层次防御效果的主动防护产品。
返回列表
概述

安恒明鉴®迷网系统是一款融合网络欺骗技术、“先发制人”的主动防御技术以及追踪溯源技术,从而达到攻击流量转移、攻击行为隔离、攻击溯源取证的多层次防御效果的主动防护产品。

适用于各网络环境下的政府、金融、教育、国防等包含大量用户数据、资金等敏感信息的行业,可用于支持各类重大会议的安全顺利召开。


安全现状

据美国某专业安全咨询机构统计,当前90%的安全事件发生在内部网络,而其中75%网络攻击发生在应用层。尽管近年来出现的IDS/IPS(入侵检测及入侵防御系统)能够针对应用进行识别和管控,但显由于局限性,在使用中,存在着难以检测新类型黑客攻击方法,可能存在漏报和误报的问题;并且,针对外部攻击者路径的溯源、其行为模式的分析以及对数据完整性、保密性的高要求,IDS/IPS技术都无法给出保证。

传统的安全技术仅限于被动防御,在攻击行为发生后对其予以识别,再对攻击进行阻隔,这种模式有一定滞后性,让防御方处于防不胜防的挨打局面,且在极大程度上难以保证系统的安全、敏感数据的安全等,因此需要一种“先发制人”的主动防御技术来扭转这种不对称的局面,通过对攻击方的目的进行技术性分析及预判,有针对性的防止可能发生的攻击。蜜罐技术正是利用这一特点,通过干扰攻击者的认知,隐匿真实数据资产,扭转攻击方与防御方之间攻防不对称的局面。


产品定位

安恒明鉴®迷网系统是安恒信息自主研发的具有自主知识产权的安全产品;该系统对信息安全业内所熟知的蜜罐(Honeypot)技术进行多年研究成果的基础上,针对行业用户需求量身定制的一整套交互式系统产品,主要通过虚拟出具备脆弱性的网络信息系统,吸引攻击者攻击,从而达到对攻击者行为信息进行收集、分析的目的,并以其成果巩固信息系统安全建设。

传统的安全技术仅限于被动防御,而迷网系统旨在改变网络攻防博弈不对称局面,诱导和记录攻击行为,隐匿真实信息资产,延缓攻击进程,感知内网攻击情况,以极低的误报率对内网攻击行为进行预警,通过回溯攻击行为,构建行为分析模型,依托威胁情报,扩充特征库,有针对性地预防可能发生的攻击,提供更大范围的保护网络安全运行。


产品功能

灵活部署,易于维护,支持集中管理

迷网系统部署方式简单,提供丰富的节点类型供选择,用户可以根据自身业务系统情况和网络环境,选择节点类型,同时支持根据网络密度,按需部署蜜罐节点。系统采用docker容器和虚拟机镜像管理,支持一键部署,减轻运维人员和用户的工作量。

迷网系统由分析管理中心和分布式的蜜罐节点组成,对不同网段的数据资产进行伪装和防护,将获取数据送往分析管理中心,系统支持对上千蜜罐节点的统一管理。

拟态诱导,高低蜜罐搭配

传统的蜜罐网络思维指导建立的节点,往往是静态的,不变的,其系统、数据及可用性的改变,往往由网络维护人员手动进行,或是因遭到外部攻击者攻击而发生不可逆的改变。这一机械的、教条的特点,也正是导致节点真伪容易被攻击者轻易辨别的原因。

针对这一问题,迷网中的节点会结合行为模式数据库、攻击者行为数据库以及机器学习特性,半自动或全自动地在节点及节点承载的应用上进行交互,同时在遭到攻击时产生高度仿真的防御、反击响应。

这类拟态行为反应,能够更大程度地诱导攻击者的深入攻击,通过低交互蜜罐监测扫描渗透行为,并根据黑客的工具和行为,创建对应的高交互蜜罐,进一步的诱导其通向新攻击路径,获取更多的黑客信息,并把黑客始终套在其中,更好的隐匿和保护真实的业务系统。

实时监测,快速响应预警

迷网系统通过蜜罐节点反馈的大量日志信息,迅速识别攻击者攻击,并以短信、邮件等形式实时通知相关人员,提供应急响应支持,让相关人员第一时间感知到各类网络攻击行为,降低客户信息资产受损风险。

此外,迷网系统所提供的高交互蜜罐节点,集成了安恒EDR,即采集终端安全监测和响应技术,不仅收集攻击者的扫描、渗透、漏洞利用数据,还很好的监测文件罗盘,进程启动和非法外联,攻击者无法通过常规的方式发现EDR的存在,在攻击者尝试控制系统或利用节点对外攻击到的时候,蜜罐内的EDR可以立即采取主动响应措施,切断风险源,保证自身安全。

回溯攻击行为,威胁情报分析

迷网系统通过大量的蜜罐攻击记录,记录攻击者执行的操作命令,将这些日志内容汇总在管理中心,并以视频和绘图的方式回放攻击事件,便于用户全面直观感知攻击过程,并为攻击取证提供支持。

系统能够基于多源头的威胁情报进行分析,结合从迷网内部各节点或外部分布式节点反馈的攻击者及访问者行为数据,建立攻击行为分析模型,对安全态势做出感知,从而基于感知结果对可能出现的黑客攻击,尤其是有组织或是国家支撑的黑客攻击进行预测,协助客户感知核心资产威胁,实现针对性主动防御,为包括定向流量牵引、仿真响应过程等步骤实现可能。

关联分析溯源,追捕非法攻击

依托大数据行为分析技术,蜜罐节点将收集到黑客入侵的行为数据汇总至迷网系统的分析管理中心,通过数据关联分析,借助多个视角综合分析,及时精确的定位攻击源,提供更有价值的威胁情报,结合威胁情报库、融合多个源头情报对迷网内部节点及外部节点所映射出来的国家级黑客APT攻击行为进行精准提取。

网络虚拟空间中的诱捕并不如自然界生态圈中的简单易行,迷网本身也不具备任何强制性的,暴力的捕获能力。事实上,在每一次攻击发生,或是完备的诱捕计划得到阶段性成果后,所获得的信息,需要相关部门及迷网团队结合外部其他情报部门的情报源,对情报准确度进行校正,同时在尽可能短的时间内以这些情报为行为指导,从而折射到现实空间中,由相关的执法机关对其诱捕对象进行追溯、打击、抓捕。


产品优势和价值

部署成本低、风险小

安恒明鉴迷网系统其核心,在设计之初即贯彻了弹性、灵活的设计思想,为多种不同信息系统(如政府内部信息系统、行业应用系统、特殊单位业务系统)的仿真落地提供了不同的部署方式,整个过程无需中断网络中的任何服务或对现有网络进行任何调整。

旁路部署,不影响正常业务

安恒明鉴迷网系统中所设想的中心组件及其节点,支持半自动化及全自动化一键式部署方式,理想状况下只需键入需部署的IP段,核心系统将自动完成配置,并同时完成与既有IDS、防火墙、交换机之间的强联动配置,不影响正常的业务。由于此特性,给系统带来了很多灵活性,最重要的是系统能够比传统的在线检测产品做更加全面和深入的安全检测,能够发现更多安全威胁。

权威漏洞库和威胁情报

安恒明鉴迷网系统应用的漏洞库是我们的安全团队多年来在安全领域不断积累的成果,除此之外,我们与国内外权威的漏洞库提供商深入合作,系统能够实时更新对应的漏洞库,应对最新的漏洞和攻击。

随着威胁情报在还原已发生的攻击和预测未发生的攻击方面的重要作用。安恒信息非常注重情报中心的建设并与国内外相关机构展开合作。提供了很多高质量的库,比如黑客IP库,黑域名库,恶意URL等,

海量存储和精准分析能力

安恒明鉴迷网系统以分析平台为核心,采用分布式,大数据存储和分析技术,为用户提供海量数据存储。另外,给安全运维人员提供了丰富的数据检索接口,有助于他们分析攻击过程。


总结

杭州安恒信息技术股份有限公司的核心团队拥有多年互联网应用安全攻防、网络安全审计、数据库安全审计的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术,为明鉴迷网系统的成功推出奠定了有力的基础。

安恒明鉴迷网系统立足于蜜罐和蜜网的理念,基于欺骗式防御技术,采用自主研发的仿真伪装技术,实现了分析管理中心、仿真平台,闭环了蜜罐的部署,隐匿资产,信息采集,告警通知,攻击情景还原。以主动的方式护卫内部网络的安全,相对于传统的防火墙技术和入侵检测技术,迷网主动防御的技术具备极低的误报率,并可以捕获未知的攻击方式,收集更有价值的威胁情报。

安恒产品/服务现有的客户涵盖公安、运营商、政府、地税、金融等各个行业,许多企业都使用安恒产品提升企业整体安全性。


杭州安恒信息技术股份有限公司 版权所有 © 2007-2018 浙ICP备09102757号 浙公网安备33010802003444号 | 法律声明 | 隐私保护 |