登录
2022.09.23
3159
北京探真科技有限公司
2022年,云原生技术鲲鹏展翅、激浪千尺,迎来了行业应用的大爆发。同时,云原生技术使得许多传统安全防护技术焕发新生,进化为“新物种”,以解决新世界的安全问题。让安全威胁不再成为云原生技术的“阿喀琉斯之踵”。
今天我们讨论的就是“蜜罐技术”。
如果说传统的防火墙和WAF做的是“拒敌于门外”,那蜜罐技术所做的就是“诱敌于阵中”。相比于传统的防御手法而言,蜜罐技术更加主动和隐蔽,其主要优势在于能主动诱导和记录网络攻击行为,延缓与阻止攻击者对真正目标的攻击,并结合产品其他能力提前于真实环境发现攻击并对攻击进行分析和拦截。但同时,传统模式下的蜜罐也面临部署不便、诱饵扩展性差、与真实业务关联度低等一系列问题。
相比于传统蜜罐,云原生架构下蜜罐具有明显的优势,体现在:
1.诱饵容器按需弹性部署,隐藏于业务集群中,伪装性强,可以被弹性调度到任意节点。
2.容器生态繁荣带来了各种轻量级诱饵环境,可以插件化持续扩展诱饵类别。
3.诱饵容器pod可以以独立的工作负载存在,或者以sidecar容器注入到业务正常的工作负载之中。
探真科技尝试拆解“主动”+“防御”二词,以全新的方式定义主动防御,让蜜罐的能力不再局限于检测与告警。TensorWatson通过智能学习东西向网络流量,构建威胁模型,将符合条件的攻击流量主动导向至诱捕容器。同时,还会对后续的攻击行为进行持续跟踪,一旦发现高风险行为,系统将对攻击发起源进行隔离。
——TensorWatson·主动防御的应用场景
在强对抗场景下,传统的安全产品难以做到针对所有攻击的防御,一些技术高超的黑客能够绕过拦截抵达内网,尤其是近年来频发的0day攻击,给企业安全带来了极大挑战,一旦有攻击者成功突破边界,那在内网的横向移动几乎不可阻挡。
而TensorWatson·主动防御很好地解决了这个问题,通过部署高仿真的诱饵容器,让攻击者难以真正区分正常业务与诱饵,同时借助流量分析与主动牵引,“强行”将攻击者带入诱饵容器,在告警的同时,主动分析攻击者行为,进而实现攻击阻断。
——TensorWatson·主动防御的能力优势
1.双模式诱捕能力
TensorWatson包含了不同类型的漏洞诱饵镜像,并提供主、被动双模式攻击诱捕能力。
被动模式,即通过插入诱饵吸引攻击者扫描攻击从而发现威胁行为;
主动模式,则通过识别并牵引攻击流量到蜜罐,实现更高强度的攻击诱导。
2.主动流量牵引
TensorWatson通过学习环境内正常东西向流量,构建正常流量模型。一旦发现存在攻击的特定请求行为,即主动将其导向至对应的蜜罐容器中,并对请求进行监控与告警。
3.内核态攻击识别
TensorWatson基于eBPF技术构建了针对诱饵容器的有效攻击行为检测能力。并提供全面的针对容器内的系统调用、文件读写、命令执行、网络调用等全面的行为捕捉能力。针对诱饵容器进行高敏感度的全面监控,提供事中的决策判断与事后的溯源分析。
4.持续监控与攻击阻断
TensorWatson还可以对进入蜜罐的攻击行为进行持续跟踪,并即时评估其风险等级。当满足特定条件时,TensorWatson将针对特定协议、特定请求、特定容器进行精细化阻断。在告警的同时,彻底阻止攻击者的进一步攻击。
此外,为避免诱饵容器被黑客利用,进而发动横向攻击,影响用户环境。TensorWatson提供了以下安全保障:
1.诱饵镜像本身经过了安全专家严格筛选,且业务单一,避免引入其它可能造成风险的组件。
2.蜜罐存在于内网,攻击者触发蜜罐报警是存在于一定权限基础上,不会引入额外攻击风险。
3.提供了“只进不出”的网络隔离配置。可随时开启,保证在强对抗场景下可使攻击者无法通过网络横向移动到其它容器。
运用原生思维,改造和革新传统“蜜罐”,这是探真向云原生新世界探求真理的一小步。
人类对月球的探索从未停止,探真也将积跬致远,助力企业构建云原生新世界安全体系!
手机:19925407556
邮箱:info@c-csa.cn