經(jīng)過一段時間的開發(fā)與籌備，安全狗于今日正式迎來主機安全聯(lián)動蜜罐解決方案的落地！

在此前，安全狗根據(jù)實際的安全場景，結合近幾年概念的演進和大量的安全實踐，融合近年攻防對抗中的實戰(zhàn)經(jīng)驗，開發(fā)出了涵蓋主機安全、容器安全、微隔離、補丁管理等安全需求的產(chǎn)品矩陣，形成了安全狗的工作負載安全解決方案。

云眼作為其中四件套之一，采用先進的自適應安全架構及端點檢測及響應（EDR）解決方案，提供云＋端的云安全管理平臺為用戶解決公有云、私有云和混合云環(huán)境中可能遇到的安全及管理問題。云眼主要包含資產(chǎn)管理、安全體檢、安全監(jiān)控、漏洞風險、入侵威脅、合規(guī)基線、威脅情報等多個功能模塊，各個模塊進行聯(lián)動，模塊間數(shù)據(jù)聯(lián)通，形成閉環(huán)系統(tǒng)，為企業(yè)提供強有力的采集、檢測、監(jiān)測、防御、捕獲能力，對主機進行全方位的安全防護。

此次升級后的云眼，與之前最大的區(qū)別在于微蜜罐的引入，以及能與蜜罐誘捕系統(tǒng)產(chǎn)生聯(lián)動，以此解決目前以APT攻擊為首的，對網(wǎng)絡安全威脅較高的黑客攻擊技術與手段。不僅適用于日常的安全防御體系的建設與完善，也適用于近年熱門的“大型攻防演練”場景。

主機安全聯(lián)動蜜罐解決方案“扭轉(zhuǎn)”被動局面

當前主流的網(wǎng)絡安全防御體系，一般是由防火墻、入侵檢測和防御、Web應用防火墻以及殺毒軟件組成，雖然從某種程度上也實現(xiàn)了縱深防御，但是這些安全產(chǎn)品的運作方式主要是依賴已知攻擊特征庫對網(wǎng)絡流量進行模式匹配，而對于新型攻擊、0day漏洞利用和APT等攻擊方式卻無能無力。

有“惡意商業(yè)間諜威脅”行為之稱的APT重則“撼動”國家安全系統(tǒng)，輕則勒索百萬到上億勒索贖金。在APT對國家、社會和企業(yè)的危害越來越明顯且越來越大的局勢之下，企業(yè)用戶等防守方亟需采用“主動攻勢”扭轉(zhuǎn)這種“被動”、不平衡的對抗局面。

新版云眼升級的功能之一，即蜜罐，則能有效協(xié)助防守方“化被動為主動”。新版云眼可識別已知，尤其是未知威脅等入侵行為，在入侵行為對信息系統(tǒng)發(fā)生影響之前，通過及時且精準的預警，有效地避免、轉(zhuǎn)移、降低信息系統(tǒng)面臨的風險，由此“扭轉(zhuǎn)局勢”，讓企業(yè)用戶等防守方“占上風”。

主機安全聯(lián)動蜜罐解決方案“以假作真 誘敵深入”

特點1：新版云眼支持微蜜罐功能“以假亂真”

在原先的功能基礎上，新版云眼可支持微蜜罐功能。通過對指定的主機設置不同的端口監(jiān)聽策略，當監(jiān)聽端口被攻擊時，若部署了云幻蜜罐系統(tǒng)，則將攻擊流量引導到該端口對應的蜜罐系統(tǒng)上；若未部署蜜罐系統(tǒng)則阻斷攻擊者攻擊行為。云眼設置的蜜罐端口被攻擊時實時生成告警事件，告警事件能夠通過手機和郵箱進行推送。

（1）事前

1．支持對指定的主機設置不同的端口監(jiān)聽策略；

2．支持針對全局設置IP白名單。

（2）事中

1．持續(xù)監(jiān)聽端口當被攻擊時，若部署蜜罐主機，則將攻擊流量引導到部署好該端口對應服務的蜜罐主機，若未部署則阻斷攻擊者攻擊行為；

2．蜜罐端口被攻擊時支持實時生成告警事件，告警支持推送到手機和郵箱。

（3）事后

1．支持記錄和回放攻擊者在蜜罐主機的攻擊行為；

2．支持隔離蜜罐主機與真實業(yè)務環(huán)境；

3．支持識別攻擊者硬件指紋。

通過布置一些作為誘餌的主機、網(wǎng)絡服務或者信息，誘使攻擊方對誘餌實施攻擊，并將攻擊方困在仿真的業(yè)務環(huán)境中，給攻擊方真實的反饋。在攻擊方未察覺的情況下對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機。能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統(tǒng)的安全防護能力。

特點2：新版云眼聯(lián)動蜜罐誘捕系統(tǒng)“誘敵深入”

（1）聯(lián)動原理

當攻擊者進行攻擊時，蜜罐誘捕節(jié)點能夠迅速檢測到攻擊行為，并且將攻擊流量引入蜜罐系統(tǒng)，使其遠離真實網(wǎng)絡，同時延緩攻擊進程，為用戶爭取應急響應時間。與此同時，對攻擊者進行全程監(jiān)控，詳細記錄攻擊步驟、攻擊工具和攻擊手段，作為日后取證的依據(jù)。

在云眼服務端同步云幻蜜罐列表及各蜜罐支持的服務，配置監(jiān)聽端口，下發(fā)策略至相關服務器。當攻擊者直接對真實服務器進行攻擊時，真實服務器部署了云眼客戶端，通過端口持續(xù)進行監(jiān)聽，一旦云眼客戶端發(fā)現(xiàn)蜜罐端口被攻擊，則實施反饋事件信息并將攻擊流量引入蜜罐系統(tǒng)。

（2）聯(lián)動的優(yōu)勢

通過新版云眼和蜜罐誘捕系統(tǒng)的聯(lián)動，可實現(xiàn)構建全網(wǎng)仿真環(huán)境、擺脫被動挨打局面、解決內(nèi)網(wǎng)安全盲點、對抗高級未知威脅、完整定位證據(jù)源頭等優(yōu)勢。

特點3：為大型攻防演練增設的更多功能

除了以上提到的2個功能特點外，在結合多年來大型攻防演練的實戰(zhàn)經(jīng)驗以及安全前沿技術，新版云眼還新增一系列功能助力用戶更好地應對即將到來的實戰(zhàn)演練：

（1）新增支持賬號防護功能

支持禁止創(chuàng)建系統(tǒng)賬號（Windows系統(tǒng)適用）

支持禁止賬號提權（Linux系統(tǒng)適用），開啟后用戶組禁止轉(zhuǎn)入賬號，阻止賬號提權

支持禁止賬號創(chuàng)建（Linux系統(tǒng)適用），開啟后將無法創(chuàng)建新賬號

（2）客戶端兼容國產(chǎn)化產(chǎn)品ARM架構的CPU

滿足更多用戶的兼容需求

資產(chǎn)采集web容器增加中創(chuàng)的采集

優(yōu)化漏洞風險及入侵威脅概覽模塊

支持展示各個模塊下風險及入侵事件的發(fā)現(xiàn)及處置分布圖

新版云眼的發(fā)布，將更好地為更多企業(yè)用戶及時、準確、到位、省時省力地守護最后一道防線安全。

主機安全聯(lián)動蜜罐解決方案助力大型攻防演練

從2016年《網(wǎng)絡安全法》的頒布開始，國家開始每年進行大型攻防演練。歷時5次的大型攻防演練也慢慢地從“小打小鬧”等一些常規(guī)方法轉(zhuǎn)變成“出其不意”、“出乎意料”等的打法，比如滿天飛的0day、進攻型腳本后門版本升級、進攻流量隧道加密、免殺、不落地等各種招數(shù)、利用供應鏈間接入侵，等等“非常規(guī)”操作涌現(xiàn)使得整體演練環(huán)境趨向于實戰(zhàn)規(guī)模場景。雖然這無疑讓各行各業(yè)里參加的企業(yè)單位組織等“頭痛不已”，但也算是為真實的高級持續(xù)性威脅等攻擊事件做提前準備。

面對2021年大型攻防演練的逼近，安全狗主機安全聯(lián)動蜜罐解決方案的落地對于經(jīng)常困頓在“被動挨打”局面的企業(yè)單位而言無疑是暗室逢燈。

針對信息采集踩點、獲得突破口、由外向內(nèi)滲透拿下主機權限、最后逐步接近靶標，并拿下目標的紅隊攻擊路徑，主機安全聯(lián)動蜜罐解決方案通過模擬服務，監(jiān)聽端口連接并記錄數(shù)據(jù)包，可以實現(xiàn)端口掃描和暴力破解的檢測等，從而進行精準告警。

從2015年安全狗第一版云眼誕生后，隨著上百次版本迭代、高額研發(fā)費用的投入，云眼的功能不斷增加，安全能力也越發(fā)完善，不僅為多個行業(yè)客戶成功提供了持續(xù)且穩(wěn)定的安全能力，也獲得國內(nèi)外多個專業(yè)咨詢機構以及行業(yè)內(nèi)權威媒體的認可，在歷年的大型攻防演練活動中得到很好的應用。此次新版本的升級，也獲得眾多客戶的關注。

除了此次蜜罐層面的功能升級，安全狗還推出了面向攻防演練的新一代整體安全服務方案。通過專業(yè)團隊、工具以及專業(yè)運營流程提出的新一代整體安全保障思路，涵蓋風險管理能力、檢測和響應能力、合規(guī)驅(qū)動管理能力、內(nèi)外部數(shù)據(jù)安全保障能力、快速自動化能力、攻防對抗演練能力、新攻擊面響應能力在內(nèi)，能體系化、持續(xù)化地解決網(wǎng)絡安全建設核心問題。

為了幫助更多客戶“輕松”地應對即將到來的大型攻防演練活動，安全狗新版云眼特意預留試用機會，如果您是新客戶，可以掃描下方的二維碼填寫表格，申請試用資格，如果您已經(jīng)是安全狗的客戶，則可以聯(lián)系對應的銷售進行升級。