建立主动防御网络

倡议

跳出固有思维,提升防御能力

在常见和标准的网络防御措施之外,有时需要通过主动防御来增加显著的纵深。当我们的客户的系统遭受反复且持续的攻击时,他们委托我们通过部署高级诱骗网络来增加一层额外的安全缓冲,该诱骗网络包含复杂精细的蜜罐目标、模拟网络、设备和文档。

 

为挫败日益复杂的网络威胁,SEIRIM 在其安全架构旁侧、相互独立但“邻近”的位置集成了蜜罐系统,以更好地吸收、检测和分析攻击。

项目目标

目标

将缓冲区添加到主网络

由于企业网络持续遭受攻击,而其他防护手段又未能取得足够成效,人们决定增加一道防线。从某种意义上说,蜜网的一个作用就是分担并吸收部分攻击流量。

轻松管理蜜网

在不增加客户本已负荷过重的团队的 IT 运维负担的前提下,重点实现了一个便于监控的界面和一个用于记录蜜网及系统活动历史的数据库。

蜜罐网络不会影响更大范围的系统

客户明确表示,他们不希望蜜网和其他组件干扰其网络和系统的其他部分。不对现有系统造成干扰与其他任何事项同样被视为首要优先级。

蜜网追踪数据与 SIEM 的连接

在作为一套独立、与现有生产网络隔离的网络部署时,其日志会同步并整合到客户的 SIEM 系统中,方便与其他网络分段的活动进行监控和对比。

在地平线上

挑战

战略性布局

决定在网络中将蜜罐部署在何处,以在不与关键资产重叠的前提下,最大程度提高与潜在攻击者的交互。

配置与管理

将蜜罐配置为看起来像网络中的合法部分,并对其进行有效管理,以收集有价值的数据。

技术性能

该系统需要具备成功充当高效蜜网的能力,并能对各个层次的攻击者(包括那些能够识别其虚假本质的高级攻击者)实施主动防御。

战略性的

解决方案

开源方案加上定制化实现

我们在条件允许的情况下尽可能使用开源组件,以节省成本并使实现成为可能。我们对大多数组件进行了定制,以确保其独特性并避免被识别为蜜网。

高细节以实现理想的逼真效果

我们与客户花费了大量时间,精心构建了高度逼真且可信的操作系统、服务器类型、网络、文件、用户等元素,从而打造出一个相当逼真的蜜网环境。

网络与系统的深度

我们希望这个系统具有“黏性”,并能够通过多种方式成功浪费攻击方的时间、带宽和资源,从而减缓他们的行动。

高详细度日志记录和报告

系统会记录所有流量、活动、成功或未遂的入侵行为以及各类交互,以便为客户和 SEIRIM 提供更有价值的数据,从而帮助改进本系统和整体安全防护能力。

Advanced Web Features

The site features custom elements like animations, background videos, and a sophisticated layout, offering a premium digital experience.

Performance Optimization

Special attention was given to ensure the website's performance on mobile devices and its adaptability to various internet speeds.

精度影响

结果

多方面的方法

为主动防御而实施的蜜网网络策略

SEIRIM是一家以渗透测试和安全咨询服务而知名的网络安全公司,一直积极采用创新的安全解决方案来保护其庞大的数字基础设施。鉴于网络威胁日益复杂多样,SEIRIM 在客户安全架构的并行环境中部署了大规模的蜜网和蜜罐系统,以更好地检测、吸收并分析各类攻击。

评估与规划

我们已进行了风险评估,以识别最可能的攻击向量以及部署蜜罐的最佳位置。我们选择了多种类型的蜜罐技术来模拟各种服务和系统,从 SSH 到 HTTP 服务器,以吸引不同类型的攻击者。

部署蜜罐

在网络中部署了多个蜜罐,这些蜜罐位于隔离但可直接访问互联网的网络区域,既能成为攻击者的诱人目标,又无法访问任何真实的生产数据。

网络中使用了多个蜜罐

  • Cowrie - 一款中等交互式的 SSH 和 Telnet 蜜罐,用于记录暴力破解攻击并捕获完整会话数据。
  • Dionaea - 一款低交互式蜜罐,侧重于捕获恶意软件,尤其是那些通过网络服务漏洞传播的恶意软件。
  • Honeytrap - 一款混合型蜜罐,可模拟多种网络服务,以吸引各类攻击。
  • Glutton - 一款网络守护进程,专为处理大量连接而设计,用于收集网络扫描器和大流量攻击相关数据。
  • Elasticpot - 专门用于模拟 Elasticsearch 实例,针对利用 Elasticsearch 漏洞的攻击者。
  • Rdpy - 一款模拟远程桌面协议(RDP)服务的蜜罐,用于捕获针对 Windows 系统的利用尝试。
  • 更多可供参考的蜜罐方案

ELK 堆栈作为我们蜜罐数据分析的核心

  • Elasticsearch - 负责存储日志和攻击数据,提供可扩展且快速的搜索能力。
  • Logstash - 负责从各个蜜罐收集、解析和过滤日志,确保数据标准化并为分析做好准备。
  • Kibana - 提供一个可视化界面,用于探索和分析蜜罐收集的数据。可以创建自定义仪表盘来跟踪攻击趋势、IP 地址和有效载荷等特定指标。

Suricata 实施

Suricata 是一款用于实时分析网络流量的 IDS/IPS 引擎,可基于预定义规则集提供额外的检测和告警层。

自定义 Docker 映像

我们为每个蜜罐定制了 Docker 镜像,并针对我们的特定环境进行了优化。这包括调整配置以提升性能、增加额外的日志记录功能,并与我们的监控工具无缝集成。通过这样做,我们在尽量减少资源消耗的同时,增强了蜜罐捕获详细攻击数据的能力。

增强的数据关联与分析

我们将 ELK Stack 与 Suricata 日志集成,实现了多层次的分析方法。这使我们能够将网络流量与蜜罐事件进行关联,从而在理解攻击时提供更加丰富的上下文。蜜罐活动与网络流量日志之间的关联揭示了更为复杂的攻击模式,为我们提供了有关攻击者方法和工具的更深层洞察。

实时监控和告警

通过使用 Suricata 和 ELK 技术栈,我们构建了一个实时监控和告警系统。该系统不仅监控蜜罐的运行状况,还能主动跟踪攻击趋势和系统性能,并在出现异常活动时触发告警。这种主动监控使我们能够快速响应新型攻击或系统问题,确保在高负载情况下蜜网依然保持高效运行。

持续改进循环

我们维护蜜网的方法遵循持续改进的循环机制。我们会定期审查日志、攻击数据和系统性能,以识别可优化的环节。例如,根据攻击趋势,我们增加了新的蜜罐,用来针对那些正被积极利用的特定漏洞。我们还对 Suricata 中的 IDS/IPS 规则进行细致调优,以提升检测的准确性。通过不断迭代我们的部署方案,我们能够确保蜜网始终走在应对不断演变威胁的前面。