Professional Documents
Culture Documents
威胁诱捕与诱骗系统(HFish)介绍
2 产品特性与价值
4 产品Demo展示
5 PoC流程简介
1 问题与挑战
当前存在的问题,等保要求
什么是欺骗平台以及Gartner的认可、与传统安全设备能力对比
当前存在的问题
企业安全面临的现实问题
海量误报
海量误报 手段升级 流量加密 风险复杂
原文要求 整改建议
应采取技术措施对网络行为进行分析,实现对
网络攻击特别是新型网络攻击行为的分析…… 建议在关键网络节点(如互联网边界处)合理
…… 部署可对APT或新型网络攻击行为进行检测、分
应能检测到云服务客户发起的网络攻击行为, 析的防护设备……
并能记录攻击类型、攻击时间、攻击流量等……
思考!如何在真实企业环境或云环境中
感知和分析新型的、未知的网络攻击行为
Gartner对欺骗防御技术的信心
欺骗平台(Deception Platforms)是一个供组织创建、分发和管理整个欺骗环境及其相关架构元素的集中管理系统。这些
伪造的计算机、服务器、设备、应用程序、服务、协议、数据或用户通常是虚拟的且与真实资产和身份无法区分,用于吸引
和检测攻击者
告警准确,无需分析
云端蜜罐内置丰富威胁检测引擎
高度还原攻击行为并定位攻击源
感知能力增强
在网络末梢和云环境作为探针 捕获未知高级威胁
增强现有XDR感知能力 云端蜜罐内置丰富威胁检测引擎
高度还原攻击行为并定位攻击源
提升黑客攻击成本
混淆攻击者目标,延缓入侵
反转不利条件
为业务安全修复赢得宝贵时间 传统防御成功99次抵不过失败1次
欺骗防御将不利情况颠倒
攻击者成功99次抵不过失败1次
投入成本低
HFish – 微步赞助的企业级免费蜜罐
支持syslog、企业微信、钉钉、飞书多种告警输出
欺骗防御技术的优势
传统安全 叠加 欺骗与防御
构建 / 服务 牵引 / 迷惑
控制 / 响应 可包含
SSH、Web
……
IoT、
Database
配合蜜饵消耗、迷惑和
进一步观测攻击者
产品特点 – 安全、简单、可信赖
云端蜜网 / 多地统一管理
简单、准确、零误报 非本地网络,本地不承受任何风险
接触即威胁 无需担心被击穿
无需研判,零误报便于自动化处置
内置多种行业模板开箱即用
丰富的企业业务蜜罐场景
SaaS
支持自定义组合7大类30+种蜜罐服务
防御当下,预见未来
预知下一步攻击动作
已经泄露账号、已失陷主机
与微步威胁情报完美融合
稳定准确的私有情报生产节点
无缝对接客户自身SOC、本地/云端情报平台
软件交付、灵活部署
支持物理机、虚拟机和云环境混合部署
解决云边缘和云内网安全无感知痛点
产品特点 - 云端蜜网MSS(Managed Security Service,安全托管服务)
虚假域名蜜饵 生产网蜜饵
被打穿,引狼入室
担心 干扰业务,部署麻烦
阶段性使用,无人运维
配置作废子域名
指向云端蜜网
牵引攻击者异地上云
专业人员7x24小时值守
感知真实威胁 办公网蜜饵
实时外网威胁、内网横移
捕获攻击者,感知 0-N day 威胁 希望 网盘
弹性扩容、厂商运维
利用攻击者常检索的
网络资源构建蜜饵
产品部署架构
SSH 服务
Web 管理后台
MySQL服务
蜜饵
…
态势感知平台
办公网
惠普商用打印机 本地情报平台
FTP 文件传输服务
监控摄像头服务
蜜饵
… 内部IDC
与其他安全产品关系
终端安全响应
放大蜜罐部署面、挥洒蜜饵
根据蜜罐收集木马特征批量清理
防火墙
提供实时拦截黑名单 情报管理管理平台
提升现有设备感知能力 消费威胁情报
生产实时私有威胁情报
态势感知
更立体、更丰富的视角和数据 SaaS API
可用于预测的感应器 加入蜜罐社区,获取社区情报
更精准的黑客画像、行业威胁预警
自动化编排与联动
提供编排启动线索 威胁感知
更精准的威胁感知
3 典型应用场景 & 客户案例
部署场景、真实案例
四个常见场景简介
…
其他蜜罐重点在外网,对内网模拟不够重视
抓取内部恶意员工
恶意员工、要离职员工非法获取内部数据
方案特点
内部办公网 丰富的内网蜜罐
除传统主机,还支持交换机、打印机、摄像头、
…
防火墙等真实内网资源模拟
捕捉攻击者内网横向移动
独立 异常时间 / 异常行为 / 异常来源
蜜罐主机
… 在真实或虚拟主机中部署蜜饵
蜜饵的唯一性保证能精确定位失陷主机
静态蜜饵文件不影响业务
高敏感数据监控
允许用户自定义高敏感账号,发现即告警
部署场景 - 华南科技类客户内外网场景
客户痛点
云端蜜网 牵引威胁远离业务环境
利用蜜饵将攻击者诱引到业务不相关云端
云端生产网
安全团队对技术细节感兴趣
…
希望获得更多攻击手法,强化内部安全
安全团队希望凸显自身能力
不甘于采购数据,希望具有情报生产能力
威胁牵引
场景特点
多种环境中 高低结合,安全可靠
部署蜜饵 用户网络部署低交互蜜罐,收集 必要 信息
微步蜜网部署高交互蜜罐,收集 丰富 情报
7x24 云端蜜网,从容不迫
将威胁引到云端蜜网,确保用户无损
根据用户需求弹性扩充,消耗攻击者精力
内部办公网
…
威胁牵引 私有情报生产,胜券在握
外网蜜罐成为有效的威胁情报生产单元
感知威胁数据回传本地SOC
环境拟态,融为一体
快速复制客户真实业务,融入客户环境
部署场景 – 企业客户云环境安全感知
客户痛点
云内网 云安全手段匮乏、昂贵、效率低下
基本上只有主机Agent + 云WAF
云内网完全无防护手段
攻击者从边界进入后,轻松漫游云内网
复盘无法确定攻击真实来源
云外网进入还是从本地网络进入?
捕捉攻击者的横向移动
异常时间 / 异常行为 / 异常来源
在真实或虚拟主机中部署蜜饵
蜜饵的唯一性保证能精确定位失陷主机
静态蜜饵文件不影响业务
告警精确零误报,不骚扰安全团队
触发即告警,无需研判,无邀功式无效告警
部署场景 – 客户员工外部泄露账号威胁感知
客户痛点
先试试 VPN服务蜜罐
vpn.a.com
跨行业用户安全意识差
使用公司信箱注册各种外部三方账号
1
Webmail登录页面蜜罐 外网账号信息泄露无法感知
三方网站泄密不可知,连带威胁不可控
用户名:user@a.com
密码:qwertyui 无法掌握攻击者真实意图
感知失陷 蠕虫?勒索?境外有政治目的的组织机构
方案特点
通知改密 可用于教职员工日常安全模拟训练
蜜罐虚拟页面也可用于平日钓鱼威胁模拟
客户内部网络 直接感知泄露账号风险,第一时间通知受害人
虚假 VPN 域名巧妙诱骗攻击者
cdn02.a.com … 初步掌握攻击者意图和能力
通过高交互蜜罐初步了解攻击者威胁能力
云端全自动运维,告警零误报,无需运维
蜜罐可部署在MSS云端,自动化通知,无需
客户耗费精力运维和鉴别威胁
4 产品Demo展示
部署场景、真实案例
5 PoC流程简介
部署场景、真实案例
快速 PoC 方案
1、访问官网:https://hfish.io
2、根据自身环境选择安装包
3、自行在本地部署,体验完整欺骗防御能力
没有功能限制、没有时间限制、不需要授权、可用于商业环境
THREAT DETECTION AND RESPONSE EXPERT
电话:400-030-1051
网址:www.threatbook.cn