【谛听】《谛听智学习 从入门到精通》——智学习蜜网:技术篇
🚀一、背景介绍
通常在安装部署谛听后就进入到欺骗防御的部署实施,这一过程主要包含以下阶段:
从上述流程图可以看出,欺骗防御的效果与探针、蜜罐和蜜网的布防方案设计好坏直接相关,而方案设计的好坏又非常依赖于对区域内业务资产和攻击路径的调研分析。传统实施流程非常依赖人工参与并有一定的使用门槛,因此导致伪装效果和质量层次不齐、容易引起攻击者的警觉,最终难以发挥欺骗防御的效果。
🌟调研分析难以全面深入
欺骗防御要想伪装的好首先就需要全面、深入的收集环境信息以设计贴合真实业务环境的布防方案,而不同网络区域具有不同的网络端口、启用服务、web应用类型、操作系统类型、数据库类型等网络和资产属性和特征,因此这一过程若仅依赖人工进行,往往很难做到全面、深入。
🌟布防方案设计依赖经验
蜜罐、蜜网通常作为防守方与攻击者进行直接对抗的环境,布防方案一旦设计不合理,轻则难以吸引攻击者,重则容易打草惊蛇引起攻击者的警觉。因此若想达到较高的诱捕率、较长的牵制时间,设计一个高效的欺骗防御布防方案就非常考验防守方的攻防实战经验和能力了。如此依赖攻防实战经验和能力也是造成蜜罐等欺骗防御产品使用门槛高的原因之一。
🌟方案越完善,实施越复杂
好的欺骗防御布防方案离不开较高的欺骗覆盖率、较丰富的伪装服务种类、更贴合真实网络区域环境的欺骗环境。因此即便我们可以拿到一份现成的全面、丰富、伪装的欺骗防御方案,方案的部署实施落地又是一个非常繁重、复杂的工作。
大量蜜罐等伪装服务的创建,基于不同伪装服务组合而成的蜜网的创建,蜜罐与大量探针和监听IP之间的端口转发策略配置都是需要花费时间、反复核对确认的。网络覆盖区域越大、方案越完善,需要的部署实施工作量就越繁重、越复杂。
🚀二、解决方案
「化繁为简,智能安全」:用谛听代替人工,大幅降低传统欺骗防御建设中人工进行调研分析、方案设计、部署实施的工作难度和工作量,同时借助智能算法保障欺骗防御布防方案效果。
| 阶段 | 谛听工作方式 |
|---|---|
| 调研分析 | 谛听从探针发起扫描,扫描同网段存活资产情况,收集资产的网络、系统、服务等信息。 |
| 方案设计 | 谛听根据扫描结果和探针部署情况,生成“探针-蜜罐-蜜网”布防推荐方案。 |
| 部署实施 | 谛听根据布防方案自动完成蜜罐创建、蜜网创建、探针转发策略等操作 |
🚀三、方案要点
🌟调研分析(识别网段资产)
该阶段主要通过「探针」实现,谛听从探针发起针对同网段的扫描,扫描完毕后输出扫描结果给推荐引擎。主要扫描收集的信息如下:
- 所在网段有哪些存活主机
- 每一个存活主机的ip、服务、web服务、操作系统
- 其中web服务中希望能获取到 title、端口、cms类型、server 等信息
🌟方案设计(生成推荐方案)
该阶段主要通过「推荐引擎」实现,推荐引擎主要内容如下:
- 匹配合适蜜罐:根据资产扫描结果在已有的蜜罐库进行相似度匹配,基于CMS类型、程序语言、服务类型、数据库类型、操作系统类型等维度计算匹配度。
- 推荐最佳组合:结合上一步得到的相关蜜罐给出最佳组合方案,同时避免错乱的配置引起攻击者警觉。
🌟部署实施(一键创建蜜网)
该阶段主要通过「引擎联动后端」实现,主要内容为:
- 创建蜜网:智学习蜜网推荐蜜罐所在蜜网统一为 “智学习” 蜜网,若是第一次使用则自动新建。
- 创建蜜罐:根据推荐方案创建蜜罐。
- 绑定探针:在探针的推荐端口上绑定推荐蜜罐和蜜罐组合。
🚀四、方案价值
🌟降低使用门槛
零配置过程,解决传统欺骗防御建设过程中调研分析、方案设计阶段对产品使用和攻防实战经验的要求
🌟提升使用效果
通过智能推荐欺骗防御布防方案,推荐贴合用户业务环境的蜜罐和密网,提升诱捕效果
🌟降低运营成本
三步智能生成蜜罐和密网,降低调研分析、部署实施阶段的人力和时间成本,提高部署效率
📚查看更多
- 《谛听智学习 从入门到精通》——智学习蜜罐:入门篇(AKA: 谛听智学习蜜罐强势来袭!!!)
- 《谛听智学习 从入门到精通》——智学习蜜罐:技术篇
- 《谛听智学习 从入门到精通》——智学习蜜罐:使用篇(拼命赶稿中)
- 《谛听智学习 从入门到精通》——智学习蜜罐:实战篇(拼命赶稿中)
- 《谛听智学习 从入门到精通》——智学习蜜网:基础篇(本篇)
- 《谛听智学习 从入门到精通》——智学习蜜罐:使用篇(拼命赶稿中)
- 《谛听智学习 从入门到精通》——智学习蜜罐:实战篇(拼命赶稿中)
- 前往谛听知识库索引页面
