又出奇招 360攻击欺骗防御系统溯源能力再升级

一战期间, 德军利用潜艇大肆攻击协约国船只，受当时技术条件限制，英国海军很难利用常规手段发现水下活动的潜艇，于是提出了“神秘之船”方案，即建造外型酷似商船的猎潜艇，诱使德军潜艇攻击，待其上浮收缴“战利品”时，英国海军再趁机将其击沉。该方案实施后，英国海军击沉了多艘德军潜艇，战功赫赫。这种诱导入侵者主动攻击的手段运用在网络安全领域，就是现在的攻击欺骗防御技术。



“那些年”我们做安全运营的日子
360攻击欺骗防御系统发展至今，已历经多次更迭。事实上，这款产品诞生初期，只是一个小小的内网扫描监测工具。

作为一家以安全为基因的公司，安全运营者的压力往往很大。一旦安全防线失守，被打穿的不只是内网，还有公司内老黑客们的“脸皮”。那些年的安全设备并未如现在这般百花齐放，为了更精准地捕获内网扫描及横向渗透行为，黑客们自己动手，一个简单的蜜罐工具就这样成型了，甚至比产品经理还来得早一些。但由于无数据交互，当时的蜜罐无法辨别真实的恶意攻击，也无法确认攻击者真实身份。

孩子刚生出来比较丑，这样下去可不行。

黑客们认真了，自己生产的需求，跪着也要实现。他们引入蜜罐探针，通过平台下发端口服务绑定策略；后端通过对应服务的docker容器实现了部分蜜罐的高交互……现在用起来总算顺手了一些。

先爱己而后能爱人。多年来，360只有先保障自身的业务安全，才能有力量守护数千万用户。通过企业自身沉淀积累的安全运营和实战攻防经验，蜜罐这“孩子”被不断打磨提升，终于有了如今的模样——360攻击欺骗防御系统。可灵活配置的蜜罐、蜜饵、蜜标，让TA具有高超诱捕力；多样的部署模式可以满足各类网络的防御需求；对攻击者身份的多维度抓取，使TA能够完成精准深度溯源。

360攻击欺骗防御系统部署示意图

有潜力的孩子谁不爱？TA能为更多企业带来价值
安全产品的诞生就是为了应对攻防实战，其能力的差距只在于谁更了解对手，谁更能预判对手的攻击意图与作战习惯。蜜罐正是对“未知攻，焉知防”这句话的最佳实践，不懂攻防，如何击中攻击者软肋？

2020年实战攻防演习期间，360攻击欺骗防御系统捷报频传，凭借优秀的攻击者诱捕能力，多次帮助防守企业成功溯源，夺回在外网丢失的分数。

口碑打响了，但在这里程碑式的一年中，黑客们则有了更多思考：如何把溯源这条路走得更远？

“如今各类蜜罐的溯源能力很强，但或许再过两三年就不够看了。”

困境显而易见，随着人们安全意识的增强、法律法规的完善，浏览器软件也将逐渐优化，部分有利于防守方的溯源技术会日渐式微。举个例子，大多数蜜罐依赖社交网站无意中泄露的信息接口获取攻击方的社交信息，而Chrome浏览器从v80版本开始灰度推送的cookie策略阻止了第三方网站跨域获取社交网站的登陆状态，导致了这种方式的逐渐失效。

这是否意味着蜜罐未来能够捕获到的攻击者信息将越来越少？并非如此，我们不仅要挤出海绵里的最后几滴水，还要寻找新的水源。



未来已来，百炼出奇迹
本周，360攻击欺骗系统v2.0.1.5正式发布更新，新功能的增加与优化将更好地帮助企业高效使用产品、增加整体安全防护能力。

更易部署维护，节省时间成本
360攻击欺骗防御系统内置的蜜罐支持定制符合业务需求的服务标识、伪装数据等，支持真实的访问交互。系统也可自动分析分推荐高度契合企业网络环境的部署方案，最大化发挥服务的仿真能力，有效提高欺骗仿真度。新版系统全面优化部署与运营环节，可简单、快速实现大面积覆盖企业网络。探针、告警的批量管理处置功能，可大量节约运营人员重复低效工作所花费的时间。

溯源更精准，提供参考新维度
威胁溯源打破了攻防不对等的局面，体现了主动防御的理念。攻击者在入侵虚假服务、触发蜜标时，除了能记录攻击行为，还能识别攻击者的信息，包括攻击特征、攻击IP以及攻击者社交账号信息等，结合360安全大脑强大的数据资源，实现对攻击者的人物画像，定位攻击者，避免事后无法溯源的窘境，有力地打击攻击者。

在新版360攻击欺骗防御系统中：

您可以区分自动化的机器程序扫描和人的攻击行为，找准真实攻击源头。

在实战攻防对抗中，攻击者善于伪装自己，通过多种方式隐藏真实IP，系统支持对攻击者真实IP地址的查看和检索，从源头封锁威胁。

系统提供“计分制”研判。基于更精进的指纹识别、建模技术，对浏览器指纹、社交账号信息、攻击IP、攻击时间等多个维度进行加权评分，精准筛选“高分”攻击者。

攻击者画像信息随时更新，一览攻击行为时间轴。

关联可疑“关系户”。在原有溯源定位攻击者身份的基础上，系统通过整合IP、设备等指纹、上传文件、行为等信息，关联更多的攻击者，实现从捕获个人提升到定位团队。

过去，人们总想着用上安全设备就完事大吉，但却忘了放眼看世界：攻击事件时刻都在发生。这是攻防双方在不断拼资源、拼技术，拼知识的时代，最有力的攻击不只是0day，利用合适的工具及突破点，攻城略地往往就在瞬息之间。完美的防御如同象牙塔，看见威胁、及时止损，才是我们首先要面对的一地鸡毛。

防守会越来越难，但随着未来威胁情报等新资源和技术的接入，360攻击欺骗防御系统将继续成为挡在您身前的一道防御关。



360攻击欺骗防御系统-SaaS订阅服务
360攻击欺骗防御服务支持本地化部署和SaaS订阅服务部署两种模式。SaaS订阅服务采用360云服务器+用户本地安装探针模式，可为您提供物理机级别的云上管理服务。您无需额外购买设备，只需通过部署极其轻量的软件探针，即可极速构建内网安全体系。

改变游戏规则，开启主动防御，从使用360攻击欺骗防御系统开始。11月30日前，符合条件的客户可享受免费试用，申请联系 contactus@360.cn。


来源  安全客