默安科技 - 领先的云时代新安全体系构筑者

欺骗防御：一路走来，感谢有你

2020-11-26

“这一路的不忘初心，一路的披荆斩棘，一路的成长与探索，在今天，化为两个简单的字：感谢。感谢用户的信赖，感谢圈内同仁的支持，感谢所有默安人的奋斗不懈。”

——小默家的欺骗防御

作为国内欺骗防御领域的先行者与领导者，默安科技结合丰富的实战经验，提出构建基于欺骗技术的防御体系，实现攻防常态化下的纵深防御、主动防御，以及联防联控，其有效性与优越性在2020全国实战攻防演练中得以验证。

看结果

2020年全国实战攻防演练

服务客户100家+

帮助客户累积加分5万+

单客户最高加分7000

捕获真人攻击2015个

捕获真人攻击IP 4504个

捕获网络ID 347个

覆盖政府、央企、证券、银行、运营商、电力、能源、医疗、教育等多行业的客户

2020攻防演练部分客户感谢信

聊案例

某证券行业头部客户

担任总协防

制定集感知、溯源与情报于一体的整体防御方案；

前期发现高危漏洞、架构缺陷并协助解决；

内部演练时优化工作流程、提高效率；

幻阵、刃甲和中继节点等多组件的联动部署——增加蜜网覆盖范围、感知攻击者攻击源、消耗攻击者时间、捕获攻击者信息。

最终，帮助该客户取得在行业中名列前茅的优异成绩。

某城市商业银行

从0到1,360度提升安全水位与实战能力

默安在20余家备选厂商中脱颖，独立承担该行总防项目。该单位是唯一一家省级区域内、也是第一次参与攻防演练的商业银行，在攻防演习期间，未采取禁封IP、关停业务行为，正面迎接猛烈攻击，至演习结束，未被减分与攻破，防守取得全面胜利。

前期准备时，完成系统信息梳理、风险暴露收敛、沙盘推演、演习环境准备等工作；

演习期间，确认获得防守社会工程学攻击的满分；

至演习结束，共发现攻击191次，社工钓鱼6次，物理近源攻击1次。在攻击溯源方面，发现可溯源攻击者84个，实际溯源到真人6个。

北京某医院

物理攻击真人溯源

整个案例过程：

痛点：医院环境开放，任何人均可进出，物理安全是短板。攻击者可直接进入医院，属于近源渗透。

方案：预先部署“幻阵+中继节点”的解决方案，将蜜罐发布到内网各个网段中，低成本地实现大面积欺骗覆盖。

真人溯源效果：

1）攻击者无论从任何网段入侵，均能大概率踩到蜜罐，及时、精准感知攻击；

2）通过中继节点部署大量虚假业务系统，增大攻击者找到真实目标系统的难度，拖延攻击时间；

3）利用设备指纹技术，实现防抵赖的效果。

某央企总部

二代蜜罐攻击反制实践案例

VPN系统往往是攻击者的突破口之一。在大型攻防演练期间，该客户采用了默安二代蜜罐的攻击反制功能，在USB-Key下载处隐藏反制文件，成功捕获攻击者，反控攻击者主机。

某央企子公司

二代蜜罐攻击反制实践案例

该案例中的攻击人员同样在VPN客户端上栽了跟头，将内置反制文件的幻阵vpn沙箱错认为攻击目标真实的VPN系统，当幻阵系统成功控制攻击者主机后，清晰掌握其与攻击相关的关键情报，包括计划攻击客户的名单、系统，以及内部分工情况等，并成功溯源到真人。

某金融机构

三代蜜罐联防联控实践案例

该客户利用默安新发布的基于第三代蜜罐技术的威胁情报平台，在仅获取到设备指纹的情况下，利用黑客威胁情报系统协作，精准、快速地关联到攻击者真实的身份信息与画像，实现了一点发现全局防御的联防联控，扭转了过去仅掌握攻击者IP时无法溯源的被动局面。

论战术&战法

核心方法论

主要应用场景

1）纵深防御

东西向攻击检测一直是行业难题。默安方案在内网采用纵深防御的思路，一方面对内网进行安全域划分，设置严格的访问控制策略，延长黑客攻击路径。另一方面，采用欺骗技术在内网部署海量感知点，形成黑客攻击横向移动的感知能力，并对我方的核心系统、靶标的保护做特殊的欺骗保护。

2）主动防御

主动防御的主要目标是在攻防对抗中占据主动优势。被动防御的策略和部署基本无法随对抗的态势作调整。而主动防御较灵活，能够实现反向溯源、攻击诱捕及智能响应。

3）联防联控

联防联控的思路来自于疫情防控：通过体温检测等精准发现感染和疑似病例，一方面作人员隔离，另一方面将这些人员健康码标识为红码。在攻防演练中，当一个蜜罐感知点捕获了攻击者的设备指纹信息和IP地址，就标识出他是黑客的设备，并同步到“黑客情报中心”。其他单位如果发现设备指纹，可与情报中心对比，如发现设备指纹之前已登记，即可采取相应的处置。