在一次攻防演練中，攻擊者“鐵柱”試圖通過攻擊服務(wù)系統(tǒng)獲取企業(yè)內(nèi)部賬號及身份信息，進(jìn)入內(nèi)網(wǎng)開展他的“橫向滲透”計劃。

系統(tǒng)掃描過程中，鐵柱意外發(fā)現(xiàn)了“遠(yuǎn)程桌面服務(wù)”，嘗試操作系統(tǒng)后并未發(fā)現(xiàn)異常，他一陣狂喜：“這下應(yīng)該可以拿到關(guān)鍵數(shù)據(jù)了!”最終，他決定通過口令爆破獲取賬號密碼并嘗試登入系統(tǒng)。

恭喜鐵柱!“成功”跳進(jìn)了蜜罐的圈套。蜜罐識別到攻擊并記錄了他在虛擬服務(wù)里的所有行為，包括請求IP、端口、請求時間甚至是輸入的密碼，都一一記錄在案，防火墻通過對蜜罐記錄數(shù)據(jù)的分析溯源進(jìn)行攻擊者定位及聯(lián)動處置，快速將鐵柱緝拿歸案。

一、與其被動“挨打”，不如主動出擊

道高一尺魔高一丈，網(wǎng)絡(luò)技術(shù)飛速演進(jìn)，黑客的攻擊手法也變得愈加隱晦，面對網(wǎng)絡(luò)入侵者，防火墻可以融合邊界對抗所需的安全防御能力，從而抵御各類威脅。然而在攻防演練中，我們常處于“攻防信息不對稱”狀態(tài)，攻擊方是誰、從哪里發(fā)動攻擊、用何種手段均一無所知。因此，僅通過網(wǎng)絡(luò)邊界進(jìn)行被動防御，威脅的發(fā)現(xiàn)往往是滯后的。

而蜜罐作為一種網(wǎng)絡(luò)主動防御技術(shù)，當(dāng)攻擊者被成功引入后，蜜罐會實時記錄、審計攻擊者的攻擊流量、行為和數(shù)據(jù)，我們可以清晰了解到黑客所使用的工具和方法，掌握黑客的攻擊動機及社交網(wǎng)絡(luò)行為并進(jìn)行攻擊溯源、取證等。

如果將防火墻的智能防護(hù)能力與蜜罐的誘捕溯源能力相結(jié)合，各系統(tǒng)充分聯(lián)動、信息共享，便可以在有效信息情報的基礎(chǔ)上對入侵者進(jìn)行鎖定與處置，展開全面、精準(zhǔn)的溯源反制，縮短威脅處置時間，最終在實戰(zhàn)攻防中占據(jù)先機。

二、云網(wǎng)聯(lián)動，三招“制服”攻擊者

從主動防御視角來看，下一代防火墻聯(lián)動云蜜罐可以從以下三招入手，通過主動誘捕、精準(zhǔn)識別、深度溯源，有效解決被動型安全防御面臨的攻擊行為感知不及時、處置效率低、分析過程繁瑣等問題。

招式一：主動誘捕、多樣引流

在事前階段，我們需要主動去獲取攻擊者的身份信息。

從“被動”等待踩陷阱，到“主動”誘敵深入，深信服下一代防火墻構(gòu)建偽裝業(yè)務(wù)/應(yīng)用訪問端口，并指向云端蜜罐，同時，管理員可直接通過防火墻按需上傳業(yè)務(wù)、主機相關(guān)文件，云端將自動生成偽裝業(yè)務(wù)，一旦外部訪問到偽裝業(yè)務(wù)/應(yīng)用，即會跳轉(zhuǎn)云端蜜罐，實現(xiàn)誘捕。

▲防火墻聯(lián)動云蜜罐捕獲攻擊者信息

招式二：指紋識別、持續(xù)阻斷

黑客在攻擊過程中會結(jié)合多種自動化工具獲取信息，也十分擅長通過“修改IP”等方式變換、偽裝身份。因此，要想精準(zhǔn)識別攻擊者行為，需通過識別攻擊者指紋并進(jìn)行IP鎖定，防止攻擊者換IP攻擊。

區(qū)別于普通防火墻僅支持IP識別攻擊者，深信服下一代防火墻AF通過創(chuàng)新合入人機對抗anti-bot技術(shù)，以主流18+瀏覽器指紋精準(zhǔn)識別自動化工具，能夠依靠瀏覽器指紋特征準(zhǔn)確識別ZAP、AWVS、BurpSuit、AppScan等漏洞掃描工具，并在入侵者“信息收集”、“漏洞探測”階段提前發(fā)現(xiàn)黑客行為和機器碼。

▲開啟人機識別功能后，精準(zhǔn)識別到AWVS漏洞掃描工具

同時，深信服云蜜罐將獲取的攻擊者信息，同步至下一代防火墻，管理員通過防火墻管理界面即可知悉存在威脅的攻擊者，一鍵阻斷具備指紋信息的攻擊者，即便攻擊者變換 IP也無法發(fā)起入侵行為，構(gòu)建“硬核”的主動防御網(wǎng)。

招式三：深度溯源、全網(wǎng)狙擊

溯源是威脅識別檢測、聯(lián)動阻斷后的關(guān)鍵一步。攻防演練中，傳統(tǒng)入侵檢測產(chǎn)品可以檢測到攻擊者的入侵手段，但往往難以全面記錄攻擊者入侵的所有行為及證據(jù)，即便檢測到威脅卻無法溯源到攻擊者的真實身份，不能徹底解除威脅。

深信服下一代防火墻可以通過云蜜罐功能對黑客的全網(wǎng)攻擊過程進(jìn)行記錄，深度溯源指紋信息、社交信息、位置信息等并分析獲取“黑客畫像”，根據(jù)黑客畫像快速判定攻擊者真實身份，關(guān)聯(lián)攻擊鏈后一鍵反向探測端口、漏洞信息，最終在攻防演練中還原攻擊者所有行為，并實現(xiàn)全網(wǎng)狙擊。

深信服下一代防火墻與云蜜罐智能化結(jié)合，充分發(fā)揮系統(tǒng)化的主動防御能力，在攻防對抗中捕獲更多內(nèi)外網(wǎng)攻擊行為，并聯(lián)合云端高級捕獲與分析技術(shù)，獲取攻擊方的指紋信息、工具、手法、攻擊軌跡等，進(jìn)行全面分析溯源并采取反制措施，實現(xiàn)“全面檢測、主動誘捕、指紋識別、聯(lián)動阻斷、深度溯源”的閉環(huán)。

深信服下一代防火墻云蜜罐支持基于攻防實踐經(jīng)驗的重點監(jiān)控模式，對“反序列化攻擊、上傳shell”等攻防中的高危攻擊行為進(jìn)行重點監(jiān)控設(shè)置，有效扭轉(zhuǎn)攻防局勢，其檢測溯源、聯(lián)動處置能力得到客戶的信任與高度認(rèn)可。

未來，深信服下一代防火墻將繼續(xù)加強以云蜜罐為重要構(gòu)成的主動防御能力，持續(xù)提升產(chǎn)品安全能力及用戶體驗，更有效地幫助用戶抵御安全威脅。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）