欺骗防御与威胁感知系统(Deception Defense And Threat Awareness System,DDTA,下文中也叫腾讯御阵)在企业内部网络中部署与真实环境类似的“诱饵”,主动诱导攻击者进入由蜜网构成的高度仿真的虚拟环境中。通过网络流量分析、自动化主机行为检测、虚拟网络仿真等技术,实现攻击发现、攻击报警、攻击隔离、攻击分析、攻击溯源、攻击延迟、攻击反制等功能。

功能

利用欺骗防御技术,主动发现和对抗高级恶意攻击,守护内网安全。

高价值资产伪装

在用户真实的操作系统环境中,配置高仿真的系统和服务、Web应用、脱敏数据等资产(根据内网环境添加和真实资产类似的信息,提供灵活的自定义蜜罐),深度融入内网环境,使伪装更具有迷惑性。

威胁事件感知

通过蜜罐节点实时监听部署了探针的机器,在多个维度实时感知威胁,当探测到入侵行为时,实时记录攻击事件,并将不同维度的威胁事件统一,形成完整的攻击链,实现对威胁的完整感知和溯源。

攻击欺骗转移

蜜网采用弱安全蜜罐(主动配置有安全缺陷的环境),并在用户内网环境配置蜜标,主动诱导攻击者攻击蜜罐,并在蜜网环境配置脱敏的价值信息,最大限度诱惑攻击者,使之将大量的时间精力投入到对高仿真环境的渗透分析中,从而延缓对真实环境的破坏,为用户获取宝贵的安全响应时间。

欺骗防御与威胁感知系统(Deception Defense And Threat Awareness System,DDTA),在企业内部网络中部署与真实环境类似的“诱饵”,主动诱导攻击者进入由蜜网构成的高度仿真的虚拟环境中,通过网络流量分析、自动化主机行为检测、虚拟网络仿真等技术,实现攻击发现、攻击报警、攻击隔离、攻击分析、攻击溯源、攻击延迟、攻击反制等功能。

产品功能

高价值资产伪装

在用户真实的操作系统环境中,配置高仿真的系统服务、Web 应用、脱敏数据等资产(根据内网环境添加和真实资产类似的信息,提供灵活的自定义蜜罐),深度融入内网环境,使伪装更具有迷惑性。

威胁事件感知

通过蜜罐节点实时监听已部署探针的机器,从多个维度实时感知威胁。当探测到入侵行为时,实时记录攻击事件,并将不同维度的威胁事件统一,形成完整的攻击链,实现对威胁的完整感知和溯源。

攻击欺骗转移

蜜网采用弱安全蜜罐(主动配置有安全缺陷的环境),并在用户内网环境中配置蜜标,主动诱导攻击者攻击蜜罐。同时在蜜网环境配置脱敏的价值信息,最大限度诱惑攻击者,使之将大量的时间精力投入到对高仿真环境的渗透分析中,从而延缓对真实环境的破坏,为用户获取宝贵的安全响应时间。

多维度纵深感知

腾讯安全团队利用近10年来对样本攻防和渗透攻防经验的积累,在恶意攻击整个流程的每一步“埋点”,实现层层设点,层层包围。同时从攻击链的视角,多维监控,让攻击者无所遁形。

高度仿真蜜网

蜜网通过配置高度仿真系统服务、Web 应用、脱敏数据等资产,构建真实可变的蜜网环境,支持各种复杂场景的模拟,同时为用户提供灵活的自定义蜜罐,深度融入用户内网环境,使伪装更具迷惑性。

高度安全性

欺骗防御与威胁感知系统通过内网蜜标诱导+前端探针引流+后端蜜罐感知技术,在实现高度仿真的同时,实现蜜网和用户内网资产的高度隔离。内部从网络隔离、环境隔离、流量单向控制、IP 控制等各个维度配置了安全防护系统,保证系统自身不被攻击者识别和破坏,避免发生跳板攻击行为。

协同防御支持

欺骗防御与威胁感知系统捕获的攻击数据,可以作为威胁情报输出,其它安全产品或者安全系统通过流通输出的数据,增强用户原有安全体系的防护能力。

高精度安全告警

基于欺骗防御技术,欺骗防御与威胁感知系统可及时发现攻击行为,做到报警即发现。报警日志中不掺杂任何业务数据,可以极大降低安全运营的成本。

强化威胁感知能力

欺骗防御与威胁感知系统打破了传统安全产品基于边界或点的防护思路,将安全防护从点扩散到面。以蜜网为主体,通过探针部署的方式,将威胁感知能力映射到内网的每一个网段及每一台机器,在内部组成一个与真实业务高度融合的巨大威胁感知网络,低成本覆盖到每一个角落。
www.ksyuwei.cn

攻击欺骗转移

欺骗防御与威胁感知系统在蜜网中配置高度仿真的用户资产,并通过部署探针的方式深度融入真实环境中,干扰攻击者对攻击路径的判断,将攻击流量转移至蜜网中,延缓入侵者对真实环境的破坏,为用户赢得宝贵的应急响应时间。
www.ksyuwei.cn

攻击者行为溯源

当欺骗防御与威胁感知系统探测到入侵行为时,将攻击事件实时记录,并将各维度的威胁事件统一,形成完整的攻击链。通过基于大数据的设备指纹系统分析攻击链,实现对威胁的完整溯源。
www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cn



www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

什么是欺骗防御?

让入侵者相信内网中存在有价值且可利用的安全弱点,并具有值得攻击窃取的资源(伪造的或不重要的),从而将入侵者引向这些蜜标。允许防护者跟踪入侵者的行为,在入侵者入侵窃取重要信息之前修补系统可能存在的安全漏洞。

在真实环境中,如何诱导攻击者攻击蜜罐?

  • 蜜罐上会部署一些弱安全的服务,例如弱口令或者漏洞,来吸引攻击者攻击。

  • 在攻击者容易发现的地方放置蜜标,例如账号密码,证书等等。

蜜罐如何感知恶意攻击?

蜜罐通过监控攻击者的网络流量和进入蜜罐后的异常行为,来获取攻击者。

探针可以部署在哪些系统上?

探针可以部署在任意系统,包括但不限于 Windows、Ubuntu、Centos、Macos。

部署探针是否会存在安全隐患?

探针在部署机器上只起到代理作用,用于流量转发,攻击者无法对部署机器进行任何操作,可以保证部署机器的安全性。基于 SSL 加密的探针和中控交互,可以保证通信的安全性。

如何部署蜜罐?

蜜罐高度集成在御阵中心,蜜罐无法直接和用户环境通信,与外部环境通信需要通过欺骗防御与威胁感知系统中心配置。

客户内网环境中每个区域建议部署多少探针?

探针的数量不受蜜罐数量限制,可以实现多对一,建议机器与探针的比例是3 : 1,3台机器可以部署1个探针。该比例可以保证欺骗防御与威胁感知系统对内网节点的全面覆盖。

如何实现探针的最佳部署?

  • 根据探针与蜜罐的绑定与选择,可以有针对性地部署探针。欺骗防御与威胁感知系统分为两种蜜罐,报警蜜罐和主机蜜罐,报警蜜罐成本低,方便扩容,主机蜜罐成本高,但是可以实现对攻击数据的细粒度感知。

  • 针对公司的核心资产区(如数据,运维区域),可以多部署主机蜜罐,并在不同区域绑定不同蜜罐。例如在数据区、生产资料区,可以多绑定数据库蜜罐和中间件蜜罐。在办公区,可以多绑定 Windows 系统蜜罐。在服务器区,多部署 Linux 系统蜜罐。

  • 非重要区域可以多部署报警蜜罐,在节省成本的同时,做到对内网的全覆盖。

欺骗防御与威胁感知系统如何收费?

目前处于内测阶段,用户 申请试用 并通过审核后可以获得试用权限,具体说明请参见 购买指


  • 名称: 欺骗防御与威胁感知系统DDTA
  • 关键词: 御阵,欺骗防御与威胁感知,欺骗防御,腾讯云