工控蜜罐-实战攻防演练专用(定制)是一款诞生于灯塔实验室安全研究团队内部攻防实战实践,适用于实战攻防演练的专用工控蜜罐系统,产品可广泛应用于国家重大活动安全保障、集团企业网络安全实战攻防演练过程中的企业级信息安全防护。本产品可以为用户建立主动防御网络,对潜在威胁进行感知与捕获,实现网络攻击事件的实时预警与网络安全威胁转移。
“红队”护网“攻击”检测手段
- 大规模目标侦查
“红队”为了快速了解蓝方用户系统的类型、设备类型、版本、开放服务类型、端口信息,确定系统和网络边界范围,将会通过Nmap、端口扫描与服务识别工具,甚至是使用ZMap、MASScan等大规模快速侦查工具了解用户网络规模、整体服务开放情况等基础信息,以便展开更有针对性的测试。
- 口令与常用漏洞测试
“红队”掌握蓝方用户网络规模、主机系统类型、服务开放情况后,将会使用Metasploit或手工等方式展开针对性的攻击与漏洞测试,其中包含:各种Web应用系统漏洞,中间件漏洞,系统、应用、组件远程代码执行漏等,同时也会使用Hydra等工具对各种服务、中间件、系统的口令进行常用弱口令测试,最终通过技术手段获得主机系统或组件权限。
- 权限获取与横向移动
“红队”通过系统漏洞或弱口令等方式获取到特定目标权限后,利用该主机系统权限、网络可达条件进行横向移动,扩大战果控制关键数据库、业务系统、网络设备,利用收集到的足够信息,最终控制核心系统、获取核心数据等,以证明目前系统安全保障的缺失。
产品技术优势与应对方案
- 网络扫描行为监控
当“红队”使用专业工具进行网络扫描与侦察时,产品可识别出异常和扫描行为类型,为用户提供实时告警,掌握“红队”攻击进程
- 网络端口扫描防护
当“红队”已经在进行网络扫描与侦察时,产品可提供大量虚假主机和虚假服务,形成“影子网络”,隐藏原本真实的业务系统,干扰“红队”对攻击目标的判断
- 攻击行为转移与重定向
当“红队”已经在开展攻击测试行为,产品可将攻击流量转移与重定向到指定的容器、系统、网络环境内,使其进入“网络黑洞”,将攻击行为与真实网络隔离,延缓“红队”攻击时效
- 攻击行为智能分析与溯源
对于“红队”所有的网络攻击和测试行为,产品可全程留存所有攻击和测试行为数据,并自动完成攻击行为等级划分,产品可协助用户完成攻击溯源取证和攻击复盘
产品技术先进性
- 产品功能通过国家认可的权威机构网络安全专用产品安全认证和安全检测
- 独有的工控蜜网自动化秒级生成与基于SDN的攻击流量转移技术
- 支持VMware、Xen、Hyper-V、KVM、Docker等虚拟化环境和云端一键部署
产品实施优势
- 不需要串接网络、无需旁路配置端口流量镜像
- 不改变用户物理网络结构、只需接入待保护的网络中即可产生防御效果
- 灵活的部署环境,真正做到即插即用,
产品部署位置
- 重要工业控制业务系统网络
- 重要工业资产网络
- IT网络与工控网络边界
- 信息网络与管理网络边界
- 电力网络I II区
产品价值
1、帮助用户掌握当前网络是否被“红队”突破,并且突破者是否为已授权“红队”;
2、帮助用户检验当前网络安全策略是否健全,是否会被突破;
3、掌握网络是否已经感染蠕虫病毒;
4、抵御网络端口扫描行为,扰乱信息收集和大规模网络侦查;
5、发现针对重要系统进行针对性攻击的行为;
6、留存攻击事件与完整攻击日志记录,为一键封堵攻击,技术反制、司法取证提供数据支持。
产品服务方案
- 提供7*24小时应急响应与安全运维服务
- 提供在线服务,通过设备捕获的威胁流量和事件,结合互联网态势和组织分析,进行研判,并在1小时内做出反馈和应急处置。
- 提供线下服务,重大活动安全保障期间提供7*24小时安全分析与系统安全值守,对任何安全事件实时应急处置。
- 提供产品租赁与行业版本定制服务
产品采购和免费试用部署联系
