从RSA创新沙盒中看到的 企业安全体系的进化之路

2018年4月20日

为了应对日益恶化的局面,全球的安全界都十分关注每年RSA大会上的创新成果,而大会中的创新沙盒大赛被业界认为是RSA大会的风向标,在过去的 5 年中,多家进入决赛的初创公司获得了累计 12.5 亿美元的投资。因此,创新沙盒大赛也被称为“安全界的奥斯卡”、“安全技术创新和投资的风向标”,成为历届RSA大会最为瞩目的焦点。


欺骗技术“赢得”主动防御权

今年入围的10家创新企业中,位于美国加州的初创高科技公司Acalvio Technologies凭借其基于欺骗技术的产品ShadowPlex而获得提名。ShadowPlex 能够部署可扩展的真实欺诈手段,用以检测已经成功入侵的攻击者、分析其行为、自动响应以阻止攻击,同时优先执行威胁发现与修复活动。

两年前,默安科技推出的产品幻阵,是一款基于攻击混淆与欺骗防御技术的威胁检测防御系统。幻阵的创新之处是基于情报欺骗与伪装代理服务欺骗的全链路欺骗,能够让黑客去攻击尽在掌控之中的蜜罐,最终目的是让潜伏的黑客主动暴露自己,从而变“被动防御”为“主动防御”,这与Acalvio公司的理念不谋而合。

幻阵通过在黑客必经之路上构造陷阱,混淆黑客的攻击目标,并精确感知攻击,第一时间发现利用0day漏洞的APT攻击行为;并且能够阻断和隔离攻击,溯源黑客身份及攻击意图,形成黑客攻击情报,从事前到事后,全流程跟踪风险。

幻阵.png

案例一:发现的能力  传统安全设备的有效补充

某客户内部长期饱受蠕虫攻击,由于在内网缺少有效的检测设备。仅针对被感染的机器打补丁等行为也只是治标不治本,安全人员一直苦于寻找感染源头。

部署在客户内部办公网的幻阵平台,发现了系统内部遭受到WannaCry蠕虫攻击,并且记录了黑客攻击的全过程,精准溯源出黑客信息。幻阵为企业提供了精准的内部威胁情报,表明系统边界防御设备失效,内部已存在安全风险。根据事件行为记录找到感染源头,黑客攻击过程和手法,制定合理有效防护措施,进行彻底根治,避免了蠕虫病毒在内部继续蔓延。

幻阵2.png

案例二:精准定位  锁定云上攻击者

某互联网金融客户,云上生产网环境的真实MongoDB数据库存在未授权登录漏洞,被黑客攻击后将其所在服务器作为矿机在内部疯狂的挖矿。

安全管理人员查看主机日志信息和云上部署的防火墙日志信息均无法定位到攻击者信息,查看近期幻阵平台的行为和事件记录,发现了幻阵平台上MongoDB沙箱的受攻击记录。

经过比对,沙箱受攻击的时间点和MongoDB数据库主机CPU飙升的时间点吻合,并且攻击MongoDB数据库的可疑IP里确实出现了幻阵溯源出的源地址,基本就锁定了攻击者的信息。

幻阵3.png

云计算时代  进化企业的安全体系

幻阵拥有在第一时间“发现”和检测不可控攻击的能力,形成及时有效的企业内部威胁情报,这是企业拥有主动防御能力的先决条件,也是传统安全体系的一个有力补充。

随着越来越多的企业进入云计算时代,幻阵作为欺骗防御模块,通过无缝接入默安科技的云平台安全大脑,组成智能、弹性、一体化的安全管控系统,该系统拥有资产监控、威胁情报、攻击检测、攻击防护、攻击溯源、攻击诱捕等多种功能,能够利用内置的威胁量化引擎和安全决策引擎,完成智能化的检测、联动和响应。

接入幻阵的安全大脑不仅能够自动阻断攻击者,还可以基于SDN技术或者主机安全客户端,自动调度指定流量到蜜网系统中,使整个云平台的业务变成一个时刻变化的有机体,将云平台的安全防护从单点防护进化到体系化、智能化防护。