明鉴迷网系统(以下简称“迷网”)是安恒信息根据多年在安全领域的攻防经验,打造的一款应对攻防实战场景的安全产品。迷网基于网络欺骗和主动防御理论,通过在真实业务网络中部署各种高仿真蜜罐、蜜饵,形成沉浸式诱捕蜜网,混淆攻击视听,增加攻击代价,达到延缓攻击进程,进而保护用户资产的目的。目前成功案例已覆盖公安、政府、金融、运营商、能源等行业,为各行业提供安全防护支撑。
技术特性
迷网有别于传统的安全产品,其并不通过特征检测方式发现攻击,而是通过设立诱饵吸引攻击者,监控诱饵异动,进而发现攻击者的攻击行为,推测出攻击意图。
迷网的主要特性如下:
1、它是传统安全防护体系的重要补充,并且与现有安全体系产品并不冲突,能够起到“1+1>2”的作用;
2、主要作用于“事中发现”、“事后处置”两个环节;
3、蜜罐、蜜饵并不是真实业务,正常情况下并不会被触碰、使用,其上发生的所有的记录、流量,都意味着攻击行为,不存在误报;
4、通过极小的代价,极高程度上提升网络复杂度,增加攻击代价;
5、对业务系统几乎无感,不影响现有业务体系、安全防护体系;
6、能够有效的采集黑客信息,输出高质量威胁情报。
核心能力
丰富的欺骗伪装能力
迷网提供丰富的高低交互蜜罐类型,包括web服务蜜罐、操作系统蜜罐、数据库蜜罐、系统服务蜜罐、中间件蜜罐、工控蜜罐、物联网蜜罐等,可泛化上千种蜜罐节点,提升网络复杂度。另外,可以通过在真实业务系统上安装流量转发Agent,将攻击流量重定向引流至蜜罐网络中,来扩大诱捕覆盖面。
为保证系统具有更逼真的“用户体验”,系统利用模拟网络流量、仿真业务系统界面、虚拟数据、高度伪装内容等手段,提升对攻击者的吸引力,获取攻击者的注意,延缓攻击进程,达到诱导、捕获攻击者的目的。
全面深度的威胁分析
迷网通过行为分析引擎、关联分析引擎、文件检测分析引擎将捕获到的攻击进行深度分析,可识别出攻击源IP、MAC地址、地理位置、执行命令、凭证信息、渗透请求数据、文件操作信息、进程信息等内容。通过构建杀伤链,将攻击者入侵的每一环节直观地呈现出来,并支持攻击回放,提供相应的风险分析和处理建议。同时,迷网构建态势分析模型,从多维度、多视角实时监看整体诱捕攻击态势,使攻防动态一目了然。
安全可靠的自身防护
为保障自身安全,避免攻击者借助蜜罐作为跳板,对内部真实业务系统发起攻击,迷网建立了多重安全防护体系:
● 基于底层操作系统隔离技术,在网络层、应用层均做了隔离,阻止内部越权以及攻击的东西向移动
● 隐匿自身监控进程不被攻击者发现
● 使用通信加密技术对传输数据进行加密
● 提供一键蜜罐状态回滚能力
● 攻击者对蜜罐进行扫描时获取的信息均经过特殊处理,攻击者无法通过扫描、探测辨别真伪
通过以上手段,能够确保自身安全。
简洁方便的部署管理
针对各种复杂的网络环境,迷网提供跨网段部署方式,即在各网段网络互通情况下,一台设备支持多网段部署,减少设备堆叠,实现统一管理。
产品价值
事前
隐匿真实资产,全面监测预警 | 重要系统模拟,定向流量牵引
事中
高度交互吸引,仿真响应过程 | 摸清入侵思路,追溯攻击源头
事后
关联数据分析,启发未知漏洞 | 整合多源情报,完整过程取证
<
<
<
客服1 
客服2