跳转至

什么是Ehoney?

Ehoney是Seccome Teamer首次开源的欺骗防御系统. Ehoney是基于云原生的欺骗防御系统、也是业界唯一对标商业系统的开源产品、欺骗防御系统通过部署高交互高仿真蜜罐及流量代理转发、再结合自研密签及诱饵、将攻击者攻击引导到蜜罐中、达到扰乱攻击者以及延迟攻击的效果、可以有效保证业务的正常运行.

什么是欺骗防御?

《孙子兵法》说、兵者、诡道也. 从古至今、欺骗技术作为战场上一种积极防御策略被一直使用. 而网络欺骗技术、 就是信息安全战场上防御者的“诡计”. Gartner在2016年安全与风险管理峰会提出的10大信息安全技术中、就包含了欺骗防御技术、 Gartner定义欺骗防御技术为 “使用骗局或者假动作来阻挠或者推翻攻击者的认知过程、扰乱攻击者的自动化工具、延迟或阻断攻击者的活动、通过使用虚假的响应、 有意的混淆、以及假动作、误导等伪造信息达到“欺骗”的目的". 欺骗技术(Deception Technology )已连续三年被Gartner列为十大安全技术之一、Gartner 认为、未来 5-10 年、欺骗技术将成为主流安全产品对抗未知威胁、0day攻击、高级可持续攻击等安全问题的最佳解决方案。

解决的问题

Cyber​​ Kill Chain 不仅仅是一种攻击模型。Cyber​​ Kill Chain 的七个阶段为任何组织的安全设计提供了极好的基础。

  • 侦察追踪 攻击者收集有关其目标的信息。这包括间接和被动方法,攻击者通过这些方法从 ARIN(美国互联网号码注册机构)注册、Shodan 或工作列表等公共资源中收集信息。然后攻击者将转向更直接和主动的方法,例如端口扫描。
  • 武器构建 攻击者现在利用侦察中发现的漏洞发起攻击;许多利用来自 metasploit、exploit-db 或社会工程工具包的工具。
  • 载荷投递 一旦攻击者选择了最适合利用您的漏洞的工具,他们就会选择传送方法,无论是网络钓鱼电子邮件、受感染的 USB 还是其他选择的方法。
  • 漏洞利用 武器已交付。攻击者只需要执行攻击,它可以采用 SQL 注入、缓冲区溢出、RCE 以及无数其他形式。
  • 安装植入 攻击者获得更好的访问权限。常见的对抗技术包括在无文件攻击中执行 powershell、安装远程访问工具 (RAT) 和 DLL 劫持。
  • 持续控制 攻击者现在设置对您的系统的持久访问以进行远程操作。根据他们的最终目标,攻击者可以立即采取行动,也可以潜伏在您的系统中数月到数年。即使在重新启动或修补初始漏洞后,访问仍可能持续存在,并且通常被加密和屏蔽以使其看起来像正常流量。有时,它甚至嵌入在正常的合法流量中,例如 Twitter 或电子邮件。
  • 目标达成 攻击者实现他们的入侵目标,例如数据泄露、数据破坏或拒绝服务。

然而,正如网络安全中的一句老话,“防御者需要防御一切,而攻击者只需要利用一个弱点。”,师以长夷以制夷,我们也可以用黑客的手段,反制黑客,打造一套覆盖整个攻击链的欺骗体系

与蜜罐不同?

  • 仿真环境 也就是大家理解的蜜罐,现在市场主流的蜜罐分高中低三类,诉求和解决的问题也不一样,如果要真实模拟环境,高交互蜜罐最合适,实现起来也更复杂,但是市面大部分蜜罐都低交互,稍微有点经验的黑客就能识破,何来欺骗!
  • 覆盖率 蜜罐是被动放在那里,等待黑客自己进来,比如线上服务器1w台,你不可能去部署1w台蜜罐,如果蜜罐仅仅部署几台,犹如杯水车薪,防御效果可想而知,所以这个是欺骗防御必须要解决的问题,就是如何做到高效的请君入瓮
  • 攻击溯源 如果采用高交互蜜罐,黑客入侵进去以后,怎么记录所有黑客的攻击,在蜜罐里装监控,黑客很容易就能发现,而且还能kill该监控,一般黑客都是攻击脚本不落盘,木马程序直接内存运行,没有办法拿到黑客样本,溯源非常困难
  • 动态对抗 蜜罐仅仅只能对攻击进行溯源,分析,不能做到根据黑客的行为,预测黑客的下一步,做到防范于未然,这个不仅仅是分析能力不足,蜜罐的架构也是没法实现动态对抗
  • 安全风险 黑客入侵蜜罐,如果蜜罐没做任何网络隔离,可能就会通过蜜罐做横向渗透测试

EHoney特点?

  • 支持丰富的蜜罐类型

通用蜜罐: SSH 蜜罐、Http蜜罐、Redis蜜罐、Telnet蜜罐、Mysql蜜罐、RDP 蜜罐 IOT蜜罐: RTSP 蜜罐 工控蜜罐: ModBus 蜜罐

  • 基于云原生技术

基于k3s打造saas平台欺骗防御,无限生成蜜罐,真实仿真业务环境

  • 业内独一无二密签技术

独创的密签技术,支持20多种密签,如文件、图片,邮件等

  • 强大诱饵

支持数十种诱饵,通过探针管理,进行欺骗引流

  • 可视化拓扑

可以可视化展示攻击视图,让所有攻击可视化,形成完整的攻击链路

  • 动态对抗技术

基于LSTM的预测算法,可以预测黑客下一步攻击手段,动态欺骗,延缓黑客攻击时间,保护真实业务

  • 强大的定制化

支持自定义密签、诱饵、蜜罐等,插件化安装部署,满足一切特性需求

Ehoney技术架构

架构图

演示视频

最后更新: 2021年7月20日
Back to top