拟态防护解决什么?
1. 应急止血无法治本
传统观念的应急止血方案,无论是隔离/清理后门或者下线感染机器,只能暂时清理攻击者的后门。后续攻击者仍然可以利用存在的漏洞和攻击路径再次入侵,甚至可能尝试其它更隐蔽的后门逃逸安全检测。拟态防护不是清理而是将后门转移至蜜罐,让攻击者后续被欺骗在蜜罐环境中执行后渗透操作,从而不对业务产生风险,有充足的时间进行漏洞排查和修复,乃至可以进一步对攻击者进行溯源和反制。
2. 传统欺骗防御实施低效
传统蜜罐欺骗设施不等同于真实资产,需要额外部署探针和配置引流策略。因此传统蜜罐与真实业务关联不强,难以对真实业务上的攻击者展开欺骗诱捕,即便仿真也始终存在差距,难以诱捕高级攻击者。而且和业务平行部署的探针黑客攻击触达率较低,而拟态防护在真实业务上进行欺骗,只要黑客尝试攻击真实业务即会正常触达蜜罐。
拟态防御有什么优势?
应急溯源快速搞定
应急响应速度是企业安全防护能力的一个重要指标,有效处置入侵成功报警,不仅要争分夺秒的完成应急止血、分析入侵原因、上线防护规则,还要防范攻击者更猛烈的“反扑”。 拟态防护在接管攻击流量后,会诱捕攻击者进入仿真沙箱,故布迷阵,一方面降低进一步高阶攻击的可能性,争取修复时间;同时所有攻击操作都将会被全量记录,还可通过溯源记录反向追踪。
核心价值
- “欲擒故纵”:攻击流量被牵引后,所有攻击操作都将会被全量记录;
- “反客为主”:通过溯源记录反向追踪,同时查漏补缺。
后门“免疫”,后渗透环节的有效防护
如果已经发生了入侵,在后渗透环节通过拟态防御可以将攻击者的后门(无论是webshell、后门、反弹shell等等)都可以直接迁移到蜜罐中,不仅迅速起到应急的效果,感知不到后门被“免疫”的攻击者还会蒙在鼓里,继续操作,却不知已被全程锁定。
核心价值
- “安如泰山”:将攻击者都转移到蜜罐中操作,让真实业务安如泰山;
- “诱敌深入”:攻击者的持续在蜜罐中攻击,深入暴露攻击者的身份和意图。