网络病毒感染、黑客攻击其实并不可怕,可怕的是你根本不知道自己已经深陷这些威胁当中,或者已经知道,但是敌人在暗我在明,无法准确找出攻击者。这种情况在网络基础防护设施薄弱的企业身上时常发生。近期,知道创宇猎风安全专家在对某著名企业进行内网安全防御部署的时候,就因其内网防护不完善,发生了一个有趣的故事。
该企业内网长期存在运行缓慢的问题,相关网络安全管理人员知道网络可能存在某些病毒,但是安装了几款常用的杀毒软件后,并没有起到任何的作用,问题仍旧存在。随后,知道创宇产品“猎风”接入该企业的内网,在网络当中部署了多个蜜罐,一旦网络受到攻击,猎风就会通过微信或短信等方式通知企业网络安全管理人员。一般情况下,在部署完蜜罐之后,企业安全管理人员都不会立刻收到威胁预警通知。但是,在该企业内网中刚部署好蜜罐,用户的手机就立刻收到了数条威胁预警通知。
“二楼,终于找到了”,他带着同伴飞快地奔向了猎风威胁预警定位的电脑。原本只有几个人的机房很快就围满了前来观看猎风部署的网络安全维护人员,并相互探讨这一“神奇”的系统。
通过猎风威胁感知预警显示,该台电脑感染了永恒之蓝,但是由于企业网络基础防御设施不完善,以致于一直无法准确找出携带病毒的电脑并及时将其杀掉。永恒之蓝作为互联网当中的隐形杀手,对企业、机构的网络安全构成了严重的威胁。
2年前,一款利用永恒之蓝的勒索病毒,在短时间内席卷全球,超过150个国家、30万名用户中招,造成损失达80亿美元。
去年年底,“驱动人生”木马病毒爆发,利用“永恒之蓝”高危漏洞进行传播,仅2个小时受攻击用户就高达10万。
病毒变种速度快,而大部分安全产品不能及时更新,企业无法准确找到病毒并及时查杀,一款能够实时更新的威胁感知产品成为了企业迫切的需求。而知道创宇猎风威胁感知系统能够对潜在的威胁进行发现、分析、溯源,并在诱捕节点捕获威胁后,第一时间向用户发起报警,帮助该企业阻止了一次大规模的设备瘫痪事故的发生。
在对内网系统进行检测的同时,猎风可以自动生成威胁报告,直观展现攻击者攻击行为。通过对威胁报告的分析和攻击行为的匹配发现,永恒之蓝被多个主机利用来攻击该企业的内网,安全人员怀疑有一股不法团伙在对其进行长期的渗透攻击。
在随后的几天,猎风蜜罐果然捕获到了来自多个攻击源持续不断的攻击。
1.甜蜜蜜罐诱敌上饵
与传统的蜜罐低诱骗性、更新滞后性相比,猎风蜜罐能够模拟真实业务场景,并针对当前攻击者喜欢的攻击方式仿造出切合他们“口味”的诱饵,在攻击者必经之路构建陷阱,主动诱骗攻击者进行攻击。
根据该企业的业务特性,猎风在不同的功能区部署了多个不同的蜜罐,如在DMZ区部署了OA业务蜜罐,在办公区部署Windows主机蜜罐,在服务区部署SSH主机蜜罐、MySQL蜜罐等,混淆攻击者的视线,在不到一个月的时间,共发生上百起攻击事件,上万次威胁请求,最多的一天威胁请求达到5000多次。攻击者在如此多的甜蜜诱饵中乐不思蜀,而真实的网络场景被隔离在了安全的区域。
展开全文
2.暗中观察,层层布阵
当攻击者进入蜜网之后,系统控制中心第一时间通知用户,用户可以直观查看其攻击行为。通过数据分析发现,大部分网络攻击都集中在三楼的生产区,于是猎风专家将更多的精力集中在了该区域,并对部署在此区域的蜜罐进行不断更新,随时保持24小时在线监测,制定多种应急方案,一旦出现紧急情况,立刻采取防御措施。在猎风的天罗地网中,黑客欢欢喜喜带着虚假数据离开,殊不知其一举一动已经被记录在案。
3.事后加固,减少漏洞
在事后,通过对攻击过程的分析发现,该企业网络存在多个薄弱环节。随后,猎风安全专家提出了一系列具有针对性的加固方案,如在区域网架设微软更新服务器,实现Windows补丁自动分发,以便内网主机随时更新到最安全的状态,同时减少网络中主机非必要的服务端口自动扫描等,横向扩展了整个网络应对潜在威胁、未知威胁的持续防护能力,有效避免了更高级威胁的侵害,提升了综合防御能力。
猎风,闻风而动;攻击者,望风而逃。从最初的发现威胁到最后的网络防护加固,猎风都以零失误率完美应对未知网络威胁。网络威胁看不见,而猎风专为发现威胁而生,看得见,才能防得住。返回搜狐,查看更多