数世咨询:蜜罐诱捕市场指南2022
自2020年《数世咨询:蜜罐诱捕能力指南》发布以来,已经过去了近两年。为了紧跟技术与行业的变化,数世咨询今年更新了蜜罐诱捕点阵图,并基于过去两年的变化,有了新的关键发现。
数世咨询对“蜜罐诱捕”的定义
蜜罐诱捕技术是由传统蜜罐技术演进而来,运用仿真技术形成诱捕环境,并通过一系列引诱和伪装手段,诱使攻击者将攻击目标转移到诱捕环境中;并对其采取拦截阻断、行为分析、追踪溯源等措施,从而实现保护自身真实业务环境的目的。与传统的蜜罐技术相比,最大的区别在于防御过程中化被动为主动的过程。类似的概念包括欺骗防御、威胁诱捕、伪装、新一代蜜罐技术等。
蜜罐诱捕点阵图2022
点阵图将蜜罐诱捕厂商分为三种类型:
融合源:拥有较多不同安全产品能力,并且能通过多种产品联动使蜜罐诱捕能力进一步提升的厂商。
能力源:在某一技术特点上较为突出,或者从某一相关赛道切入蜜罐诱捕领域的厂商。
专注源:以蜜罐诱捕为主要安全能力的厂商。
本次最终参与并进入蜜罐诱捕点阵图的厂商共有22家,分别为:360政企安全、安恒信息、安码、安天、长亭科技、斗象科技、非凡安全、观安信息、吉沃科技、锦行网络、经纬信安、绿盟科技、默安科技、乾冠、瑞和云图、腾讯安全、天融信、星阑科技、永信至诚、元支点、知道创宇、智仁智信。
关键发现
● 近年来,蜜罐诱捕技术发展速度迅猛,有越来越多的厂商开始发力蜜罐诱捕技术。未来蜜罐诱捕市场依然有极大的发展空间。
● 当前蜜罐诱捕技术的大部分应用场景依然在攻防演练,在日常防御的应用依然较少。除了政企对蜜罐诱捕技术的认知依然不足之外,政企人员缺乏进行蜜罐诱捕产品的日常运维能力同样成为蜜罐诱捕技术发展的桎梏。一旦蜜罐诱捕技术能够成为日常安全能力的一部分,蜜罐诱捕技术市场有望进一步加速扩大。多家厂商已经着手从不同维度,尝试解决蜜罐诱捕在日常使用方面的难题。
● 公有云供应商也开始注重蜜罐诱捕技术的发展,除了公有云供应商自研提供蜜罐诱捕能力之外,也会通过生态合作的方式将蜜罐诱捕厂商的能力融合到自身环境当中。
● 信创是国内蜜罐诱捕市场的下一个主要发展领域。但是,需要注意的是,信创对于蜜罐诱捕而言,需要的是能够在信创环境下,提供针对信创的高交互、高甜度的仿真能力,这要求蜜罐诱捕解决方案同时兼具对信创环境的兼容性以及对信创的仿真能力 。
蜜罐诱捕市场调研
目前蜜罐诱捕在国内市场处于“新兴市场”。在数世咨询《2021年度中国数字安全能力图谱(完全版)》属于 “基础与通用技术” 方向中“仿真与测试”的二级分类。
根据调研,2020年蜜罐诱捕市场收入已经达到3.67亿元,2021年收入达到6.2亿元。预计2022年可达9.5亿元,2023年收入有望超过12.5亿元。远超出2020年《数世咨询:蜜罐诱捕能力指南》中的预测。原因有两个:其一,我们看到多家之前就已经致力于蜜罐诱捕的厂商在2020年的收入有了很大的提升;其次,过去两年,有大量的新厂商加入这个领域,并且取得了不错的收入。
《2022年蜜罐诱捕能力指南》市场及预测
《2020年蜜罐诱捕能力指南》预测对比
目前来看,蜜罐诱捕的交付模式以单一标准化产品为主,约占67%;定制化产品与运营交付模式占18%;作为项目中的一个功能交付占14%。对比2020年调研情况,单一标准化产品交付占比有明显提升,而作为项目中单一功能交付比例下降,蜜罐诱捕逐渐作为单独安全能力存在。
从销售方式来看,蜜罐诱捕能力以直销为主,占比为74%。
蜜罐诱捕最大购买区域为华北,占35%;其次为华东,占27%;华南地区同样占到了18%。
蜜罐诱捕当前最大使用行业为运营商与金融,均约占18%;其他超过10%的领域为电力与互联网。相比2019年收入情况,金融占比降低较多,电力、互联网、国家部委收入占比均有明显提升,意味着随着演练活动的增加,越来越多的行业开始关注蜜罐诱捕技术的使用。但是,如何将蜜罐诱捕用于常态化防御,成为下一个需要解决的问题。
案例一:某金融机构蜜罐诱捕建设(案例来源:知道创宇)
客户背景
某金融机构为30余家境内分公司、50余家境外分支机构及关联银行提供金融行业云服务,网络安全是行业云建设的重点。该项目在多个城市建有自建机房,采用私有云搭建金融行业云平台,云平台分为Underlay、Overlay层,分别为基础物理网络和物理网络之上构建的虚拟网络。
金融行业云Underlay和Overlay
金融机构核心数据资产存放于私有云Underlay内网核心区域,包括客户信息、银行卡信息、交易信息等敏感数据;而Overlay提供各类金融服务给各分公司、分支机构及关联银行使用,Overlay上的这些用户统称为租户,这里采用1个VPC代表1个租户,每个租户拥有自己独立的云资源,不同VPC之间流量隔离相互独立,不同VPC地址空间也是独立的(即不同VPC可以使用相同的网络地址)。
目前,金融行业云还没有针对Underlay和Overlay完美的云原生安全解决方案。
客户需求
Underlay核心数据资产的安全防御是客户的刚性需求,可大体归纳为:
隐藏核心数据资产:高价值的敏感数据通过“隐藏”进行“保护”,即使攻击者进入相关区域也无法轻易获取。
及时感知网络威胁:能够及时感知Underlay的网络攻击,并保证较高的实时性。
部署灵活可拓展性强:Underlay不但存储着核心数据资产,还作为基础物理网络为Overlay提供支撑,威胁感知范围需要覆盖到Underlay的各个网络区域,安全产品需要采用软件化部署、并支持弹性扩展。
Overlay租户的安全防御需求可归纳为:
低成本大范围:感知范围需要覆盖到每个租户,并且建设成本不超出预算范围。
集中共享:管理中心集中监测各租户的威胁情况,支持识别不同租户(VPC)的网络地址空间(不同租户可以使用相同的网络地址),并在金融行业云内实时共享威胁情报。
弹性扩展:支持大量租户快捷接入、云资源弹性扩展,支持租户一键开启蜜罐威胁诱捕监测服务,开启即可查看威胁数据,实现大量租户快捷部署、自动接入,以及云资源弹性扩展。
方案实现
纵深主动防御可以将网络划分为4个层次——互联网暴露层、网络边界层、边界设备互通层、内网核心层。而黑客攻击则可以分为三大步骤——情报收集、建立据点、横向移动。各网络层次和黑客攻击步骤对应关系如下图所示:
纵深主动防御网络层次划分
对于金融行业云,以上网络层次和黑客攻击步骤同样适用,Underlay在网络边界层、边界设备互通层、内网核心层这三层做防御,而Overlay则在4个网络层都做防御。
金融行业云蜜罐部署示意图
具体方案如下:
1、Underlay内网核心层部署核心数据资产孪生蜜罐
该金融行业云Underlay存放的诸如客户信息、银行卡信息、交易信息等高价值、高敏感数据,往往是攻击的重点目标。方案中将客户核心数据资产进行脱敏复制、插入混淆数据后,镜像生成若干孪生蜜罐。并按真实资产与孪生蜜罐1:10的比例在核心数据资产所在网段大量部署蜜罐,还将随机的、命中率高的IP分配给孪生蜜罐,使IP配置呈无规律排列,更具迷惑性。
2、内网迷阵覆盖Underlay网络边界层、边界设备互通层
在Underlay网络边界层、边界设备互通层区域,采用部署便捷、资源消耗低的蜜罐类型生成蜜网迷阵,扩大感知诱捕覆盖面,一旦攻击者突破进入这些重点区域进行横向渗透,就会立即暴露,触发预警。
3、Overlay采用蜜罐中心+探针分布式部署
将蜜罐中心部署在Overlay上一个特殊的VPC X,各租户的VPC可以跟这个特殊的VPC X通信,每个租户只需一键开启蜜罐服务,即可自动安装蜜罐探针到各自的VPC中,实现整个VPC的威胁感知。租户可通过浏览器在蜜罐控制台查看威胁数据并进行处置,管理员则可以通过浏览器在控制台查看所有租户的威胁数据并进行集中处置、通报。
方案效果
Underlay内网核心层孪生蜜罐隐藏私有云上核心数据资产
为了模拟实际的渗透测试检验孪生蜜罐防护效果,客户安排渗透人员发起小规模攻防演练,通过3天的渗透测试,渗透人员通过大规模扫描、收集资产信息,并攻击某高交互蜜罐成功,拿到了蜜罐系统的地址信息与登陆凭证(蜜饵)。最终的实际应用效果证明:存放有仿真数据的孪生蜜罐成功起到了迷惑黑客的作用,保证了私有云上核心数据资产的隐蔽性和安全性。
Underlay网络边界层灵敏感知横向渗透扫描、毫秒级告警响应
蜜罐发现攻击源IP对部署于网络边界层的SSH蜜罐、OpenSSH蜜罐发起的多次端口扫描行为,并发起告警;通过内部溯源及管理员排查发现IP归属【网络部-基础运维组】,通过内部确认行为,得知网络部扫描器在对内网资产进行“不定期巡检”,而捕获“攻击”IP正是网络部扫描器IP。管理员后续将网络部扫描器IP加入白名单并开启了“忽略”,保证下次扫描器再扫到蜜罐时,蜜罐不会再返回任何信息。
Overlay 某租户DMZ区域感知到外网攻击踩点行为
DMZ区域蜜罐感知到大量来自外网的攻击行为,包括外网低危扫描探测行为,也有部分IP进行了XSS、SQL注入、文件上传等高危攻击行为。
蜜罐管理员将这些IP同步给防火墙等阻断产品,将这些高危IP全部加入了黑名单,对其进行金融行业云内全网封禁。
Overlay 采用一套蜜罐中心覆盖上百个租户VPC
在客户采购预算内,采用一套蜜罐中心+多探针的模式覆盖了私有云Overlay上百余个租户VPC。每个租户的数据都汇总到蜜罐中心控制台,管理员可以集中管理、查看威胁态势,任何一个VPC发生威胁,可以将威胁情报通过API的方式同步到私有云各个租户,并同步给私有云上的阻断产品对攻击进行封堵。
客户评价
采用这套创宇蜜罐打造的纵深主动防御系统,首先,将我们金融行业云的Underlay和Overlay各个租户各个VPC各个关键网络区域全部覆盖到了,并且费用控制在我们项目预算范围内,性价比非常高。
其次,这种主动诱捕手段是真正可以跟黑客抗衡的安全防御措施,将攻击感知提前了,有效弥补了现有防护产品事后告警、实时性低的不足,大大提高了我们云上的安全底线。
最后,我们通过内部进行攻防预演来对整个系统进行了考验,创宇蜜罐的迷阵和孪生蜜罐表现相当出色,渗透团队花了3天也没有找到真实靶标,根本分不清哪个是真的哪个是假的,确实起到了成功将核心数据资产隐藏起来的目的。
案例二:某能源行业企业构建全链条欺骗防御体系项目(案例来源:360政企安全)
场景介绍
该能源企业自身安全建设相对较完善,但对于内网攻击的威胁检测能力仍有所欠缺,该企业希望可以通过蜜罐可以记录内网攻击行为数据,弥补这部分缺陷。此外,该企业在攻防演练行动中仍然较为被动,亟需一种能威慑攻击者、溯源攻击者,主动打击攻击者的能力。
客户需求
主动防御:深度获取攻击者个人身份信息、社交账号信息,甚至可实现对攻击者其他信息的主动捕获及取证,实现安全防御“反客为主”。
降低误报:通过蜜罐的合理化部署,实现精准告警,减轻安全运营人员压力,实现高效运营。
内生情报:通过欺骗防御基础设施的建设,实现威胁情报内生,为其他安全产品协同联动提供数据基础。
解决方案
由于能源行业数据的敏感性,本次部署方案采用本地部署的方式。整个产品的运营思路从攻击诱捕 → 欺骗仿真 → 威胁分析 → 攻击溯源 → 深度反制这几个维度进行展开。
攻击诱捕:通过前期客户网络的调研,通过在DMZ区采用探针、诱捕蜜标、蜜饵混合部署的方式来感知威胁行为。探针可以安装在任意一台服务器上监听异常行为,无代理的蜜标通过伪造敏感数据文件并嵌入特定标识,投放在高权限员工个人PC及核心资产中。文件被打开就会触发内嵌脚本,记录并回传攻击主机相关信息。此外,通过蜜罐Server端控制主机蜜饵、互联网蜜饵等信息的自动下发。通过在GitHub平台以及办公终端上扩散蜜饵文件、信息,将攻击者引入蜜罐中,从而达到扩大诱捕面及失陷主机预警等作用。
欺骗仿真:利用高交互、高仿真蜜罐对重要业务系统进行平行仿真,构建与真实业务系统高度相似的伪装欺骗网络(简称“蜜网”)。通过蜜网的建设,网络内的每个蜜罐都是对真实服务的模拟,极具迷惑性,目的是将攻击者引入其中,从而延缓攻击、保护真实资产。蜜网捕获到的攻击数据会传给管理中心处理,并产生实时告警。
威胁分析:利用系统内部的攻击者行为监控引擎,对攻击者行为进行无死角捕获,结合pcap包原始流量、落盘样本捕获并结合360云端情报大数据,实现对攻击者目的、意图及同源攻击的深度剖析。
攻击溯源:利用攻击者合并算法,对攻击者的每个终端生成唯一的设备指纹并进行攻击合并,并结合社交账号捕获手段对攻击者真实身份信息进行分析。
深度反制:系统结合常见的一部分协议的缺陷及构造的仿真欺骗场景,制成反制蜜罐,可直接对攻击者本机进行深度控制,可实现截屏、命令控制、文件上传下载等操作。
360攻击欺骗防御系统部署示意图——图片来源:360
客户价值
通过将大量的探针部署到真实网络中,同时在一些重要的员工PC上投放蜜标,并在不同的网络区域部署了不同的欺骗诱捕方案。同时再将一部分DMZ区的探针 引流到了VPN蜜罐以及反向代理到客户真实站点的蜜罐中,并映射到公网。同时,将客户自身的对应子域名解析到该探针的公网IP,并开启攻击者溯源功能,在攻防演练首日就成功捕获到攻击者,并溯源到相关身份信息;在进程过半的时候成功反制到一名攻击者溯源到整队成员,上报加分,成功帮助该企业找回主动权。值得一提的是,在非演习期间,蜜罐也发挥了运营价值,成功捕获到一名白帽子对该企业的扫描探测行为,并追溯到真实人员信息。
客户评价
借助于360攻击欺骗防御系统构建的全链条欺骗防御体系,彻底扭转了安全运营中的“攻守不对称”现象。通过以攻击欺骗防御系统为抓手,可以实现对攻击者的主动对抗、动态博弈。从平台部署至今,在多次攻防演习活动中成功溯源到攻击者身份,并且在日常安全运营工作中,也发挥了重要价值。
案例三:政府行业用户案例(案例来源:经纬信安)
场景介绍
随着网络安全等级保护2.0国家标准(简称等保2.0)发布实施及不断深化,在强调“一个中心、三重防护”网络安全架构的同时,将行业安全的关注点从原来的传统系统安全,拓展到云计算、移动互联网、大数据平台等新的技术领域,更加注重全方位主动防御、动态防御、整体防控和精准防护。
政府单位为了增强主动检测和防御能力,希望通过蜜罐诱捕系统能尽早发现攻击、精准检测和主动防御,真正从被动检测到主动防御,即时响应。
客户需求
效率、闭环,是客户的最主要诉求;
精准检测攻击,提前预警,事前防御,事中响应;
减少人工判断环节,简化运维,提高效率。
解决方案
“让安全更高效”是经纬信安的宗旨。经纬信安以攻击诱捕为核心,将攻击检测和防御环节前置,构建“预测、预防、监控、分析和响应”于一体的自适应闭环网络安全防御平台,实现智能驱动、自动响应和集约管控应对网络攻击。
本方案中,将蜜罐暴露面充分前置,在互联网尽早收集攻击者信息,将蜜罐映射到互联网接入区,第一时间感知攻击行为;将能连外网区域的蜜针的攻击流量转移到云上,通过内置的威胁情报,比对诱捕攻击信息,进行验证,通过内置的防御策略,调动纬将主动防御平台阻断攻击。
经纬信安以攻击诱捕和威胁情报为核心双驱动,对诱捕信息秒级比对,自动联动防火墙和经纬信安主动防御平台,即时处置。
在本案例中,不需要人工研判时间,充分发挥蜜罐诱捕精准的效能,依据AI自动化分析处置,秒级响应,“稳准狠”。
稳——提前捕获:诱饵资产充分前置,互联网、互联网接入区的蜜针,提前感知攻击者在收集情报阶段的行为,提前布局策略;
准——精准狩猎:通过攻击诱捕发现院子里、家门口的“坏人”,结合内置的威胁情报,实时共享经纬信安情报中心数据,对大家都认为的“坏人”(含前科)进行验证,双重标签,精准有效捕获攻击,即时判断;
狠——实时响应:因为提前,所以从容;因为精准,所以“稳准狠”,让防御不再有压力。
客户价值
攻击诱捕不再仅仅用于重保期间,还是日常网络安全检查和防御的高效产品,从事中检测成为事前检测,从事中防御提前到事前防御;
从主动检测到主动防御,大大节省了研判时间和人工效率,不仅关注狩猎的过程,也看狩猎成果;
剔除噪声告警,精准捕获攻击、实时主动防御,让安全更高效。
客户评价
经纬信安以攻击诱捕为核心的主动方案,2021年以第一名的成绩被评为网络安全优秀实践案例。此方案建立了纵横立体的监测预警系统,形成了“预测、防御、监控和响应”于一体的安全闭环,切实解决了痛点问题,可有效解决行业内的实际问题,符合产业发展趋势,具有极大的应用和推广价值。
部分厂商简评
数世咨询从进入点阵图的厂商中,选出部分数世咨询认为较有特色的蜜罐厂商,分别做一些简单的评价(按名称排序):
360政企安全:360政企安全通过与自身安全大脑的联动,能够为自身的蜜罐诱捕能力提供更为强大的安全分析能力。360将来会以专家巡检的方式,让企业常态化使用。蜜罐诱捕能力。
安恒信息:安恒作为综合性厂商,能够将蜜罐诱捕技术融入到自身的防御体系当中,使自身的安全能力大幅度提升,同时自身在攻防领域的经验也使安恒蜜罐诱捕能力更加有效。但是,当前安恒蜜罐诱捕的市场占有率较低,需要更多从客户侧的验证。
长亭科技:作为国内一流的蜜罐诱捕厂商,长亭的最大特点是其基于攻防的蜜罐诱捕部署以及使用策略。通过对攻防的研究,长亭的蜜罐部署能够更准确地引诱攻击者进入诱捕环境,实现对真实业务环境的防护。
观安信息:观安信息在运营商领域的研究非常深入,是国内运营商领域,最大的蜜罐诱捕能力供应商。观安将蜜罐诱捕能力与NDR技术结合,并且配合自身的态势感知能力,对威胁进行诱捕和分析。观安在蜜罐诱捕常态化使用的解决方案,在于将蜜罐诱捕能力改造得更为好用、易用,能够让普通的IT人员操作。
默安科技:同样作为国内一流的蜜罐诱捕厂商,默安的特点则在于其能够实现更贴合企业自身业务环境的业务仿真能力。此外,默安的“乐高式沙箱”能够更灵活部署的同时,还能减少攻击者对默安蜜罐诱捕系统的特征针对。
腾讯安全:腾讯本身作为云供应商,拥有云原生的先天优势。腾讯自身多个安全实验室多年来对蜜罐的使用以及安全攻防的研究经验,也是腾讯安全蜜罐诱捕能力的优势所在。但是,由于腾讯的蜜罐正式商用时间较短,需要时间让市场证明其价值。
永信至诚:永信至诚的蜜罐诱捕能力从其网络靶场能力演化而来。永信至诚是国内一流的网络靶场供应商,其在IT环境的仿真能力上有极大的优势。永信至诚的蜜罐诱捕能力可以视为将一个小型的网络靶场置于业务环境中,实现迷惑攻击者的效果。
元支点:元支点能够在无插件、无agent的情况下快速部署蜜罐诱捕防御体系,为企业的安全防御体系进行有效的补充。
知道创宇:知道创宇的最大优势在于其在威胁情报与网络资产测绘上的积累,同时配合知道创宇在攻防上的研究,能够立体化、全方位地针对威胁进行蜜罐诱捕能力的部署。
作者
技术分析师:潘颉阳
产业分析师:左 晶
内容分析师:贺志刚
机构简介
国内数字安全领域中立的第三方调研机构,以数字时代为背景,提供网络安全行业的调查、研究与咨询服务。
联系邮箱:dw@dwcon.cn
参考阅读
热门文章
调研报告
-
数世咨询:《中国数字安全百强报告(2023)》正式发布
-
报告发布|数世咨询能力指南 - NDR
-
数世咨询:《2023年数字安全大事记》发布(上)
-
数世咨询《现代WAF市场指南》发布
-
报告发布 | 数世咨询能力指南 - 持续评估定义安全运营(附PDF下载)
