如何让防御从被动变主动，德迅云蜜罐给你答案

数字化程度高且高价值信息密集的行业，如金融、能源、互联网、政府、教育、医疗、军工等行业，面对日益规模化、专业化的网络攻击，渐渐不再满足于一味的防守加固。除了巩固防线之外，他们愈发看重主动出击、感知更大范围内的攻击，进而形成自己的网络威胁情报系统，争取尽可能多的攻击隔离于业务系统和高价值数据防御体系之外。

传统防御方式的主旨是将攻击者拒之门外，然而随着攻击手段的多样化、隐蔽化、复杂化，传统的防御方式往往疲于应付，比如利用0day漏洞的APT攻击，传统的基于规则和特征库的安全产品很难察觉。出现问题时安全运维人员只能做事后修补，而实际上攻击者早已渗透到内网并潜伏。企业需要一种技术手段，主动对抗攻击行为，采取有利于防守方的技术措施，对攻击者形成震慑，保护数据安全。

蜜罐是一个攻击诱骗系统，通过使用蜜罐模拟一个或多个易受攻击的主机和服务，给攻击者提供一个容易被攻击的目标，伪装成用户的业务应用，使攻击者误认为是欲攻击的目标对象。由于蜜罐并没有向外界提供真正有价值的服务，因此所有试图与其进行连接的行为均可认为是可疑的，同时，让攻击者在蜜罐上耗费时间，可以延缓对真正目标的攻击，捕获更多攻击者的信息进行反制，使目标系统得到保护

云蜜罐原理

虽然蜜罐转守为攻，但是传统蜜罐的缺点也很明显：几乎不可实现高真实、低成本、高覆盖的蜜罐服务。为弥补传统防御方式、传统蜜罐方案的不足，德迅猎鹰（云蜜罐）技术应运而生

德迅猎鹰（云蜜罐）部署诱饵和陷阱在关键网络入口，诱导攻击者攻击伪装目标，保护真实资产，并且对攻击者做行为取证和追踪溯源，定位攻击者自然人身份，提升主动防御能力，让安全防御工作由被动变主动。

用户困扰

0day漏洞攻击无法识别，未知风险难以抵御

入侵者进入内网后无法及时发觉

入侵者成功内网防御无纵深,真实内网信息一览无遗

入侵者来去无踪，被动且无法取证
 

解决方案

基于攻击行为分析，捕获0day未知攻击

感知攻击行为和攻击事件

构建内网迷墙，吸引攻击者进入，延缓攻击

捕获攻击者信息，匹配攻击者自然人身份

德迅猎鹰（云蜜罐）功能

一、仿真诱捕

高交互蜜罐是德迅猎鹰（云蜜罐）的核心能力之一，是其成功实现攻击诱导、保护真实资产的重要基础。高交互蜜罐不仅具备完整操作系统的正常交互响应，在此基础上部署的仿真业务系统及漏洞，更让蜜罐具有足够的诱惑性，同时，由于高交互蜜罐系统不应该承载真实业务，因此发现的任何流量都可认为是恶意行为，这样能大幅提升威胁发现、跟踪能力。更进一步地，通过将多个高交互蜜罐组成蜜网，让攻击者误以为进入真实业务环境，殊不知所有的行为均被一一记录和监视。

仿真业务系统交互响应及漏洞，保护真实资产，拖延攻击时间。新增30+种蜜罐类型、新增蜜罐内置漏洞。

二、感知报警

支持数据推送实现消息联动，可以将蜜罐平台所记录的黑客威胁数据字段根据需要利用SYSLOG推送到其它安全可视化平台上。这样就提供了足够的威胁情报数据分析的来源日志，并且实现与其他第三方设备联动的优势，可准确发现攻击并报警。新增攻击日志聚合分析报警事件。

三、威胁处置

主打威胁处置闭环，具有包括黑客定位、失陷主机定位、威胁报警、攻击阻断、攻击隔离、流量转发、情报提取并上报等不少于21种威胁处置方法。新增自动阻断功能、威胁隔离策略，无需联动第三方阻断产品的情况下也可以实现威胁阻断。

四、散布诱饵

散布配置敏感IP或高诱捕性子域名的蜜罐，使攻击捕获概率大大提升。新增邮件诱饵、文件诱饵。

五、攻击回放

以视频等形式呈现黑客攻击全记录，还原攻击者在Windows蜜罐、Linux蜜罐主机中的攻击过程。新增态势大屏，以拓扑图+攻击路线的方式回放攻击路线。

六、威胁情报

不少于82种维度对黑客身份进行分析，结合创宇安全智脑以IP维度生成画像，包括真实 IP、内网失陷主机信息、虚拟身份、设备指纹等信息。新增功能包括内网失陷主机定位、全网威胁情报溯源、高精地理位置定位等。

七、多场景部署

云蜜罐模式，支持子域名一键接入云端，快速部署海量蜜罐。无需额外安装部署，只需将子域名解析到云端蜜场，即可部署网站蜜罐。

云端蜜罐资源可快速调整，使得蜜罐可以根据用户的使用压力随时扩容。

客户端轻量部署，仅包含数据转发与攻击感知的功能，使得客户端占用资源极少，十几秒即可部署成功，可在较低配置的服务器上运行。

客户端无侵入部署，不需要在现有的业务服务器上安装软件，不会对现有的业务造成影响。

客户端支持多网卡，支持虚拟多张网卡，使得硬件资源得以最大化利用。

适用于内网、网站域名、公有云、私有云等多种部署场景。

八、威胁可视化

风险大盘直观展示统计汇总数据，黑客画像立体化呈现黑客信息。新增态势大屏，实时展示蜜罐部署拓扑与攻击情况，蜜罐状态与攻击数据一览无余。

德迅猎鹰（云蜜罐）特色

1.1分钟快速构建内网主动防御系统：无侵入、轻量级的软件客户端安装，实现网络自动覆盖可快速在企业内网形成蜜网入口，轻松排兵布阵。

2.Web蜜罐配套协议蜜罐，以假乱真延缓攻击：多种真实蜜罐和服务形成的蜜罐系统，使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。

3.隐密取证，抓获自然人：通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像，提供完整攻击信息，为溯源、抓捕攻击者提供有效依据。

4.转移战场，高度内网安全保障：将攻击流量引出内网转移战场到SaaS蜜网环境，并从网络隔离、流量单向控制等维度配置安全防护系统，保证系统自身不被攻击者识别和破坏。

5.捕获0day攻击等高级新型威胁：蜜网流量纯粹，无干扰流量，基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。

6.安全专家服务一键接入：德迅云安全蜜罐管理平台由专家团队监控维护，一旦发现安全风险，及时分析预警，配合客户进行应急响应。