實戰案例|且看安恒迷網如何構建欺騙防御體系！

十萬天兵布羅網

日前，某科學研究院為準備年度攻防實戰演練，在總院部署了安恒明鑒?迷網系統（簡稱“迷網”），此設備可對進入研究院業務區的攻擊進行誘捕和分析、延緩攻擊進程、感知內網攻擊情況并及時進行告警。

同時研究院專家為快速應對攻擊情況，配置了迷網與安恒防火墻NGFW聯動，當蜜罐檢測到公網IP存在著攻擊行為時，便會向防火墻主動發送阻斷IP，實現快速自動阻斷，減輕運維人員壓力。

若僅阻斷攻擊對于保護用戶資產而言還遠遠不夠，研究院專家們又配置了迷網和安恒高級威脅檢測與分析系統（簡稱“AXDR”）聯動，在用戶真實資產上通過AiGent布置上未使用端口和網絡服務。如此一來，當出現針對這些端口的攻擊時即可將流量轉發至迷網，不僅可以有效檢測出橫向滲透和?級持續威脅（APT）等攻擊行為，還可以將大量攻擊轉移至蜜罐，從而保護真實資產不受侵害。

至此本場攻防實戰演練已全部部署準備完畢，迷網與多方聯動，布下天羅地網，靜待佳音。

火眼金睛無遁形

攻防演練開始當天迷網即發揮了作用，有攻擊者xx.xx.xx.185利用OA系統的0day漏洞向蜜罐上傳木馬，被蜜罐成功捕獲到攻擊樣本，隨后現場值守同學向演練平臺提交了漏洞報告及惡意樣本，成功為研究院獲得200分加分！

成功捕獲到惡意樣本

隨后又發現有兩名攻擊者分別訪問了NC服務蜜罐和VPN蜜罐，下載并運行了反制蜜餌，此時反制蜜餌回連至蜜罐，成功獲得了這兩名攻擊者的電腦權限。

成功進行反制

在接下來的幾天中，迷網共溯源到攻擊者社交賬號68個、手機號79個、結合人工溯源輸出溯源報告31份。

成功溯源到賬號信息

通過迷網+防火墻聯動部署，實現自動阻斷帶有明顯攻擊行為的IP地址共計215個，大大減輕了運維人員壓力。

防火墻成功進行阻斷

通過迷網+AXDR聯動部署，不僅在蜜罐中發現了橫向滲透攻擊，還利用偽服務動態蜜罐技術，將針對真實資產的攻擊全部轉移到了蜜罐中，從而保護資產上其他服務依然能夠正常運行。這種部署方式使本次攻擊事件從發生、發現、研判到隔離處置僅用8分鐘便完成，經評估未對總院真實資產產生橫向擴散影響，收獲了客戶的感謝及充分肯定！

偽服務成功引流至蜜罐

神通廣大無不勝

迷網以踐行“欺騙防御體系，提升安全運營效果”為目標，在不斷完善聯動點功能設計的基礎上，采用獨立蜜網或伴隨蜜網方式，將蜜罐部署在辦公區、服務器區和互聯網區等，通過與多種安全產品深度聯動，構建出欺騙防御體系。

欺騙防御體系圖

將欺騙技術與現有體系進行配合聯動，可以給客戶帶來如下價值：

1.聯動威脅檢測產品

將攻擊流量引流至威脅檢測產品，提升感知面，將原本南北向感知面提升至橫縱雙向。

2.聯動終端防護、防火墻等產品

防護產品可將攻擊引導至迷網，由迷網對其進行誘捕分析，識別出攻擊方法和意圖。此外當迷網識別到攻擊者IP后，可提供給防護產品，由其進行及時封堵。

3.聯動態勢感知、SOAR等分析處置產品

迷網可提供精準、高質量的數據情報，補全攻擊者畫像，還可以作為安全事件分析、決策的入口，極大程度上避免了因誤報所帶來的人力浪費，從而實現決策和處置的自動化。

4.聯動物聯網安全感知平臺

與物聯網安全感知平臺聯動后可統籌物聯感知網規劃、整合接入視頻、物聯網智能感知設備，形成物聯感知網，共同打造安全防御體系。

2021年迷網通過跟日志審計+AILPHA態勢感知平臺進行聯動，在某大數據管理局部署后已經產生了非常好的運營效果。本次攻防演練期間，迷網又進一步跟防火墻和AXDR實現聯動，取得良好的戰績，受到了客戶的好評。我們堅信依靠迷網構建的欺騙防御體系，可將原本被動的防御手段變為主動，降低處置事件的人力投入，提升分析處置效率，產生1+1大于2效果，可謂是聯動的“催化劑”和決策的“發動機”！