隨著云、大、物、移、智等新技術(shù)的深度發(fā)展，業(yè)務(wù)應(yīng)用及IT環(huán)境都發(fā)生了巨大的變化，業(yè)務(wù)系統(tǒng)規(guī)模越來(lái)越大、信息管理日趨復(fù)雜、資產(chǎn)數(shù)據(jù)爆發(fā)式激增，來(lái)自攻擊者的勒索病毒、APT等新型攻擊威脅也不斷高漲。

2020年12月，知名IT公司SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼。攻擊者入侵了IT公司SolarWinds，利用其軟件渠道向該公司的18000個(gè)Orion平臺(tái)客戶發(fā)布惡意更新，導(dǎo)致美國(guó)財(cái)政部、商務(wù)部等多個(gè)政府機(jī)構(gòu)受到長(zhǎng)期入侵和監(jiān)視。

2020年6月，澳大利亞航運(yùn)及物流公司Toll集團(tuán)遭到勒索軟件攻擊。據(jù)悉，這是四個(gè)月內(nèi)Toll集團(tuán)遭遇的第二次勒索軟件攻擊，另一次攻擊事件發(fā)生在今年2月份。經(jīng)調(diào)查發(fā)現(xiàn)，被攻擊系統(tǒng)中存在Nefilim勒索軟件（由 Nemty 演變而來(lái)的新一代勒索軟件）。該勒索軟件會(huì)利用暴露在外的遠(yuǎn)端桌面（RDP）連接進(jìn)行散播，并使用 AES-128 加密來(lái)鎖定文件，不法分子會(huì)以公布機(jī)密資料作為理由來(lái)勒索企業(yè)。

2020年4月，歐洲公用事業(yè)巨頭、世界上最大的可再生能源開發(fā)商之一葡萄牙跨國(guó)能源公司EDP（Energias de Portugal）遭到勒索軟件“Ragnar Locker”攻擊。黑客聲稱已經(jīng)掌握了10TB機(jī)密信息，要求EDP在20日內(nèi)以比特幣的形式交付1000萬(wàn)歐元贖金，否則就將公開這些數(shù)據(jù)。

為何企業(yè)的安全防御體系越來(lái)越完善，應(yīng)對(duì)互聯(lián)網(wǎng)的攻擊和非法入侵行為的手段也越來(lái)越多，但依然無(wú)法有效減少惡意攻擊的數(shù)量呢？究其根本，大多數(shù)安全體系都處于被動(dòng)救火式防御階段，防御體系背后的資產(chǎn)依舊存在著暴露過(guò)多的情況。惡意攻擊者只要接入到目標(biāo)網(wǎng)絡(luò)后，就能輕易竊聽掃描獲得大量可二次攻擊的目標(biāo)資產(chǎn)。這些資產(chǎn)真實(shí)存在于網(wǎng)絡(luò)中，攻擊者無(wú)需花費(fèi)時(shí)間以及精力去辨識(shí)資產(chǎn)本身的真假以及是否為防御者布置的誘餌，只要采用較好的隱蔽手段就能長(zhǎng)久潛伏于目標(biāo)網(wǎng)絡(luò)中。當(dāng)下資產(chǎn)暴露過(guò)多已然成為制約安全運(yùn)營(yíng)效率提升的重大問(wèn)題，這為防護(hù)者帶來(lái)了極大的被動(dòng)性。

打破僵局，變被動(dòng)為主動(dòng)

若長(zhǎng)期如此，企業(yè)將永遠(yuǎn)處于被動(dòng)狀態(tài)，資產(chǎn)安全也無(wú)法得到保障。而天融信安全運(yùn)營(yíng)之主動(dòng)防御方案，選擇變被動(dòng)為主動(dòng)，采用蜜罐欺騙防御技術(shù)，在網(wǎng)絡(luò)中部署大量仿真主機(jī)，增加網(wǎng)絡(luò)資產(chǎn)迷惑性，誘導(dǎo)攻擊者對(duì)錯(cuò)誤的目標(biāo)發(fā)動(dòng)攻擊，耗費(fèi)其大量精力，提前暴露其攻擊意圖和攻擊來(lái)源等信息，降低真實(shí)資產(chǎn)被攻陷的概率并增加攻擊者被發(fā)現(xiàn)的概率，彌補(bǔ)網(wǎng)絡(luò)防護(hù)體系短板，進(jìn)而提升網(wǎng)絡(luò)的主動(dòng)防御能力。

天融信蜜罐欺騙防御技術(shù)采用SDN、NFV、容器等一系列先進(jìn)的技術(shù)，能夠快速構(gòu)建大規(guī)模蜜罐網(wǎng)絡(luò)，并具備攻擊快速發(fā)現(xiàn)、攻擊威脅取證以及威脅情報(bào)輸出等三大特點(diǎn)：

攻擊快速發(fā)現(xiàn)

支持30余種交互協(xié)議，可識(shí)別數(shù)十種已知或未知威脅類型，并進(jìn)行實(shí)時(shí)告警，彌補(bǔ)了基于規(guī)則庫(kù)的防護(hù)設(shè)備在未知威脅、APT、0day漏洞等存在的不足。

攻擊威脅取證

全方位記錄從網(wǎng)絡(luò)行為到主機(jī)行為的所有攻擊行為，有效還原加密流量，抓取的PCAP包可下載到本地，留存攻擊證據(jù)，為網(wǎng)絡(luò)管理收集信息、描繪攻擊者畫像提供高價(jià)值威脅情報(bào)。

威脅情報(bào)輸出

支持以郵件、SYSLOG等多種方式同時(shí)向多平臺(tái)外發(fā)威脅情報(bào)，確保了情報(bào)的及時(shí)傳遞，適應(yīng)用戶的各種網(wǎng)絡(luò)環(huán)境。

近些年來(lái)，網(wǎng)絡(luò)安全正在逐漸受到重視，國(guó)家也在不斷出臺(tái)安全相關(guān)政策法規(guī)加強(qiáng)安全運(yùn)營(yíng)相關(guān)工作，其中《網(wǎng)絡(luò)安全法》要求企業(yè)履行法律義務(wù)保障所運(yùn)營(yíng)網(wǎng)絡(luò)運(yùn)行安全，“等保2.0規(guī)范”明確要求二級(jí)及以上被保護(hù)對(duì)象應(yīng)建立安全管理中心進(jìn)行集中安全管理。無(wú)論是現(xiàn)實(shí)需求還是政策要求，都表明著安全運(yùn)營(yíng)已經(jīng)成為安全體系中非常重要的工作。

目前，天融信安全運(yùn)營(yíng)之主動(dòng)防御方案已在運(yùn)營(yíng)商、海關(guān)、金融、軍工等多個(gè)行業(yè)幫助用戶強(qiáng)化威脅發(fā)現(xiàn)能力，通過(guò)長(zhǎng)期實(shí)時(shí)分析并捕獲流量，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常行為，從而幫助管理員及時(shí)采取防護(hù)措施，完善防御機(jī)制，保障業(yè)務(wù)安全。未來(lái)，天融信將繼續(xù)秉承開放、創(chuàng)新的研發(fā)理念持續(xù)深耕主動(dòng)防御技術(shù)領(lǐng)域，幫助客戶在安全運(yùn)營(yíng)中實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變，促進(jìn)網(wǎng)絡(luò)防護(hù)能力的長(zhǎng)效提升。