有用!多分支、云端及本地复杂网络NDR边界检测难题,零成本应对方法!
在网络安全领域,网络检测与响应(NDR)因能采集东西向与南北向流量,对原始网络流量实时分析与处置,可及时发现恶意软件,0day等高级复杂威胁,堪称流量检测技术界的扛把子。但即便如此,企业在实际的利用过程中,想要实现全流量检测,仍会比较棘手:
- 多分支型企业,各职场网络打通难,无法进行完整检测。基于业务发展需要,很多企业在全国各地设置分支单位,但总部网络与分子公司所在职场网络可能无法联通,使得NDR设备不能对企业整体网络进行检测;
- 大型企业人员规模庞大,内部网络复杂。企业出于预算考虑,大多只在最上层的核心交换机层布置NDR设备,于是大量企业流量在下一层的汇聚交换机层即完成了联通,流量并未通过NDR设备进行镜像检测,企业存在大片流量检测盲区;
- 与此同时,大多数企业会将生产服务托管于第三方云厂商,基于各种原因,企业也无法在云环境部署NDR设备,这样使得云环境下缺少有效的威胁检测与感知,无法对自身网络威胁进行“全流量”检测。
HFish蜜罐+NDR,真正做到全流量检测
HFish是一款免费的蜜罐产品,支持模拟SSH、Telnet、FTP、TFTP、VNC、MySQL、ES、Memcache、Redis、Tomcat、IIS、Nginx、GitLab、ESXi、Nagios、NAS以及路由交换设备、堡垒机、运维管理、虚拟化、IoT、CRM、邮件和OA等42种不同类型蜜罐服务,可部署在互联网生产区进行未知威胁检测、威胁情报生产、红蓝对抗追踪溯源场景,也可部署于内网办公区,用于失陷检测和横向移动场景。
如果NDR设备是企业网络中的一双眼睛,那HFish蜜罐就是一副望远镜。企业以NDR为检测中心,通过HFish蜜罐增加触角,拓展流量检测的“视野”,能够让NDR设备“感知”到更远的范围。在部署HFish蜜罐后,企业能对现有NDR设备的能力从以下几点进行增强:
- 以免费软件形式接入,对流量检测产品未部署的网络层进行检测,扩大企业内网检测视野。HFish应用高中低交互蜜罐,可安全感知办公内网、云内网以及其他环境中的横向移动行为,并以syslog、webhook、邮件告警输出,与NDR产品结合使用,可以极低的成本对原本无法覆盖的网络区域进行感知,增加企业网络安全的可见性;
- 分析检测准确度高,零误报。对于希望捕获更有针对性的攻击,生产独有、精准本地情报的企业来说,HFish蜜罐支持物理主机、各种形式虚拟主机和云主机,基于访问即恶意的原则,方便企业根据捕获的攻击行为,快速产生独有、精准的本地情报;
- 增强现有NDR设备流量检测能力。加密流量在保护传输内容的同时,也因被攻击者利用而难于检测,成了企业流量分析检测的难点。对此,HFish支持伪装成SSL蜜罐,能原生支持接收并解密加密流量,增强企业现有流量检测与响应设备的检测能力。
图 | HFish外网情报生产
HFish蜜罐+NDR,多分支及复杂网络企业首选
钱能解决的问题,都不是问题,但很多企业面临的大多数都是钱的问题。尤其对于传统制造行业,或具有大量异地分子公司的企业来说,企业网络安全非常重要,但安全团队人少,资源投入也少。如何敏捷、低成本、有效落地流量分析与检测,实现更加全面的威胁感知,成为了企业最头疼的问题。
基于HFish的特性及企业需求,企业既可选择直接部署HFish,将其作为轻量级检测设备,也可选择与NDR、SOC等结合,实现更有效的流量检测。具体而言,有下面两个重要优势:
- 构建低成本HFish蜜罐+NDR全覆盖的网络系统。拥有大量分子公司类企业人员规模庞大,存在大量边界网络、云环境,网络复杂,进行威胁检测需要耗费更多成本及资源,甚至根本无法实现全面检测。通过HFish蜜罐,企业可在总部部署控制端,分公司或异地职场部署节点端,实现低成本全面检测与感知企业网络威胁。目前HFish蜜罐与微步在线NDR产品威胁感知平台TDP已完成对接,并为多个行业不同分支型企业实现TDP统一检测,同时针对各异地分公司内网威胁感知,全面发现企业流量威胁。
- 快速部署,无缝对接网络感知平台情报生产与检测。HFish蜜罐使用Golang语言开发,直接复制可执行文件到Windows、Linux环境执行,即可完成部署,部署效率极高。完成部署后,HFish还可在NDR或SOC中统一进行感知,并自动收集攻击者来源地址、攻击特征(木马样本、已泄露账号密码)、资产信息(远控端地址、投递邮箱来源地址)等所有真实攻击细节,情报准确,可用于企业的情报生产与二次消费。
网络安全没有永远的杀手锏,但总能找到合适的防御手段。HFish蜜罐作为一款社区型免费蜜罐,具有安全可信、一键部署、跨架构支持等多项特性,既可单独利用,也可与NDR设备联动,帮助企业更全面捕捉威胁。目前HFish已将自身的欺骗防御能力免费开放给社区,同时也欢迎其他NDR平台,与HFish蜜罐共同探索威胁检测的新模式。
访问 https://hfish.io/ 即可开始一键部署
