智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
蜜罐誘捕系統(HTS)
產品概述
威努特蜜罐誘捕系統以保障企業用戶內網安全為目標,一方面引誘網絡攻擊者對其實施攻擊,實現工控威脅滲透的延緩;另一方面,通過誘捕和分析隱蔽攻擊流量來有效捕獲包括APT攻擊在內的網絡攻擊行為,提升企業內網安全威脅發現能力,為企業持續生產運行提供強有力的安全保障。
產品特點
全面的蜜罐仿真功能
產品支持多種類型設備的仿真,如工控服務器蜜罐、工控蜜罐、工控業務上位機蜜罐、工控PLC蜜罐、工作數控系統蜜罐,全面覆蓋工業場景中的各種設備,從網絡流量、設備信息、虛擬端口、系統漏洞4個維度進行模擬仿真混淆真實設備與蜜罐達到欺騙攻擊者的目的。
全網攻擊流量的數據捕獲
產品對攻擊者入侵過程進行原始數據的采集包含攻擊源IP與端口信息、攻擊目的IP與端口信息、攻擊者操作系統與瀏覽器信息、惡意代碼與執行命令,并記錄交互過程中所有原始流量。
精準的攻擊流量數據分析
蜜罐部署在客戶內網中,不參與客戶現場正常業務的交互,不與業務相關的設備進行網絡通信,凡是主動探測蜜罐的流量,都可被認為是攻擊流量,蜜罐產品全量捕獲攻擊流量,對捕獲的數據進行深度分析,生成低誤報的安全告警,能夠提取原始數據中特征向量形成攻擊行為信息并基于殺傷鏈與ATT&CK模型分析攻擊者所處的攻擊階段,提前預防攻擊者的下一步攻擊。
高效的蜜網管理功能
產品對部署在工控網絡中的多個分布式蜜罐主機節點進行集中管理,監控蜜罐所處的運行狀態與正在遭受的攻擊,快速創建與刪除蜜罐節點,動態調整蜜罐種類并數量靈活構建蜜罐網絡。 產品功能
蜜罐仿真功能工控服務器蜜罐:通過模擬服務器操作系統信息與文件數據,監測異常文件植入,安裝下載異常應該程序等異常行為,實現工控系統網絡中蠕蟲病毒擴散、口令爆破、Shell 執行等針對服務器的構建、載荷投遞的攻擊線索發現;
工 控 蜜 罐: 通 過 模 擬 端 口 服 務, 監 測 端 口 的 TCP/UDP 異常流量,支持 TCP、UDP 數據包的探測響應,實現工控系統網絡中會話攻擊、掃描探工控業務上位機蜜罐:通過模擬組態軟件與下位機交互過程,監測上位機與下位機交互的異常行為與數據文件的異常變化,實現工控系統網絡中工業控制器數據讀取、影響下位機正常工作行為、異常文件上傳等構建、載荷投遞的攻擊線索發現;
工控 PLC 蜜罐:通過模擬設備信息、協議交互、現有漏洞,監測工控 PLC 數據參數變化,設備運行異常的行為,實現工控 PLC 漏洞利用、工控 PLC 數據篡改、病毒植入等漏洞利用,命令與控制的攻擊線索發現;
工控數控系統蜜罐:通過模擬指紋信息,運行狀態,未修補的漏洞與協議交互功能碼,監測數控機床運行參數變化,nc 文件上傳下載行為,加工零件參數變化等異常行為,實現數控系統漏洞利用,nc 加工文件篡改等漏洞利用,命令與控制的攻擊線索發現;
攻擊事件分析
掃描探測:端口掃描、設備信息掃描、漏洞掃描;
提權攻擊:SQL 注入、口令爆破、病毒植入、會話攻擊;
漏洞攻擊:工控 PLC 漏洞利用、數控系統漏洞利用;
代碼攻擊:Shell 執行、惡意代碼執行;
持久化攻擊:數據庫訪問、異常文件上傳、NC 文件上傳;
數據滲透攻擊:工業 PLC 數據讀取、工業 PLC 數據篡改、下載行為、加工零件參數變化、功能碼交互、監測數控機床運行參數變化。
數據捕獲功能
惡意代碼捕獲:捕獲攻擊者攻擊過程中使用的蠕蟲病毒、木馬腳本、探測腳本,將腳本存儲在惡意代碼庫中,作為攻擊組織分析的重要特征;
原始數據捕獲:捕獲攻擊者攻擊過程中的原始日志信息,包含攻擊源 IP、攻擊端口信息、攻擊目的 IP、攻擊目的端口信息、攻擊者操作系統、攻擊者瀏覽器信息、攻擊原始 16 進制報文等信息為后期分析提供數據支撐;
原始流量捕獲:記錄并保存攻擊者與蜜罐交互全部原始流量,為攻擊取證保留原始證據;
攻擊態勢分析
攻擊態勢:根據攻擊事件告警日志,按照時間、事件類型、蜜罐種類、入侵 IP、目標 IP 等進行數據的檢索,并根據檢索結果展示攻擊來源 IP 分布情況、受攻擊蜜罐主機以及單個攻擊源的攻擊趨勢,攻擊的網絡拓撲情況等;
攻擊階段態勢:依據基于 ATT&CK 安全框架,按照初始訪問、執行、持久化、提升權限、防御繞過、憑據訪問、發現、橫向移動、收集、命令和控制、數據滲透、影響共 12 個階段對攻擊事件按照攻擊階段的態勢分析,提取完整的攻擊鏈路,復原攻擊過程。用戶可以清晰發現當前網絡所處的攻擊階段,為下一步防護提前做好準備;
安全域態勢:安全域態勢分析功能將告警日志按照安全域劃分,用戶可以根據攻擊事件告警日志按照不同安全域進行數據檢索,并根據檢索結果展示當前安全域內蜜罐主機受攻擊的強度與所處的攻擊階段。
