聊聊几款国外欺骗防御产品
in 安全思考 with 0 comment

聊聊几款国外欺骗防御产品

in 安全思考 with 0 comment

illusive networks

自扫描:资产,服务,漏洞
自适应:根据环境起沙箱
自调整:根据攻击者的行为自动调整沙箱
预测攻击路径:根据环境中的漏洞和agent收集的信息
自修复:agent删除浏览器记录,域凭据等等

acalvio

自适应:在云上VPC或者内网部署【传感器】,收集资产服务信息,在acalvio的服务器集群里起相应的蜜罐,包括服务器,打印机,摄像头,IOT,工控设备(即他们所谓的分布式欺骗)
流欺骗:【传感器】将攻击流量转移到蜜罐集群里
诱饵与面包屑:【传感器】发放诱饵
分布式欺骗平台:传感器+自适应蜜罐集群
第三方集成:cmdb,威胁情报,防火墙,ips,nac,sso,siem,edr
EA0F98A5-AB89-402F-911A-B1201D682E6F.png

TrapX

自选择:自动探测资产,服务,自动生成数百种到数千种诱饵和蜜罐,沙箱和诱饵与真实资产高度仿真,包括IOT,工控设备,服务器,数据库,工作站,交换机,路由器,可自动生成,用户也可以在推荐中自己选适合自己网络环境的
密网社区:分享欺骗策略,新诱饵,新沙箱,和与第三方系统联动的方法
欺骗令牌:即诱饵文件,脚本,配置,数据等(跟我们的诱饵是一样的东西)
主动欺骗:沙箱之间互相发送流量,应对流量监听
自改变:沙箱被攻击后,沙箱会自动变换类型和调整位置,避免攻击者区分出沙箱和真正的服务器来
模板:上百个行业模板

Attivo

有多个欺骗防御的产品,最主要的有三个threatstrike和threat detection,threat direct

threat strike

强调endpoint威胁欺骗
无agent模式:其实是跟windows域控或者siem等总控的平台结合,在域里散布凭据和诱饵,然后感知哪些凭据被用来登录,然后告警
机器学习部署和刷新:根据分组来下发不同的诱饵和凭据,然后根据攻击者行为动态刷新
第三方集成:edr,siem,soc
勒索软件欺骗:专门欺骗勒索软件的诱饵,沙箱与勒索软件高交互

threat detection

是内网比较常规的欺骗防御
沙箱:包括IOT,工控设备,服务器,数据库,工作站,交换机,路由器
endpoint威胁欺骗:跟诱饵概念类似,多了一个共享映射(共享文件夹等)

threat direct

是threat detection的云上和远程版本
分布式蜜罐集群:模拟一个真实的网络环境(非自动),包括沙箱和真实系统
转发器:流量转发

Comments are closed.