1+1>2 | 蜜罐+WAF联合方案

发布于 2024-07-05 18:31:13

01方案背景

为应对日益严重的网络安全风险，各种监测、防御、扫描、分析等安全产品相继添加进入客户生产网络，与现有传统的防火墙、WAF等安全产品一起形成纵深的网络安全防御体系。然而目前网络安全防护设备往往只单一的针对网络流量进行分析或处置，安全设备防护体系仍是分散离合的，只依据已有特征库规则对网络流量中的行为特征进行判定、处置，缺乏对网络流量进行进一步定性，包含夹杂在正常访问行为中的不确定灰色流量。

主要存在以下挑战：

|1.1 处置技防的单一性

面对来自互联网侧的威胁攻击，现有的处置手段仅限于通过边界防护设备如WAF进行网络IP封堵。而由于人工或分析系统研判规则的不精细、处置结果的不严谨，往往存在漏封、错封、误封等现象产生。

|1.2 网络流量的未知性

面对错综复杂的纵向业务流量，现有的攻击技术手段往往可夹杂在业务流量中或通过加密流量进行隐蔽性攻击，从而成为无法精准定性、及时处置的灰色流量。

|1.3 蜜罐诱捕的被动性

面对低效被动的提前布置且一成不变的蜜罐仿真系统，对于攻击者而言往往形同虚设。现有的蜜罐诱捕手段往往局限于特定被动的环境条件，黑客攻击可以轻易识别和绕过，而蜜罐触碰本身作为概率性的问题，在长此以往的攻防拉锯中诱捕几率骤然降低，投入产出远远没有达成预期目标。

02方案目标

本方案通过完成部署WEB应用防火墙和蜜罐设备，形成动态化联动防御体系。借助WAF流量转发功能对潜在威胁流量进行靶向导流至蜜罐系统，对互联网边界网络流量进行科学治理，避免以往不明流量“一刀切”的做法，有效针对潜在威胁流量主动引导和主动分析，进一步健全客户基础安全保障体系服务水平。

传统的安全防护手段往往是被动式的，只有在遭受攻击时才会触发相应的应对措施。而动态化联动防御体系的建设将进一步实现对潜在威胁的主动感知和响应。通过WAF流量转发功能，可以将潜在威胁流量有针对性地导流至蜜罐系统，从而诱使攻击者暴露其攻击手段和意图。这种主动防御策略不仅可以及时发现和阻止潜在的攻击，还可以为安全分析提供宝贵的攻击数据和情报信息，从而不断改进和优化安全防护策略。

具体如下：

|2.1 精确研判互联网入口黑白灰网络流量及处置规则

通过WAF的流量规则检测引擎，快速定性流量属性，持续化判定规则外流量，依据研判后的黑白灰网络流量类型以及流量靶向转发规则进行自动化处置。在保护真实业务的同时，不影响正常用户的访问体验。通过将潜在攻击流量引流至蜜罐伪装模块，并且保持对正常流量的无干扰放行，系统可以确保正常用户的访问体验不受影响，安全防护的同时不影响正常业务进行。

|2.2 避免不明威胁“一封了之”，增强检测及防御联动能力

通过WAF+蜜罐自动化靶向建设方案，填补了通过WAF特征库无法监测未知威胁的缺漏，蜜罐通过对未知威胁流量的全面监测和行为分析，及时输出流量特征和检测结果反馈至WAF，有效指导后续防御动作。保障业务系统的安全性、将影响和损失降到最低的同时，填补其他安防设备应对未知威胁攻击感知和分析的不足，有效增强整体边界已知和未知威胁防御能力。

|2.3 摒弃“单兵”作战，建立联合防御体系

传统的边界安全防护设备大多由不同厂商建设，大部分是各自运作，互不干扰，情报无法共享，一旦黑客攻破一道防护墙，就如入无人之境，这种“单兵”作战的模式存在较大的风险，建立联动防御机制后，有效摆脱“单并作战”，形成“由点及面”，有效提升整体防御水平。

|2.4 一键动态克隆蜜罐，提升诱捕溯源效率

蜜罐伪装模块，根据客户的网络环境，可一键动态克隆业务网站，用户无需额外定制开发便可仿真生成有动态交互功能的真实业务系统，并可对真实业务系统自定义灌入高甜度“业务”数据，迷惑攻击者并进一步诱引在蜜网横向攻击，减轻真实系统的防护压力。

|2.5 满足合规要求，逐步迈向自动化运维

遵从各主管单位合规性文件，遵循行业的信息安全策略，让信息管理人员比以往更加高效应对潜在攻击安全事件，从手动变成自动化，减少对人工干预的需求，从而降低维护成本和管理成本。通过自动化的攻击流量引流，系统可以在攻击发生时自动采取相应的防御措施，做到事前预防，事发检测分析，事中快速响应牵引，事后溯源分析的自动化攻击威胁解决方案，从而实现有效预警，及时处置，有序恢复，持续改进的自动化安全运维体系。

03方案架构

通过在客户互联网区完成部署WEB应用防火墙和蜜罐诱捕设备，形成动态化联动防御体系。利用WAF流量检测和重定向模块，将WAF检测后的黑灰网络流量进行针对性转发至诱捕蜜罐，并利用蜜罐动态生成与真实业务相同的页面，从而将潜在攻击流量从正常业务访问流量中剥离，保证业务环境的安全运行，提高诱捕攻击者成功率。

详细的方案架构设计如下图所示：

(图1 蜜罐×WAF 方案架构示意图 )

|3.1 WAF流量识别模型

WAF根据庞大的报文集，结合攻击特征威胁，学习得到一个通用的行为分析模型。后续经过模型预处理的流量报文，报文的不同位置将被标记上不同的标签。同时，报文将被打分评级为黑、白、灰三个等级。白流量将被直接放行；黑灰流量将被执行事先预设的处置策略，如根据规则库转发至蜜罐系统。通过模型的预处理，报文将被更快速和直接的进行分级，真实业务流量及时放通，黑灰流量有效牵引。

|3.2 攻击流量的伪装诱骗

为了诱骗攻击者，蜜罐系统支持基于攻击流量的实时欺骗响应与一键仿真能力。在Web防护过程中，当接收到检测及防护模块转发过来的攻击流量后，蜜罐系统对业务进行克隆伪装，并将爬取结果返回给攻击者，误导、干扰攻击者对真实目标网络环境的认知，并逐步将攻击者从用户的真实网络环境中引导至大型高交互蜜网系统中进行攻击，同时在蜜网环境中攻击者进行攻击和渗透的的关键位置和关键环节中灵活设置诱饵，迷惑并牵引攻击者进一步横移。从而达到保护用户真实网络环境和信息资产的目的。

|3.3 动态仿真构建诱捕蜜网

仿真环境或者诱饵的仿真性，直接影响蜜罐的成效。根据客户的网络环境，可调整高交互蜜罐的部署策略，同时支持一键动态仿真功能，用户无需额外定制开发便可仿真有动态交互功能的真实业务系统：通过对真实业务系统进行流量学习，形成机器记忆，生成的仿真蜜罐可与真实业务系统一样进行数据交互，迷惑攻击者使之流连忘返。

|3.4 攻击行为识别捕获

蜜罐系统具备强大的多维度攻击数据采集技术，支持对攻击过程中，从虚拟仿真环境内网络层、系统层、应用层等多个维度的细粒度操作数据进行即时捕获和记录，全面检测覆盖攻击者各类攻击手段及异常流量，并在蜜罐被触发的第一时间提供多种手段及时提醒安全人员，便于安全人员对攻击进行深度分析和取证。

04方案价值

|4.1 精准流量研判与自动化处置

通过WAF的流量规则检测引擎，快速定性流量属性并持续判定规则外流量，将潜在攻击流量引流至蜜罐系统，有效避免不明流量“一刀切”处理，提高正常用户访问体验，保障业务系统的安全性。

|4.2 增强检测与防御联动能力

WAF与蜜罐系统的联动，填补了传统WAF特征库无法监测未知威胁的缺漏。蜜罐通过全面监测和分析未知威胁流量，及时反馈流量特征和检测结果，指导WAF的后续防御动作，有效提升对已知和未知威胁的防御能力。

|4.3 动态仿真与诱捕能力提升

利用蜜罐诱捕模块，仿真生成与真实业务系统相同的页面和交互功能，迷惑攻击者并诱导其横向攻击，从而减轻真实系统防护压力，同时提高诱捕攻击者的成功率，增强攻击溯源和分析能力。

|4.4 降低维护成本与提升运营效率

通过自动化攻击流量引流和蜜罐系统的动态仿真，减少对人工干预的需求，实现从手动到自动化的转变，有效降低维护和管理成本，满足各主管单位的合规性要求，逐步迈向自动化安全运营。