“云端情报赋能，强网战力升级”知道创宇2021新品发布季首场云蜜罐线上直播发布成功，云蜜罐产品引起大家强烈反响与关注。「云蜜罐」作为一款针对性解决现有蜜罐产品仅能还原部分攻击链、数据利用不充分等不足应运而生的新产品，究竟是如何深入探索钻研，成就更强网络安全主动防御的呢？

01

云蜜罐为谁而生？

数字化程度高且高价值信息密集的行业，如金融、能源、互联网、政府、教育、医疗、军工等行业，面对日益规模化、专业化的网络攻击，渐渐不再满足于一味的防守加固。除了巩固防线之外，他们愈发看重主动出击、感知更大范围内的攻击，进而形成自己的网络威胁情报系统，争取尽可能多的攻击隔离于业务系统和高价值数据防御体系之外。

云蜜罐正是作为主动防御利器而存在的，通过快捷的大量部署，达到高度仿真进而保护真实资产的目的，通过攻击牵制的手段防止攻击范围扩大，以攻击告警、攻击信息记录、攻击日志生成等手段留存关键攻击信息，供后续分析溯源。

02

云蜜罐用来应对何种场景？

云蜜罐因其可进行快速部署，辅以“黑洞蜜罐”、“克隆蜜罐”等独特功能，达到高度仿真真实业务系统、大规模快速部署蜜罐的目的。

在日常内网防护场景中，云蜜罐可以做到全面精准感知威胁并报警，记录攻击信息供后续分析及形成自身针对性强、高价值威胁情报，最终通过与防御类产品的联动，达到立体化防御的目标。不仅如此，云蜜罐还可以有针对性发现勒索病毒、蠕虫病毒、僵尸网络等网络攻击事件，在攻击爆发前占据有利局面。

在高对抗的攻击事件响应及攻防演练过程中，云蜜罐更是优势尽显。云蜜罐可以通过对新型攻击进行发现及数据收集，及时发现并阻断攻击，通过记录攻击信息及对攻击者进行画像，而达到溯源反制的目的，助力攻防演练得分。

03

云蜜罐如何更完善解决面临的困境？

威胁感知+攻击链还原，更全面

云蜜罐实现全面威胁感知，覆盖面大、诱捕面广。不止将蜜罐应用在内网攻击流量监测的层面，当流量访问蜜罐后，第一时间判定接触到不应被访问蜜罐的为攻击流量。同时，扩散思维将部署在外网的云蜜罐看作一种对全网范围威胁的攻击感知和数据收集的工具，可以通过域名接入的方式将云蜜罐快速覆盖潜在威胁入口，在更高的维度上全面进行攻击信息的整合和对威胁的感知响应，依据安全态势对防御体系进行及时的调整。

感知威胁、进而捕获攻击数据是部署蜜罐的主要目的之一，云蜜罐威胁控制中心将晦涩难懂的数据流转化分析为易于检索、定位、浏览的攻击日志，通过清晰呈现攻击者从入侵到攻击执行的完整攻击路线实现攻击链还原。掌握“何时、何地、何种路径、何种攻击、何种命令”等详尽信息，使云蜜罐对捕获攻击有全面了解。

牵制攻击者+识别攻击者，更精准

通过部署蜜罐的方式进行攻击引流与攻击牵制，从而实现对真实系统的保护，这是众多用户选择部署蜜罐来进行网络安全防御的另一重目的。有效部署云蜜罐可以起到吸引攻击火力的作用，部署在真实系统周围的高仿真云蜜罐足以“以假乱真”，通过模拟企业真实业务，构造虚拟业务陷阱。

这样既避免攻击者直接攻入真实系统、接触到核心数据，又能延长攻击者在蜜罐系统中停留的时间，以便捕获到更多攻击数据及对应攻击者信息。云蜜罐结合知道创宇多年网络攻防实战经验与深厚累积攻击数据，能够精准识别攻击者背后的组织、家族、攻击行为特征，对这些信息进行整合，生成攻击者画像，在后续攻击事件处理中占据主动权。

安全产品联动联防，更立体

云蜜罐拥有极强的攻击溯源能力，从核心层获取丰富的攻击行为数据，对这些数据进行分类溯源处理，使蜜罐系统实现深度溯源与反渗透。同时，以溯源到的数据信息加黑名单封禁、震慑甚至抓捕攻击者的方式，争取在本不对等的攻防对抗中扭转不利局面、占据主动权。

云蜜罐与知道创宇数据库创宇安全智脑实现互通，为用户提供完善的全网攻击溯源服务，既可以获取到攻击者IP、设备物理地址、个人社交账号、实时地理位置等详尽信息，对攻击源及攻击者身份进行精准匹配，协助客户找到攻击源，并将攻击源进行黑名单标注，实现溯源反制；也可以将云蜜罐收集到的威胁情报反馈给创宇安全智脑，完善黑客数据库。

04

实际应用价值几何？

某金融客户及时恶意攻击阻断：

客户部署云蜜罐（包括域名接入、客户端接两种类型云蜜罐）并在下级子单位进行了同步分配和部署，每天每个子单位部署的蜜罐都会记录数百攻击日志、十余个恶意IP，还有试图利用蜜罐进行横向渗透的攻击者。通过蜜罐对于攻击数据的全面记录，及时对恶意攻击进行了全面的阻断，保护客户的网络空间资产。

某政府客户深度牵制网络攻击：

客户采用公有云进行蜜罐部署，并开启全端口监测的“黑洞蜜罐”功能，蜜罐客户端每天可以捕获到上千条攻击日志，通过云蜜罐系统威胁分析发现有攻击者在对蜜罐IP进行全端口扫描，并且在发现某端口部署的Struts2蜜罐后，在蜜罐中停留了2天，试图利用了Struts2的漏洞进一步突破，但最终未能得手。

某高校客户攻防演练溯源得分：

某高校客户云蜜罐溯源发现攻防演练期间攻击者IP攻击60多个，其中18个IP近期被创宇安全智脑打上了“恶意”标签，并且其中一个IP攻防演练期间在全网的攻击量突增，攻击的行业中高校占比高达98%，依赖于蜜罐上报的数据及其他多方情报对比得出该IP详细身份，客户将溯源分析报告提交至组委会，最终获得500加分。

云蜜罐为面临更多网络攻击、需要形成自身立体主动防御的行业客户而生，可解决日常网络防护及高对抗性网络安全事件响应的实际需求，并且已经以自身的应用表现展现了自身的价值。我们由衷相信在知道创宇专业能力加持与云蜜罐产品自身不断优化创新下，在未来会通过“云蜜罐”为更多网络快速搭建主动防御系统，完善网络安全防护建设，与各行各业共同努力，倾尽全力保障网络安全、实现社会稳定与国家安全。