网络蜜罐是一种在互联网上运行的仿真业务系统,实际不会承载任何的真实业务。网络蜜罐通过探针暴露在用户的网络中,例如被攻击者踩中,则会主动记录攻击者信息并追溯攻击手法,为真实业务的防御提供准确的攻击者情报与反制溯源能力。同时,网络蜜罐在重保场景中,为真实业务争取足够的时间,达到防守成功的目的。
腾讯云防火墙的蜜罐服务部署在腾讯云蜜场中,不占用用户的网络空间,并且通过部署不同的 VPC 实现相互隔离,即使攻击者进入,也不会造成横向移动的情况。蜜罐的暴露探针部署在用户的网络中,可以是 IP 或域名,并通过将指定端口/路径的流量转发到不同的蜜罐服务,实现在业务系统中部署“陷阱”。
使用网络蜜罐
1. 新建探针,并开启。
2. 管理探针。
4. 管理蜜罐服务。
5. 防御溯源,查看网络蜜罐告警与日志。
主要功能
基于腾讯云防火墙的蜜罐服务,有如下三个主要功能:
仿真程度高,不易被攻击者识破。
可收集攻击者信息,提供给防守方的反制能力。
可拖延攻击者时间,为网络安全保护提供时间保障。
业务系统的安全性与探针数量成正比,且不会过多占用用户的网络资源,通过蜜场中的高真实度的仿真服务,达到“欺骗”攻击者的目的。
告警与日志
攻击欺骗事件告警
网络蜜罐欺骗日志
在日志审计 > 入侵防御日志 > 网络蜜罐 页面,可查看网络蜜罐探测到的攻击欺骗事件的日志信息。n网络蜜罐操作日志n在日志审计 > 操作日志 > 网络蜜罐操作 页面,可查看网络蜜罐功能的操作详情和对应账号。