<style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style>
关于我们
      蜜罐曾经一直被用于收集互联网上的攻击行为,通过隔离的蜜罐网络中的蜜罐服务器,暴露一部分漏洞来吸引黑客攻击,以此收集到黑客的行为以及源IP地址、常用漏洞、注入的恶意程序等信息。这种被“打靶”的方式只能去探测到外部威胁情报。但是内网中的潜伏的威胁,以及APT得不到及时的发现会引发更严重的问题。从海量的防火墙日志、系统日志、网络日志去探寻蛛丝马迹是需要大量人力去开发规则和作数据收集。
一.系统功能概述:
1.1.1 诱骗类型
Phantom 诱骗网格平台通过多层诱骗技术,吸引进入公司网络的黑客:
 Lures(诱饵):是部署到终端PC的脚本,其吸引黑客攻击,并使之连接到部署的Trap (陷阱)中。支持文件共享,网站链接书签,ODBC设置,Putty配置和其他特有的应用。
 Trap(陷阱):Medium Interaction Traps (中等交互陷阱)提供了简单可用的模板,模拟出不同种类的常见IT环境,如Windows,Linux,SMB,FTP, SSH,Cisco网络设备,Juniper网络设备。当黑客进行陷阱时,其会以为真的进入了IT资源中。通过少数几个Phantom Virtual Appliance就可以模拟大量的陷阱。
 
 高仿OS(高等交互陷阱)和应用:复制企业内部的真实IT资产,但是移除真实数据,放置一些假数据,使得陷阱看上是企业内部的业务系统。通过在陷阱中的Agent减缓黑客的攻击,并抓取相应的鉴定指标。

1.1.2  技术组件

整体有三个类型的服务器:
类型 描述
TSOC 管理服务器,仅部署1台,可以和沙盒,网络准入、SIEM等方案集成。
Appliance 虚拟设备。每1台设备可以模拟255个中等交互陷阱(或称为Medium Interaction Trap)
可以模拟常用的服务:监听端口,SMB,FTP,SSH,MySQL,Juniper,Cisco,VoIP,工控设备、医疗设备、银行Swift系统等。
如果收到复杂的服务请求如:RDP, WMI,SQL,HTTP请求。则Appliance会将其流量转发至FullOS (或称为“高等交互陷阱”)
通用的IT资源模拟器陷阱,按照vlan部署多个,具体看网络结构需要。
通过Trunk模式可以单台部署大规模的陷阱。或者使用不同eth接口跨网络部署。
FullOS “高等交互陷阱”。
客户自行搭建服务器,其上安装数据库或者内部应用程序,最后安装Phantom Agent。
Agent将收集入侵的所有的行为,包含修改的文件、开启的进程、修改的注册表,HTTP请求、SQL语句,以及WMI请求等。
Agent在安装的时候可以伪装成为“监控软件”,“系统工具”等名称。并在进程被杀后自动启动。
目前暂时只支持Windows平台,在V6.2中将会提供Linux的FullOS组件


二、售后服务
(1) 本产品为软件交付,用户可以采购永久许可和订阅模式;
(2) 提供5*8和7*24(每周7天,每天24小时)两种质量保障服务
(3) 培训服务:提供产品使用培训。
 
三、发展前景
随着护网行动的常规化和制度化,蜜罐作为蓝方防守最有效的灵敏反应和告警手段,会成为政企、金融、行业及大规模制造业等行业的标配需求.