【产品对比】蜜罐技术商业化产品大全

前言

复杂的网络环境和高频率的网络攻击，让网络安全形势愈来愈严峻。熟悉安全行业的朋友应该知道，长时间以来“安全”都是比较被动的概念，许多企业一般是被动的防护，被动的部署，被动的建设安全设施。可是近几年来，一种更主动的安全技术——蜜罐，开始愈来愈被甲方公司所接受。蜜罐技术的优势在于，它能够假装成正常的业务系统，迷惑黑客、捕捉黑客的攻击信息而且能对攻击进行溯源，让安全工做变得更为主动。

蜜罐做为网络安全届的“网红”技术，有很多有实力的安全厂商推出了相关的安全产品。本文将围绕蜜罐技术的特色及优点进行探讨，并将当下有蜜罐技术相关商业化产品的公司作一个陈列，欢迎你们一同讨论，也为有相关安全需求的甲方公司提供一个简单的参考。

蜜罐概念

蜜罐是经过布设虚假资源来引诱攻击者采起行动，从而发现攻击与收集攻击信息。蜜罐是一种诱饵，目的是引诱黑客前来攻击，并收集黑客相关的证据和信息。

蜜罐能够实现对攻击者的主动诱捕，可以详细地记录攻击者攻击过程当中的许多痕迹，能够收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操做等，从而便于提供丰富的溯源数据。（注：如下资料均来自各公司官网）

国内蜜罐产品对比

1.知道创宇-创宇蜜罐

产品形态：SaaS
可否申请试用：能
产品页面：创宇蜜罐

核心功能

1. 欺骗假装，能够模拟企业多种真实业务
2. 威胁告警实时告警，能及时阻断攻击
3. 威胁态势同步展现，大屏实时监测威胁
4. 能够对攻击溯源，并分析入侵路径与攻击源
5. 系统状态性能监控

产品优点

1. 轻量、无侵入的客户端。仅包含数据转发与攻击感知的功能，使得客户端占用资源极少，可在较低配置的服务器上运行，不会对现有的业务形成影响。
2. 高级仿真的蜜场集群。云端资源可快速调整，使得蜜罐能够根据用户的使用压力随时扩容。
3. 威胁事件详情全记录。IT及运维人员在收到告警消息后，能够登入创宇蜜罐管理系统，查看这次威胁事件的详情。
4. 各蜜罐之间实现联动，即使黑客已经入侵到实际资产中，也会被海量的蜜罐所迷惑。
5. 蜜罐持续迭代创宇蜜罐与知道创宇404安全实验室密切合做，时刻关注着业界安全态势，持续不断地跟踪、研究新型攻击手法。
6. 安全专家接入，在必要时刻，用户可联系创宇蜜罐团队一键接入知道创宇「紧急入侵救援服务」，协助用户实施专业的入侵应急措施。

2.长亭科技-谛听

产品形态：硬件、软件
可否申请试用：能
产品页面：谛听

核心功能

1. 全端口威胁感知
2. 异常流量监测与重定向
3. 高仿真高交互蜜罐
4. 攻击预警与行为分析
5. 攻击者溯源

产品优点

1. 东西向流量威胁感知能力。不一样于传统内网安全产品基于已知漏洞规则库进行断定，谛听经过在攻击者必经之路上设置诱饵、 部署探针，监控攻击者每一步的动做。
2. 用户可自定义多种服务型蜜罐，覆盖信息系统中经常使用服务类型，而且支持高度自定义蜜罐数据，使得蜜罐蜜网环境和真实 环境更加契合，具有极强的假装性和欺骗性。
3. 精准识别攻击意图，自动化完整取证。当感知到攻击行为，会在第一时间发起告警;经过完整记录攻击者入侵行为，可以协助用户分析其攻击意图。
4. 基于Docker架构，自然支持云端部署，支持在云上组蜜网，全方位保障云上安全。

3.默安科技-幻阵

产品形态：SaaS
可否申请试用：能
产品页面：幻阵

核心功能

1. 基于行为的威胁检测
2. 动态网络隔离攻击
3. 设备指纹威胁溯源
4. 防抵赖入侵取证
5. 覆盖企业多种IT环境

产品优点

1. 基于行为的高级威胁狩猎,精确分析攻击源、攻击路径及手法类型，而且无需升级，帮助企业感知和防护0day风险。
2. 根据攻击者行为和资产状态，实时构建动态沙箱，在不一样网络环境中自动化部署沙箱、假装代理、漏洞、诱饵等造成动态蜜网，实现对攻击者的全链路欺骗，使攻击者没法探测真实网络环境。
3. 拥有机器学习设备指纹专利技术，结合云端黑客指纹威胁情报库，提早识别并溯源攻击者，内核级的攻击行为取证技术如实记录攻击者入侵手法和行为。
4. 与企业安全防御产品联动，开放全部接口API，输出黑客行为、黑客画像、攻击轨迹，无缝对接企业防火墙、IPS、IDS、WAF等其余安全产品。

4.锦行科技-幻云

产品形态：SaaS
可否申请试用？：能
产品页面：幻云

核心功能

1. 攻击欺骗与转移
2. 真实资产隔离防御
3. 攻击过程捕获分析

产品优点

1. 有效应对高层次网络攻击，新型未知网络威胁、高级持续性威胁（APT）等高层次网络攻击。
2. 幻云的攻击发现基于欺骗，几乎不会产生任何误报，可作到报警即发现。捕获的攻击数据具备日志量较少、包含信息量高、纯净不掺杂任何业务数据的特色。
3. 加强协同防护能力，幻云捕获的攻击数据可加工造成标准的本地威胁情报输出，在其余安全设备和安全子系统中流动，加强用户原有安全体系总体防御能力。

总结

目前国内提供蜜罐技术的公司主要就是上面这四家。而他们的产品主要功能大体相同，都是以欺骗假装和攻击溯源为主。

1. 知道创宇的创宇蜜罐在功能上很是丰富，能知足绝大部分公司的需求，包括数据分析、展现等，以及有专家1v1响应，这点仍是十分不错的；
2. 长亭的谛听是一款商业化不少年的产品，相比较来讲经验更为丰富；
3. 默安科技的幻阵从资料上来看没有很大的特色，是一款中规中矩的蜜罐产品；
4. 锦行科技的幻云能找到的介绍资料不多，这里不过多作评价。

在此建议，公司或单位有蜜罐安全需求时，能够分别试用一下各家产品，选择最适合本身业务状况的一家。