以色列网络安全公司探研:能让黑客“赔掉底裤”的illusive Networks

华盟学院山东省第二期线下学习计划

Illusive-Networks-SITO..png

众所周知,以色列已经成为全球网络安全创业前沿,据不完全统计,以色列现有430多家网络安全企业,且自2000年起平均每年新成立的网络初创企业数量达50家左右,从产业规模和发展趋势来看,以色列网络安全产业仅次于美国。以色列网络安全行业遍布基础设施保护、云计算、终端保护、威胁情报、应用保护、工控系统、物联网和智能汽车等各个领域。今天让我们一起来了解一下以色列网络安全公司–illusive Networks。

illusive Networks公司介绍

illusive Networks 是一家提供欺骗防御产品和解决方案的以色列网络安全公司,其核心技术是在企业网络中构建虚拟欺骗数据和网络架构,以迷惑和检测网络攻击者。illusive Networks产品一方面通过设置不同类型的迷惑网络和应用信息,使攻击者入侵企业网络后无法获取真实有效的数据,从而拖延攻击;另一方面,illusive Networks提供的网络欺骗环境能以无代理分布式部署于各种客户终端,一旦这些终端受到可疑攻击,将会及时触发管理报警和分析取证功能,尽早帮助企业客户控制攻击事态。

illusive Networks利用其产品方案,能为客户及时检测识别威胁,并最大程度减少攻击损害,最终实现攻击威胁可视化、可控化和可溯化的目的。用iIlusive Networks战略顾问Shlomo Touboul的话来说,他们这种做法就像创造了一个周围全是镜子的房间,攻击者入侵后无法辨认真假。而Shlomo也自信地宣称illusive推出的安全平台能让黑客们“赔掉底裤”。

当前,随着全球网络攻击环境的复杂性发展,狙击那些精心构造的针对性攻击和APT攻击成为了illusive Networks未来的主要发展方向。

illusive Networks成立和投资情况

illusiveNetworks成立于2014年,总部位于以色列特拉维夫-雅法,并在纽约曼哈顿36号大道设立了办公分部。illusive Networks是著名的以色列网络安全风投企业Team8投资的第一家公司,也与以色列军事信号情报组织8200部队渊源颇深。以下为illusive Networks近年来的投融资情况:

日期 融资数据/轮 领投方 投资方数量
2017年1月 未公开数额/未公开 Microsoft Ventures 1
2016年5月 300万美元 / Series B 7
2015年10月 2200万美元 / Series B New Enterprise Associates 5
2015年6月 500万美元 / Series A Team8 1

2017年1月,微软创投单独注资illusive Networks,此次投资额未被公布,但illusive CEO奥弗·伊斯列(Ofer Israeli)表示:“微软创投的投资为illusive Networks探索当今互联世界里的欺骗防御技术打开了一扇通往新世界的大门,我们要让全世界的广大用户都能受惠于illusive的技术”。微软创投总经理Mony Hassid认为,illusive拥有持续开发下一代网络安全欺骗防御 技术,以及保护企业不受日益复杂的高级攻击的专业能力。

Geektime-image-2.png

在微软创投投资前,恩颐投资(New Enterprise Associates)、柏尚投资(BessemerVenture Partners)、Marker LLC、花旗创投(Citi Ventures)、思科投资(Cisco Investments),以及谷歌前执行总裁埃里克·施密特(Eric Schmidt)的Innovation Endeavors已对illusive进行了投资。illusive早期的AB轮投资总额已超过3千万美元。

参与B轮投资的New Enterprise Associates(NEA)总经理Kittu Kolluri认为,illusive networks的做法将在业界掀起一场风暴,他说:“传统的安全措施渐渐在失效,illusive networks选择了一个创新的视角和可规模化的构架,这其中有很多至关重要的安全理念。我们很愿意与他们合作,把安全技术推向一个新的高度。”

谷歌前执行总裁兼Team8合伙人埃里克·施密特(Eric Schmidt)也表示,商业界正面临网络围攻之势,面对不断增长的定向攻击威胁挑战,illusive networks的有效解决方案就是网络安全领域打破常规思维的典范。

illusive networks与以色列8200部队的渊源,除了不断从8200网罗安全人才之外,其产品研发副总裁Matan Kubovsky此前曾有多年8200部队和Check Point 领导经历,另外,身兼董事会主席和Team8创始人的Nadav Zafrir曾在8200部队担任多年指挥官,并一手创建了素有“精英黑客部队”的以色列国防军网络司令部,他拥有25年丰富的网络安全领导经验。

illusive Networks产品介绍

IllusiveNetworks产品可以通过无代理方式部署到任意电脑终端、服务器和网络组件中,形成与真实企业网络高度相似的全方位欺骗层。Illusive Networks 产品的核心开发方法是,在网络安全防御体系中引入攻击者视角。企业IT管理关注的是立体的安全体系架构,而攻击者的入侵行为往往源于企业某部分的网络资产安全问题。illusive Networks产品解决方案正是站在攻击者角度,在攻击早期第一时间缓解攻击削减风险,实现欺骗式的安全防御。目前,Illusive Networks主要有四种产品:DecêptionsEverÿwhere、Attacker View、Advåncëd Ransômware Guãrd和Wire Transfer Guard。我们来一一介绍:

Decêptions Everÿwhere

欺骗的艺术-创建另一个真实环境。当一些高级别的攻击者入侵了企业网络之后,他们会坚持不懈地朝着一个明确的对象步步迈进。当到达目标后,这些经验老道的攻击者就会不断地进行数据收集、窃取分析和横向移动渗透。欺骗技术是检测高级别攻击的有效方法,能实现“以其人之道还治其人之身”,可在攻击早期及时识别并控制入侵事件事态发展。

01.png

兵不厌诈。攻击者会被一些虚假信息诱饵如用户数据、服务器和网站等迷惑。为了阻止或延缓攻击,构建的欺骗环境必须能完美无缝地融合和适应企业原生网络系统。一些分散、过时和伪装性较差的欺骗环境可能会被老练的攻击者识破,Decêptions Everÿwhere应运而生,它具备领先前沿的欺骗技术,能自动进行网络优化,真正实现在整个企业网络中动态无痕地构建虚拟欺骗防护层。

Decêptions Everÿwhere部署后主要由欺骗管理系统(Deception Management System,DMS)进行控制操作,DMS系统采用先进的机器学习技术,可以在多种网络基础设施中构建与企业网络适时自适应的欺骗环境,有效解决了各种系统创建、环境多样、布局不一和动态修改的问题。

02.png

03.png

Decêptions Everÿwhere部署的欺骗环境不会对企业真实网络形成干扰,它具备“即插即用”、自动网络发现、即时网络分析、即时欺骗构建和“一键式”无代理部署等特性。

传统的server/client模式需要agent代理,而agentless无代理方式不需要在监控环境或终端安装任何软件,只需在控制端资源添加选项中输入相应的配置信息就可以实现有效监测,大大方便了系统部署和运行维护。

为了配合攻击者步伐,DMS会自主地为每一种攻击者定制创建不同的虚拟网络连接、路径、数据等其它可攻击向量,让攻击者一步步陷入泥潭,走入陷阱。而在控制端,客户能通过DMS适时对整个欺骗环境和攻击者行为了如指掌。

Decêptions Everÿwhere具备以下优点:

无代理部署

自动识别并抵消攻击向量

使攻击者无法分辨真假

通过优化的欺骗环境部署增加攻击检测识别能力

对目标网络进行持续监测并提供自适应保护能力

无需实时维护

不对企业业务造成干扰

投资成本低

不依赖其它工具的自主运行系统

一键式“欺骗系统部署

不产生任何IT设备部署痕迹

方便取证调查

Attâcker Vièw

当攻击者成功入侵企业网络后,会带着以下疑问继续向目标网络中深入横向渗透:

我现在处于整个网络中的什么位置?

我的主要入侵目标在哪里?

我可以利用的对象是什么?

我如何才能靠近入侵目标?

而IT管理人员担心的是,我的网络系统是如何被攻击者渗透入侵的?

未知攻焉知防?Attâcker Vièw就是这种站在攻击者视角来发现和探测整个网络系统安全问题的产品,IT安全专业人员可以利用该产品从攻击者角度来管理维护公司网络。Attâcker Vièw针对整个目标网络,通过模拟攻击者,进行精确、详细的攻击视角刻画和网络架构遍历,在此过程中,Attâcker Vièw发现识别目标网络系统中存在的各种风险隐患,并能可视化地演示攻击者如何利用这些风险入侵关键资产。

04.png

IT安全人员可以根据Attâcker Vièw产生的可视化攻击利用路径和风险向量,自动调整企业安全策略,及时从源头上堵塞安全漏洞,消除安全隐患。总之,Attâcker Vièw能识别出整个网络架构存在的各类风险隐患,揭示攻击者可利用的连接、访问属性、提权操作和未知的攻击路径,实现自动化的隐患识别和解决方案提供。

以下为三个使用Attâcker Vièw产品的成功案例:

一家金融服务公司,使用Attâcker Vièw在多个工作站的高速缓存中发现了高权限域管理员账户,这些账户包含了对整个网络的访问特权,攻击者一旦入侵了其中任何一个工作站服务器,就能控制整个公司网络。

一家拥有两个独立网络系统的电信公司,其中一个为客户提供公共网络服务,另一个为公司专用内网,公司使用Attâcker Vièw发现,在内部运维过程中有多个服务器连接到了这两个原本物理隔离的网络中。攻击者可以轻松地通过公网渗透进入公司内网获取到某些关键网络资产控制权。

一家集中化数据存储公司,其存储数据中包含了公司的重要文档。公司使用Attâcker Vièw发现,其存储数据的一个共享资源名称被不小心发布到了公司大部分网络服务器中。攻击者成功入侵后,利用该泄露信息可以横向渗透,准确进入关键存储获取到关键信息。

另外,配合Decêptions Everÿwhere,Attâcker Vièw还能实现自动化的攻击行为跟踪和调查回溯取证。

Ãdvanced Ranšømware Guard

随着计算机网络的发展,信息资产和信息货币的出现使得互联网勒索变为可能,在最近几年,勒索软件问题逐渐凸显。最近,随着WannaCry的攻击感染席卷全球,勒索攻击也经成为现实网络世界的新型威胁。未来,经过持续的攻击演变和网络经济加速,勒索攻击目标将从简单的网络个体大规模扩散到各种企业组织中去,结合其它网络犯罪软件,会最终形成高级勒索威胁(Advanced Ransomware Threat,ART)。

05.png

经验老道的ART攻击者会从某些极具价值的企业组织下手,精心挑选准确定位关键资产进行勒索,以获得直接最大化的勒索赎金。作为企业组织来说,随着网络威胁的演变发展,亟需一种应对ART的防御手段。

2016年7月21日,Advanced Ransomware Guard正式面世,该产品能够自动识别对关键资产的勒索加密、删除和修改等特殊行为,并能第一时间针对这些行为发起抵消反制措施。

06.png

“不像其它恶意软件类型,勒索软件需要专门的解决方案。勒索攻击在获得对关键资产的控制权后会及时控制,将限定期限形成勒索,所以主动准确的检测识别和响应机制必不可少。当前市面上基于行为分析或机器学习的检测技术通常存在高误报率,而蜜罐类产品又具高误判率,这两种技术在应对勒索攻击时都不能得到准确及时的检测结果。”,illusive 战略顾问Shlomo Touboul认为。

一旦勒索软件被植入网络或向关键资产横向渗透,Advanced Ransomware Guard将会以高精度的检测能力和阻断能力,对感染勒索软件的主机形成抑制,阻止勒索攻击向外扩散,并及时发出警报,或结合欺骗系统把其引向虚假加密目标。

Advanced Ransomware Guard优点:

在攻击者加密控制文件之前阻断勒索攻击扩散

不对企业业务造成干扰

无误报

不依赖签名特征防御勒索攻击

可以实现勒索软件行为实时取证

具备下一代勒索软件攻击(ART)应对功能

WireTransfer Guard

WireTransfer Guard是illusive于2016年9月推出,为全球第一个针对银行电汇网络(Wire Transfer Networks,WTN)和银行结算系统(SWIFT)提供安全保障的产品。

2016年2月,黑客利用电汇网络和SWIFT系统漏洞,远程转移盗取了孟加拉国银行8100万美金,震惊全球。当前,银行使用的电汇网络和SWIFT系统由于更新和配置不及时,存在攻击者可利用风险,即使部署了最复杂的防御工事,但仍然形成了安全“短板效应”。WTN和SWIFT事关金融安全,亟需提高安全防护级别。

Swift_sky (1).jpg

随着全球金融业务能力的提升,对SWIFT和WTN系统保护提出了新的挑战。金融机构很难在短时间内对电汇关键任务系统进行更新升级,传统的防护措施又不能有效地保护金融机构网络,甚至是网络资源较少的中小银行也会出现薄弱环节。在这种情况下,Wire Transfer Guard成为金融机构的首选必需。

WireTransfer Guard中仍然融入了illusive的欺骗系统基因,会在整个SWIFT和WTN网络中部署进入一些诱饵系统或数据,并提供实时取证和攻击监测功能。illusive 战略顾问 Shlomo Touboul说,金融机构在SWIFT系统安防措施层面会加大投资和关注力度,但对那些可以造成严重经济损失的高级别攻击来说,这种措施略显无效。SWIFT系统更新存在困难,为了弥补这种安全短板,欺骗防御技术是保护SWIFT系统和缓解攻击的最好方式。

2017-06-21_123837.png

在对SWIFT系统攻击中,黑客可能利用现有的攻击向量向网络中的任何端点进行渗透,以窃取SWIFT用户和管理员凭据,或其它如SWIFT SAA、SAG、SWIFTSWP和MQ实体文件。Wire Transfer Guard通过在SWIFT网络和终端中部署各式诱饵,一旦攻击者进入,将会被及时检测并触发响应,同时启动调查取证流程。即使攻击者发起从客户网络到SWIFT系统的隐蔽渗透,一样会被检测识别。Wire Transfer Guard部署的欺骗环境对普通用户和IT人员不可见,它能形成防御企业内外网络攻击且无误报的保护层。

当前,许多SWIFT系统都是不符合现行安全标准的老旧版本,维护成本较高,且更新升级较难,WireTransfer Guard通过检测和缓解攻击,能有效弥补SWIFT的这种天生不足。

WireTransfer Guard主要功能特点:

攻击缓解

详细的取证分析功能:针对攻击源进行实时取证,可有效识别APT攻击性质

无误报:欺骗环境对普通用户和IT人员不可见

实时响应事件

不形成额外攻击面:终端无代理安装,不产生任何可逆向控制端

容易部署维护:无代理技术、一次部署、只需事件响应(SIEM)和CISO团队的简单配合

另外,以上illusive networks产品和解决方案能与Cisco、HP、VirusTotal、MicrosoftSCCM、Tanium和CyberArk等其它网络安全产品集成,构成全方位统一灵活的安全防护体系。

其它欺骗防御网络安全公司简介

sssssss.png

11112.png

xxxxx.png

tttttt.png

后记

当前,人们面临的网络安全威胁错综复杂,在这个万物互连和创新发展的时代,一切都可被渗透,一切皆可被破坏,一切可能被颠覆。illusive Networks用其独特的欺骗防御技术在网络安全行业中独树一帜,其产品研发思路和公司发展定位值得我们借鉴学习。

www.idc126.com

*参考来源:illusive、thestreet,本文作者:clouds

本文由 华盟网 作者:小龙 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论