《孫子兵法》有云：兵者，詭道也！

　　經(jīng)過(guò)2000多年的發(fā)展，欺騙活動(dòng)已廣泛存在于人類生活的各個(gè)方面，而網(wǎng)絡(luò)空間更是欺騙技術(shù)大量應(yīng)用的新興領(lǐng)域之一。以社會(huì)工程學(xué)為代表的欺騙性攻擊活動(dòng)屢屢得手，混淆、隱匿、偽造、釣魚(yú)等攻擊手段層出不窮。

　　欺騙本身是中性的，是善是惡，取決于使用這項(xiàng)技能的目的。網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對(duì)抗，欺騙技術(shù)同樣可以被應(yīng)用到網(wǎng)絡(luò)安全防御中，實(shí)現(xiàn)對(duì)未知威脅的主動(dòng)防御。

　　欺騙式防御的技術(shù)理念

　　在2015年，國(guó)際知名研究機(jī)構(gòu)Gartner提出攻擊欺騙（Deception）的技術(shù)理念，并將其列為最具有潛力的新型安全技術(shù)手段。在Gartner的定義中，欺騙防御技術(shù)是指通過(guò)使用欺騙或者誘騙手段來(lái)阻止網(wǎng)絡(luò)攻擊活動(dòng)的應(yīng)對(duì)過(guò)程，破壞攻擊者可能使用的自動(dòng)化工具，拖延攻擊者的入侵活動(dòng)，并有效檢測(cè)識(shí)別出攻擊行為。

　　基于以上定義，我們可以將欺騙式防御技術(shù)理解為，通過(guò)刻意準(zhǔn)備的誘騙性環(huán)境或行為，誤導(dǎo)攻擊者的分析判斷和攻擊活動(dòng)，已達(dá)到幫助網(wǎng)絡(luò)安全防護(hù)目標(biāo)實(shí)現(xiàn)的應(yīng)用效果。總結(jié)分析欺騙式防御技術(shù)的應(yīng)用內(nèi)涵，包含以下幾點(diǎn)：

　　欺騙式防御以安全防護(hù)為目的，保護(hù)組織的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等等資產(chǎn)；

　　欺騙式防御通過(guò)暴露事實(shí)、隱藏事實(shí)、暴露謊言、隱藏謊言等戰(zhàn)略戰(zhàn)術(shù)實(shí)現(xiàn)獲取攻擊者信息、增加攻擊難度、粘滯防御等目標(biāo)；

　　欺騙式防御屬于主動(dòng)防御的一部分，可以利用欺騙防御技術(shù)，構(gòu)建誘捕、監(jiān)控、溯源體系。

　　欺騙式防御應(yīng)用價(jià)值

　　一直以來(lái)，這種對(duì)抗態(tài)勢(shì)卻呈現(xiàn)出一種并不對(duì)等的局面：攻擊者只要找到一個(gè)脆弱點(diǎn)就可以成功實(shí)施攻擊活動(dòng)，而防御者卻要疲于應(yīng)對(duì)不計(jì)其數(shù)的安全漏洞和尚未識(shí)別的潛在威脅。

　　挑戰(zhàn)一：自動(dòng)化攻擊大量出現(xiàn)

　　隨著人工智能技術(shù)應(yīng)用的快速發(fā)展，新型高級(jí)網(wǎng)絡(luò)攻擊手段也變得越來(lái)越智能化、自動(dòng)化、常態(tài)化，高級(jí)Bots機(jī)器人攻擊為網(wǎng)絡(luò)安全行業(yè)帶來(lái)了更為嚴(yán)峻的挑戰(zhàn)。欺騙防御能夠覆蓋網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)流量、主機(jī)層、應(yīng)用層、數(shù)據(jù)層等各維度，在網(wǎng)絡(luò)環(huán)境上，對(duì)辦公網(wǎng)、生產(chǎn)網(wǎng)、測(cè)試網(wǎng)等根據(jù)環(huán)境和業(yè)務(wù)特性進(jìn)行不同方式的覆蓋，構(gòu)建欺騙防御體系化的感知能力，發(fā)現(xiàn)各類自動(dòng)化掃描，機(jī)器人攻擊，能夠滿足低成本、大批量的部署要求。

　　挑戰(zhàn)二：傳統(tǒng)攻擊轉(zhuǎn)變?yōu)楦呒?jí)威脅

　　目前，APT攻擊已呈高發(fā)趨勢(shì)，無(wú)論是攻擊組織數(shù)量，還是攻擊頻率都較以往有較大增加。APT攻擊也稱為定向威脅攻擊，指某組織對(duì)特定對(duì)象展開(kāi)持續(xù)針對(duì)性的攻擊活動(dòng)。相較于傳統(tǒng)攻擊，APT攻擊具有隱蔽性、針對(duì)性和持續(xù)性等攻擊特征。無(wú)論APT攻擊多么隱蔽，但最終的目的仍然是目標(biāo)系統(tǒng)，欺騙防御產(chǎn)品區(qū)別于傳統(tǒng)安全產(chǎn)品的安全檢測(cè)思路，以攻擊者的目標(biāo)、攻擊思路、攻擊步驟視角，構(gòu)建覆蓋整個(gè)攻擊鏈路的防護(hù)鏈路。

　　挑戰(zhàn)三：威脅發(fā)現(xiàn)能力不足

　　在傳統(tǒng)的安全防護(hù)建設(shè)中，很多產(chǎn)品形成的能力是單點(diǎn)式的，孤島式的安全能力建設(shè)模式缺乏對(duì)全局安全數(shù)據(jù)的可見(jiàn)性，高級(jí)威脅的發(fā)現(xiàn)越來(lái)越難以通過(guò)單一的安全能力來(lái)實(shí)現(xiàn)；并且海量信息的實(shí)時(shí)關(guān)聯(lián)和分析對(duì)安全算力要求極高，由于不同安全產(chǎn)品之間缺少數(shù)據(jù)的關(guān)聯(lián)，產(chǎn)生了大量無(wú)效的告警信息，難以發(fā)現(xiàn)對(duì)組織真正造成的威脅，同時(shí)也降低了安全運(yùn)維的效率。

　　欺騙防御作為主動(dòng)防御體系的重要實(shí)現(xiàn)，具有高度開(kāi)放性，能夠與現(xiàn)有的安全防護(hù)體系、安全運(yùn)營(yíng)平臺(tái)、威脅情報(bào)平臺(tái)進(jìn)行對(duì)接，輸出網(wǎng)絡(luò)攻擊、攻擊者信息、安全事件過(guò)程等關(guān)鍵數(shù)據(jù)，為整體安全防護(hù)和安全運(yùn)營(yíng)工作提供精準(zhǔn)可靠的情報(bào)，為安全建設(shè)規(guī)劃和安全策略優(yōu)化等作決策支撐。

　　價(jià)值一、獲得更多的攻擊信息

　　在傳統(tǒng)的安全防護(hù)過(guò)程中，許多安全控制是“基于邊界”的，在網(wǎng)絡(luò)邊界部署安全產(chǎn)品阻止惡意的攻擊行為。但隨著現(xiàn)在混合云的使用，以及新冠疫情對(duì)于遠(yuǎn)程辦公的推動(dòng)，組織的網(wǎng)絡(luò)架構(gòu)已經(jīng)改變，邊界也變得越來(lái)越模糊，這就讓以往基于邊界的防護(hù)越來(lái)越具有挑戰(zhàn)性。同時(shí)，許多低成本及自動(dòng)化的攻擊工具不斷涌現(xiàn)，這讓攻擊者可以連續(xù)探測(cè)計(jì)算機(jī)系統(tǒng)，直到發(fā)現(xiàn)漏洞并繼續(xù)進(jìn)行下一步滲透，而防御者不會(huì)得到任何攻擊目標(biāo)的信息。使用欺騙式技術(shù)可以提高對(duì)攻擊嘗試的理解，提高對(duì)攻擊威脅的感知。

　　價(jià)值二、增強(qiáng)系統(tǒng)的攻擊難度

　　在攻擊策略上，欺騙防御可以通過(guò)部署復(fù)雜的策略，如隱藏真實(shí)的資產(chǎn)，將真實(shí)資產(chǎn)偽裝成蜜罐，布置陷阱等，誘導(dǎo)攻擊者做出錯(cuò)誤的行為、得出錯(cuò)誤的結(jié)論，然后通過(guò)一些附加的防御措施保護(hù)目標(biāo)系統(tǒng)。這無(wú)疑增加了攻擊者獲取目標(biāo)系統(tǒng)信息的難度。

　　價(jià)值三、實(shí)現(xiàn)粘滯防御

　　欺騙式防御能夠給攻擊者提供虛假的欺騙性情報(bào)信息，影響攻擊者下一步攻擊策略的制定和執(zhí)行。同時(shí)，這也給防御者更多的時(shí)間來(lái)準(zhǔn)備和計(jì)劃下一步的防護(hù)決策和行動(dòng)?；谄垓_的防御的主要優(yōu)勢(shì)是在這樣的比賽中為防御者提供了一個(gè)優(yōu)勢(shì)，即他們主動(dòng)地給惡意敵手欺騙性的信息，更具體地說(shuō)是循環(huán)的“觀察”和“調(diào)整”的階段。

　　價(jià)值四、增加對(duì)攻擊者的威懾

　　目前很多安全控制的重點(diǎn)在于防止非法嘗試訪問(wèn)計(jì)算機(jī)系統(tǒng)相關(guān)的活動(dòng)。結(jié)果，入侵者正在使用這個(gè)準(zhǔn)確的負(fù)反饋?zhàn)鳛樗麄兊膰L試是否已被檢測(cè)到的標(biāo)志。然后，他們會(huì)退出攻擊，使用其他更隱蔽的滲透方法。在計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)中引入欺騙，這增加了惡意敵手考慮新方法的可能性，即他們是否已經(jīng)被檢測(cè)到還是被欺騙了。這阻止了一部分不想冒更多風(fēng)險(xiǎn)的攻擊者。這種新的可能性可以阻止那些不愿意冒被欺騙的風(fēng)險(xiǎn)的攻擊者做出進(jìn)一步的分析。此外，這種技術(shù)使防御者有能力通過(guò)主動(dòng)提供虛假信息，將攻擊者的滲透嘗試轉(zhuǎn)變成防御者自身的優(yōu)勢(shì)。

　　欺騙式防御的技術(shù)類型

　　蜜罐技術(shù)是欺騙式防御在網(wǎng)絡(luò)安全領(lǐng)域最早期的代表性應(yīng)用。但隨著技術(shù)的發(fā)展，欺騙式防御的內(nèi)涵也在不斷豐富，并已經(jīng)從最初的單點(diǎn)欺騙技術(shù)的應(yīng)用轉(zhuǎn)變?yōu)榉烙砟罴胺烙w系的建立。

　　從更宏觀的視角觀察欺騙式防御技術(shù)的發(fā)展，可以分為兩類：一類是戰(zhàn)術(shù)方面的演進(jìn)，以蜜罐技術(shù)為核心，形成密網(wǎng)、蜜場(chǎng)、蜜標(biāo)、蜜餌與其他安全產(chǎn)品結(jié)合的欺騙防御平臺(tái)；另一類是戰(zhàn)略上的變化，以移動(dòng)目標(biāo)防御、擬態(tài)防御為代表，從系統(tǒng)架構(gòu)等更深的層次，改變系統(tǒng)的特征，對(duì)現(xiàn)有防御思想進(jìn)行顛覆性變革，實(shí)現(xiàn)原生安全。

　　蜜罐：蜜罐是一種軟件應(yīng)用系統(tǒng)，用來(lái)?yè)萎?dāng)入侵誘餌，引誘黑客前來(lái)攻擊。攻擊者入侵后，通過(guò)監(jiān)測(cè)與分析，就可以知道他是如何入侵的，隨時(shí)了解針對(duì)組織服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。蜜罐有兩種主要的應(yīng)用類型：高交互性蜜罐主要通過(guò)設(shè)置一個(gè)全功能的應(yīng)用環(huán)境，引誘黑客攻擊；低交互性蜜罐則是模擬一個(gè)特定的生產(chǎn)環(huán)境，所以只需要導(dǎo)入有限的信息。

　　蜜網(wǎng)：蜜網(wǎng)是指由多個(gè)蜜罐組成的模擬網(wǎng)絡(luò)。當(dāng)多個(gè)蜜罐被網(wǎng)絡(luò)連接在一起時(shí)，就可模擬出一個(gè)大型的應(yīng)用網(wǎng)絡(luò)，并利用其中一部分主機(jī)吸引黑客入侵，通過(guò)監(jiān)測(cè)、觀察入侵過(guò)程，一方面調(diào)查入侵者來(lái)源，另一方面也可以考察安全措施是否有效。

　　蜜場(chǎng)：蜜場(chǎng)是蜜罐技術(shù)的延伸，它具有“邏輯上分散，物理上集中”的部署特點(diǎn)，通過(guò)使用重定向技術(shù)把多種惡意訪問(wèn)集中到一起，進(jìn)行統(tǒng)一管理，統(tǒng)一分析。

　　蜜標(biāo)：蜜標(biāo)是一種特殊的蜜罐誘餌，它不是任何的主機(jī)節(jié)點(diǎn)，而是一種帶標(biāo)記的數(shù)字實(shí)體。它被定義為不用于常規(guī)生產(chǎn)目的的任何存儲(chǔ)資源，例如電子郵件消息或數(shù)據(jù)庫(kù)記錄。

　　蜜餌：蜜餌一般是一個(gè)文件，工作原理和蜜罐類似，誘使攻擊者打開(kāi)或下載。

　　欺騙防御平臺(tái)：欺騙防御是一個(gè)集中管理系統(tǒng)，用來(lái)創(chuàng)建、分發(fā)和管理整個(gè)欺騙環(huán)境以及各個(gè)欺騙元素，包括工作站、服務(wù)器、設(shè)備、應(yīng)用、服務(wù)、協(xié)議、數(shù)據(jù)和用戶等多種元素。

　　移動(dòng)目標(biāo)防御（MTD）：移動(dòng)目標(biāo)防御是美國(guó)國(guó)家科學(xué)技術(shù)委員會(huì)提出的基于動(dòng)態(tài)化、隨機(jī)化、多樣化思想改造現(xiàn)有信息系統(tǒng)防御缺陷的理論和方法，其核心思想致力于構(gòu)建一種動(dòng)態(tài)、異構(gòu)、不確定的網(wǎng)絡(luò)空間目標(biāo)環(huán)境來(lái)增加攻擊者的攻擊難度，以系統(tǒng)的隨機(jī)性和不可預(yù)測(cè)性來(lái)對(duì)抗網(wǎng)絡(luò)攻擊。

　　擬態(tài)防御：擬態(tài)防御是一種主動(dòng)防御行為，也是我國(guó)研究團(tuán)隊(duì)首先提出的主動(dòng)防御理論，核心是實(shí)現(xiàn)一種基于網(wǎng)絡(luò)空間內(nèi)生安全機(jī)理的動(dòng)態(tài)異構(gòu)冗余構(gòu)造，為應(yīng)對(duì)網(wǎng)絡(luò)空間中基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有創(chuàng)新意義的防御理論和方法。

　　目前，欺騙技術(shù)逐漸發(fā)展成為了安全運(yùn)營(yíng)體系中新一代檢測(cè)和響應(yīng)技術(shù)的重要組成部分，各大安全廠商都將欺騙技術(shù)與其他安全產(chǎn)品更緊密聯(lián)動(dòng)，向著深度融合的趨勢(shì)發(fā)展。在體系化的欺騙式防御應(yīng)用方案中，應(yīng)具備多種重要能力，包含業(yè)務(wù)仿真、威脅感知、協(xié)同防御、攻擊行為分析和溯源等，核心技術(shù)包含網(wǎng)絡(luò)地址變換、端口重定向、多種模擬的能力。

　　欺騙防御重要能力及核心技術(shù)

　　欺騙式防御應(yīng)用場(chǎng)景

　　以欺騙式防御的目標(biāo)來(lái)劃分，主要的應(yīng)用場(chǎng)景有：

　　攻防對(duì)抗場(chǎng)景

　　現(xiàn)階段，欺騙防御重點(diǎn)應(yīng)用在攻防對(duì)抗中。在攻防演練場(chǎng)景中，防守方需要面對(duì)攻擊方持續(xù)多維的攻擊，通過(guò)構(gòu)建欺騙式防御，充分地了解攻擊方的整體情況，并根據(jù)攻擊特點(diǎn)建立完善的、能有效抵御攻擊威脅的安全防護(hù)體系，是支撐達(dá)成防守效果與取得更好成績(jī)的重要手段。

　　安全運(yùn)營(yíng)場(chǎng)景

　　從網(wǎng)絡(luò)安全防護(hù)角度來(lái)看，網(wǎng)絡(luò)欺騙防御技術(shù)作為一種主動(dòng)式安全防御手段，可以有效對(duì)抗網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)欺騙防御技術(shù)在檢測(cè)、防護(hù)、響應(yīng)方面均能起到作用，能夠?qū)崿F(xiàn)發(fā)現(xiàn)攻擊、延緩攻擊以及抵御攻擊的作用。欺騙防御技術(shù)應(yīng)用在企業(yè)安全運(yùn)營(yíng)中使用，能夠發(fā)現(xiàn)、延緩和反制網(wǎng)絡(luò)攻擊。主要場(chǎng)景有：

　　溯源反制

　　溯源反制是欺騙式防御的重要應(yīng)用場(chǎng)景，因?yàn)椴渴鹪诮M織內(nèi)部的欺騙式防御產(chǎn)品，搜集到的攻擊信息，相對(duì)于其他安全產(chǎn)品，可以確定為真實(shí)的攻擊操作，同時(shí)在產(chǎn)品內(nèi)置的反制手段可以溯源到攻擊者信息，如電話號(hào)碼和賬戶信息等，相對(duì)于其他產(chǎn)品更具價(jià)值。

　　情報(bào)產(chǎn)生

　　此處的情報(bào)包含兩個(gè)層面，蜜罐部署方式和情報(bào)產(chǎn)生方式不同：一方面是組織根據(jù)自身情況部署蜜罐等產(chǎn)品，針對(duì)組織內(nèi)部的威脅信息，產(chǎn)生的內(nèi)部情報(bào)；另一方面則是情報(bào)廠商推出的免費(fèi)蜜罐，如微步在線，用戶可免費(fèi)部署其蜜罐，產(chǎn)生的情報(bào)信息匯總至安全廠商。

　　輔助進(jìn)行威脅感知

　　部署在組織內(nèi)部的欺騙式防御產(chǎn)品，可以搜集針對(duì)組織的威脅信息，如病毒，或針對(duì)某些端口的攻擊操作，此處的威脅信息可匯總至態(tài)勢(shì)感知、SOC等產(chǎn)品豐富對(duì)威脅的感知能力。

　　科學(xué)研究場(chǎng)景

　　一些安全廠商的實(shí)驗(yàn)室或網(wǎng)絡(luò)安全主管部門出于研究的目的，收集有關(guān)針對(duì)不同網(wǎng)絡(luò)的黑客社區(qū)的動(dòng)機(jī)和策略的信息用于分析攻擊者的行為，通過(guò)一段時(shí)間的觀察和分析，可以大概感知近期網(wǎng)絡(luò)安全態(tài)勢(shì)的變化，研究組織面臨的威脅，并更好地防范這些威脅。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<