信息化觀察網(wǎng)

本文來自安全牛，作者/林海靜。

《孫子兵法》有云：兵者，詭道也！

經(jīng)過2000多年的發(fā)展，欺騙活動已廣泛存在于人類生活的各個方面，而網(wǎng)絡(luò)空間更是欺騙技術(shù)大量應(yīng)用的新興領(lǐng)域之一。以社會工程學(xué)為代表的欺騙性攻擊活動屢屢得手，混淆、隱匿、偽造、釣魚等攻擊手段層出不窮。

欺騙本身是中性的，是善是惡，取決于使用這項技能的目的。網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對抗，欺騙技術(shù)同樣可以被應(yīng)用到網(wǎng)絡(luò)安全防御中，實現(xiàn)對未知威脅的主動防御。

欺騙式防御的技術(shù)理念

在2015年，國際知名研究機構(gòu)Gartner提出攻擊欺騙（Deception）的技術(shù)理念，并將其列為最具有潛力的新型安全技術(shù)手段。在Gartner的定義中，欺騙防御技術(shù)是指通過使用欺騙或者誘騙手段來阻止網(wǎng)絡(luò)攻擊活動的應(yīng)對過程，破壞攻擊者可能使用的自動化工具，拖延攻擊者的入侵活動，并有效檢測識別出攻擊行為。

基于以上定義，我們可以將欺騙式防御技術(shù)理解為，通過刻意準(zhǔn)備的誘騙性環(huán)境或行為，誤導(dǎo)攻擊者的分析判斷和攻擊活動，已達到幫助網(wǎng)絡(luò)安全防護目標(biāo)實現(xiàn)的應(yīng)用效果?？偨Y(jié)分析欺騙式防御技術(shù)的應(yīng)用內(nèi)涵，包含以下幾點：

欺騙式防御以安全防護為目的，保護組織的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等等資產(chǎn)；

欺騙式防御通過暴露事實、隱藏事實、暴露謊言、隱藏謊言等戰(zhàn)略戰(zhàn)術(shù)實現(xiàn)獲取攻擊者信息、增加攻擊難度、粘滯防御等目標(biāo)；

欺騙式防御屬于主動防御的一部分，可以利用欺騙防御技術(shù)，構(gòu)建誘捕、監(jiān)控、溯源體系。

欺騙式防御應(yīng)用價值

一直以來，這種對抗態(tài)勢卻呈現(xiàn)出一種并不對等的局面：攻擊者只要找到一個脆弱點就可以成功實施攻擊活動，而防御者卻要疲于應(yīng)對不計其數(shù)的安全漏洞和尚未識別的潛在威脅。

挑戰(zhàn)一：自動化攻擊大量出現(xiàn)

隨著人工智能技術(shù)應(yīng)用的快速發(fā)展，新型高級網(wǎng)絡(luò)攻擊手段也變得越來越智能化、自動化、常態(tài)化，高級Bots機器人攻擊為網(wǎng)絡(luò)安全行業(yè)帶來了更為嚴(yán)峻的挑戰(zhàn)。欺騙防御能夠覆蓋網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)流量、主機層、應(yīng)用層、數(shù)據(jù)層等各維度，在網(wǎng)絡(luò)環(huán)境上，對辦公網(wǎng)、生產(chǎn)網(wǎng)、測試網(wǎng)等根據(jù)環(huán)境和業(yè)務(wù)特性進行不同方式的覆蓋，構(gòu)建欺騙防御體系化的感知能力，發(fā)現(xiàn)各類自動化掃描，機器人攻擊，能夠滿足低成本、大批量的部署要求。

挑戰(zhàn)二：傳統(tǒng)攻擊轉(zhuǎn)變?yōu)楦呒壨{

目前，APT攻擊已呈高發(fā)趨勢，無論是攻擊組織數(shù)量，還是攻擊頻率都較以往有較大增加。APT攻擊也稱為定向威脅攻擊，指某組織對特定對象展開持續(xù)針對性的攻擊活動。相較于傳統(tǒng)攻擊，APT攻擊具有隱蔽性、針對性和持續(xù)性等攻擊特征。無論APT攻擊多么隱蔽，但最終的目的仍然是目標(biāo)系統(tǒng)，欺騙防御產(chǎn)品區(qū)別于傳統(tǒng)安全產(chǎn)品的安全檢測思路，以攻擊者的目標(biāo)、攻擊思路、攻擊步驟視角，構(gòu)建覆蓋整個攻擊鏈路的防護鏈路。

挑戰(zhàn)三：威脅發(fā)現(xiàn)能力不足

在傳統(tǒng)的安全防護建設(shè)中，很多產(chǎn)品形成的能力是單點式的，孤島式的安全能力建設(shè)模式缺乏對全局安全數(shù)據(jù)的可見性，高級威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實現(xiàn)；并且海量信息的實時關(guān)聯(lián)和分析對安全算力要求極高，由于不同安全產(chǎn)品之間缺少數(shù)據(jù)的關(guān)聯(lián)，產(chǎn)生了大量無效的告警信息，難以發(fā)現(xiàn)對組織真正造成的威脅，同時也降低了安全運維的效率。

欺騙防御作為主動防御體系的重要實現(xiàn)，具有高度開放性，能夠與現(xiàn)有的安全防護體系、安全運營平臺、威脅情報平臺進行對接，輸出網(wǎng)絡(luò)攻擊、攻擊者信息、安全事件過程等關(guān)鍵數(shù)據(jù)，為整體安全防護和安全運營工作提供精準(zhǔn)可靠的情報，為安全建設(shè)規(guī)劃和安全策略優(yōu)化等作決策支撐。

價值一、獲得更多的攻擊信息

在傳統(tǒng)的安全防護過程中，許多安全控制是“基于邊界”的，在網(wǎng)絡(luò)邊界部署安全產(chǎn)品阻止惡意的攻擊行為。但隨著現(xiàn)在混合云的使用，以及新冠疫情對于遠(yuǎn)程辦公的推動，組織的網(wǎng)絡(luò)架構(gòu)已經(jīng)改變，邊界也變得越來越模糊，這就讓以往基于邊界的防護越來越具有挑戰(zhàn)性。同時，許多低成本及自動化的攻擊工具不斷涌現(xiàn)，這讓攻擊者可以連續(xù)探測計算機系統(tǒng)，直到發(fā)現(xiàn)漏洞并繼續(xù)進行下一步滲透，而防御者不會得到任何攻擊目標(biāo)的信息。使用欺騙式技術(shù)可以提高對攻擊嘗試的理解，提高對攻擊威脅的感知。

價值二、增強系統(tǒng)的攻擊難度

在攻擊策略上，欺騙防御可以通過部署復(fù)雜的策略，如隱藏真實的資產(chǎn)，將真實資產(chǎn)偽裝成蜜罐，布置陷阱等，誘導(dǎo)攻擊者做出錯誤的行為、得出錯誤的結(jié)論，然后通過一些附加的防御措施保護目標(biāo)系統(tǒng)。這無疑增加了攻擊者獲取目標(biāo)系統(tǒng)信息的難度。

價值三、實現(xiàn)粘滯防御

欺騙式防御能夠給攻擊者提供虛假的欺騙性情報信息，影響攻擊者下一步攻擊策略的制定和執(zhí)行。同時，這也給防御者更多的時間來準(zhǔn)備和計劃下一步的防護決策和行動?；谄垓_的防御的主要優(yōu)勢是在這樣的比賽中為防御者提供了一個優(yōu)勢，即他們主動地給惡意敵手欺騙性的信息，更具體地說是循環(huán)的“觀察”和“調(diào)整”的階段。

價值四、增加對攻擊者的威懾

目前很多安全控制的重點在于防止非法嘗試訪問計算機系統(tǒng)相關(guān)的活動。結(jié)果，入侵者正在使用這個準(zhǔn)確的負(fù)反饋作為他們的嘗試是否已被檢測到的標(biāo)志。然后，他們會退出攻擊，使用其他更隱蔽的滲透方法。在計算機系統(tǒng)的設(shè)計中引入欺騙，這增加了惡意敵手考慮新方法的可能性，即他們是否已經(jīng)被檢測到還是被欺騙了。這阻止了一部分不想冒更多風(fēng)險的攻擊者。這種新的可能性可以阻止那些不愿意冒被欺騙的風(fēng)險的攻擊者做出進一步的分析。此外，這種技術(shù)使防御者有能力通過主動提供虛假信息，將攻擊者的滲透嘗試轉(zhuǎn)變成防御者自身的優(yōu)勢。

欺騙式防御的技術(shù)類型

蜜罐技術(shù)是欺騙式防御在網(wǎng)絡(luò)安全領(lǐng)域最早期的代表性應(yīng)用。但隨著技術(shù)的發(fā)展，欺騙式防御的內(nèi)涵也在不斷豐富，并已經(jīng)從最初的單點欺騙技術(shù)的應(yīng)用轉(zhuǎn)變?yōu)榉烙砟罴胺烙w系的建立。

從更宏觀的視角觀察欺騙式防御技術(shù)的發(fā)展，可以分為兩類：一類是戰(zhàn)術(shù)方面的演進，以蜜罐技術(shù)為核心，形成密網(wǎng)、蜜場、蜜標(biāo)、蜜餌與其他安全產(chǎn)品結(jié)合的欺騙防御平臺；另一類是戰(zhàn)略上的變化，以移動目標(biāo)防御、擬態(tài)防御為代表，從系統(tǒng)架構(gòu)等更深的層次，改變系統(tǒng)的特征，對現(xiàn)有防御思想進行顛覆性變革，實現(xiàn)原生安全。

蜜罐：蜜罐是一種軟件應(yīng)用系統(tǒng)，用來撐當(dāng)入侵誘餌，引誘黑客前來攻擊。攻擊者入侵后，通過監(jiān)測與分析，就可以知道他是如何入侵的，隨時了解針對組織服務(wù)器發(fā)動的最新的攻擊和漏洞。蜜罐有兩種主要的應(yīng)用類型：高交互性蜜罐主要通過設(shè)置一個全功能的應(yīng)用環(huán)境，引誘黑客攻擊；低交互性蜜罐則是模擬一個特定的生產(chǎn)環(huán)境，所以只需要導(dǎo)入有限的信息。

蜜網(wǎng)：蜜網(wǎng)是指由多個蜜罐組成的模擬網(wǎng)絡(luò)。當(dāng)多個蜜罐被網(wǎng)絡(luò)連接在一起時，就可模擬出一個大型的應(yīng)用網(wǎng)絡(luò)，并利用其中一部分主機吸引黑客入侵，通過監(jiān)測、觀察入侵過程，一方面調(diào)查入侵者來源，另一方面也可以考察安全措施是否有效。

蜜場：蜜場是蜜罐技術(shù)的延伸，它具有“邏輯上分散，物理上集中”的部署特點，通過使用重定向技術(shù)把多種惡意訪問集中到一起，進行統(tǒng)一管理，統(tǒng)一分析。

蜜標(biāo)：蜜標(biāo)是一種特殊的蜜罐誘餌，它不是任何的主機節(jié)點，而是一種帶標(biāo)記的數(shù)字實體。它被定義為不用于常規(guī)生產(chǎn)目的的任何存儲資源，例如電子郵件消息或數(shù)據(jù)庫記錄。

蜜餌：蜜餌一般是一個文件，工作原理和蜜罐類似，誘使攻擊者打開或下載。

欺騙防御平臺：欺騙防御是一個集中管理系統(tǒng)，用來創(chuàng)建、分發(fā)和管理整個欺騙環(huán)境以及各個欺騙元素，包括工作站、服務(wù)器、設(shè)備、應(yīng)用、服務(wù)、協(xié)議、數(shù)據(jù)和用戶等多種元素。

移動目標(biāo)防御（MTD）：移動目標(biāo)防御是美國國家科學(xué)技術(shù)委員會提出的基于動態(tài)化、隨機化、多樣化思想改造現(xiàn)有信息系統(tǒng)防御缺陷的理論和方法，其核心思想致力于構(gòu)建一種動態(tài)、異構(gòu)、不確定的網(wǎng)絡(luò)空間目標(biāo)環(huán)境來增加攻擊者的攻擊難度，以系統(tǒng)的隨機性和不可預(yù)測性來對抗網(wǎng)絡(luò)攻擊。

擬態(tài)防御：擬態(tài)防御是一種主動防御行為，也是我國研究團隊首先提出的主動防御理論，核心是實現(xiàn)一種基于網(wǎng)絡(luò)空間內(nèi)生安全機理的動態(tài)異構(gòu)冗余構(gòu)造，為應(yīng)對網(wǎng)絡(luò)空間中基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有創(chuàng)新意義的防御理論和方法。

目前，欺騙技術(shù)逐漸發(fā)展成為了安全運營體系中新一代檢測和響應(yīng)技術(shù)的重要組成部分，各大安全廠商都將欺騙技術(shù)與其他安全產(chǎn)品更緊密聯(lián)動，向著深度融合的趨勢發(fā)展。在體系化的欺騙式防御應(yīng)用方案中，應(yīng)具備多種重要能力，包含業(yè)務(wù)仿真、威脅感知、協(xié)同防御、攻擊行為分析和溯源等，核心技術(shù)包含網(wǎng)絡(luò)地址變換、端口重定向、多種模擬的能力。

欺騙防御重要能力及核心技術(shù)

欺騙式防御應(yīng)用場景

以欺騙式防御的目標(biāo)來劃分，主要的應(yīng)用場景有：

攻防對抗場景

現(xiàn)階段，欺騙防御重點應(yīng)用在攻防對抗中。在攻防演練場景中，防守方需要面對攻擊方持續(xù)多維的攻擊，通過構(gòu)建欺騙式防御，充分地了解攻擊方的整體情況，并根據(jù)攻擊特點建立完善的、能有效抵御攻擊威脅的安全防護體系，是支撐達成防守效果與取得更好成績的重要手段。

安全運營場景

從網(wǎng)絡(luò)安全防護角度來看，網(wǎng)絡(luò)欺騙防御技術(shù)作為一種主動式安全防御手段,可以有效對抗網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)欺騙防御技術(shù)在檢測、防護、響應(yīng)方面均能起到作用，能夠?qū)崿F(xiàn)發(fā)現(xiàn)攻擊、延緩攻擊以及抵御攻擊的作用。欺騙防御技術(shù)應(yīng)用在企業(yè)安全運營中使用，能夠發(fā)現(xiàn)、延緩和反制網(wǎng)絡(luò)攻擊。主要場景有：

溯源反制

溯源反制是欺騙式防御的重要應(yīng)用場景，因為部署在組織內(nèi)部的欺騙式防御產(chǎn)品，搜集到的攻擊信息，相對于其他安全產(chǎn)品，可以確定為真實的攻擊操作，同時在產(chǎn)品內(nèi)置的反制手段可以溯源到攻擊者信息，如電話號碼和賬戶信息等，相對于其他產(chǎn)品更具價值。

情報產(chǎn)生

此處的情報包含兩個層面，蜜罐部署方式和情報產(chǎn)生方式不同：一方面是組織根據(jù)自身情況部署蜜罐等產(chǎn)品，針對組織內(nèi)部的威脅信息，產(chǎn)生的內(nèi)部情報；另一方面則是情報廠商推出的免費蜜罐，如微步在線，用戶可免費部署其蜜罐，產(chǎn)生的情報信息匯總至安全廠商。

輔助進行威脅感知

部署在組織內(nèi)部的欺騙式防御產(chǎn)品，可以搜集針對組織的威脅信息，如病毒，或針對某些端口的攻擊操作，此處的威脅信息可匯總至態(tài)勢感知、SOC等產(chǎn)品豐富對威脅的感知能力。

科學(xué)研究場景

一些安全廠商的實驗室或網(wǎng)絡(luò)安全主管部門出于研究的目的，收集有關(guān)針對不同網(wǎng)絡(luò)的黑客社區(qū)的動機和策略的信息用于分析攻擊者的行為，通過一段時間的觀察和分析，可以大概感知近期網(wǎng)絡(luò)安全態(tài)勢的變化，研究組織面臨的威脅，并更好地防范這些威脅。

關(guān)于欺騙式防御技術(shù)應(yīng)用的更多需求分析及成功應(yīng)用案例，請關(guān)注安全牛即將發(fā)布的《欺騙式防御技術(shù)市場&應(yīng)用指南》報告。