導(dǎo)讀：

當(dāng)下，網(wǎng)絡(luò)安全的需求，早已不再滿足于合規(guī)與被動(dòng)防護(hù)，對(duì)攻防實(shí)戰(zhàn)能力提出了更高的標(biāo)準(zhǔn)。

近年來，安恒信息集中了公司各線產(chǎn)品的實(shí)戰(zhàn)“兵刃”以及多年來的攻防服務(wù)經(jīng)驗(yàn)，推出了基于欺騙誘捕技術(shù)、體系的“迷網(wǎng)”產(chǎn)品，以建立產(chǎn)品化的黑客誘捕技術(shù)體系，彌補(bǔ)傳統(tǒng)安全技術(shù)所存在的不足。

接下來，我們會(huì)用一個(gè)系列專輯來為大家講解這一新技術(shù)、新體系的能力范圍，以及實(shí)戰(zhàn)用途，能夠讓大家深入了解這一技術(shù)。

今天，我們主要探討第一個(gè)話題：欺騙誘捕技術(shù)介紹。（TIPS：本文并不是純正的標(biāo)準(zhǔn)體系描述、概念定義類文章，所有的表述僅限于筆者個(gè)人理解，僅供參考。）

?

一、當(dāng)前網(wǎng)絡(luò)安全技術(shù)解決的問題與弊端

?

在了解欺騙誘捕技術(shù)之前，我們先需要了解當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品解決問題的方式以及所存在的弊端。當(dāng)下，網(wǎng)絡(luò)安全的防護(hù)主要是由安全設(shè)備（或軟件）加人的方式實(shí)現(xiàn)的。我們從設(shè)備與人兩個(gè)角度來分析當(dāng)前網(wǎng)絡(luò)安全防護(hù)體系的局限性。

?

首先說設(shè)備，網(wǎng)絡(luò)安全設(shè)備種類非常多，其安全能力的構(gòu)建主要是基于已知策略、特征構(gòu)建的感知能力，根據(jù)已知的特征對(duì)攻擊行為進(jìn)行識(shí)別。但是這種方法對(duì)于有特定攻擊目的的攻擊者（比如APT組織）來講仍不足夠，0day是其難以防御的主要問題。另外，因業(yè)務(wù)系統(tǒng)開發(fā)時(shí)安全設(shè)計(jì)考慮不足，導(dǎo)致業(yè)務(wù)系統(tǒng)的運(yùn)行與防護(hù)策略沖突的情況也經(jīng)常存在，安全運(yùn)維人員往往最終采用的方法是關(guān)閉防護(hù)策略，保障業(yè)務(wù)穩(wěn)定運(yùn)行，類似的情況也是屢見不鮮了。

?

其次，我們?cè)購?strong>人的角度來分析。再嚴(yán)密的防護(hù)體系，一旦有了人的參與，弱點(diǎn)自然也就產(chǎn)生了。在有針對(duì)性的攻擊情形中（如APT攻擊），社工、欺騙是常用的技術(shù)手段，而目標(biāo)就是人，想要對(duì)此進(jìn)行完善則需要更專業(yè)的人、更嚴(yán)謹(jǐn)?shù)娜?。但在我國，網(wǎng)絡(luò)安全專業(yè)人才的缺口極大，企業(yè)想要培養(yǎng)、招聘專業(yè)人才也不是那么容易的事情。然而，哪怕找到了專業(yè)的人，就真的能夠完成這項(xiàng)重要的工作嗎？

?

在實(shí)際的攻防對(duì)抗中，其實(shí)存在多種不對(duì)稱現(xiàn)象：工作量不對(duì)稱、信息披露不對(duì)稱、成本支出不對(duì)稱。

?

1.工作量不對(duì)稱

攻擊方在攻防過程中，往往只需要找到一處弱點(diǎn)即可完成入侵，而防守方則需“千日防賊”加“7*24小時(shí)”，還需要進(jìn)行全面防護(hù)，不能存在攻擊者可接觸的漏洞，方能完成防護(hù)任務(wù)。而且對(duì)于防守方來說，每天運(yùn)維大量的安全設(shè)備、分析海量日志。

?

2.信息披露不對(duì)稱

對(duì)于攻擊方來說，目標(biāo)企業(yè)、可利用漏洞，甚至運(yùn)維人員都可以通過偵查提前可知；而對(duì)于防守方來說，攻擊者誰、在哪里顯然無法提前知曉的，甚至在攻擊者的刻意規(guī)避下，防護(hù)水平一般的防守方也不見得能夠發(fā)現(xiàn)攻擊者。

?

3.成本支出

成本支出很好理解，攻擊方往往只需要幾個(gè)VPN、肉雞等工具就可以開展攻擊活動(dòng)了，而且此類成本越來越低，而防守方需要建立符合等保二級(jí)或三級(jí)的防護(hù)體系，動(dòng)輒需要上百萬的防護(hù)硬件費(fèi)用。防護(hù)要求更高的用戶每年還需購買安全檢查、加固的安全服務(wù)，投資頗大。

?

安全廠商始終在尋找更好的辦法。網(wǎng)絡(luò)安全的防御體系拉大了防御縱深，思路上也逐漸從原來的純被動(dòng)式防御，逐漸轉(zhuǎn)變?yōu)橹鞅粍?dòng)相結(jié)合的防御體系。態(tài)勢(shì)感知、大數(shù)據(jù)分析技術(shù)是其典型實(shí)踐，而欺騙誘捕體系更是主動(dòng)式防御的核心代表，該技術(shù)的產(chǎn)生極大程度上提升了防守方在網(wǎng)絡(luò)攻防戰(zhàn)中的主動(dòng)權(quán)。

?

二、欺騙誘捕體系的提出與概念

?

那么什么是欺騙誘捕體系呢？根據(jù)Gartner給出的定義：欺騙技術(shù)是利用欺騙、誘捕或詭計(jì)手法來阻止或打亂攻擊者的認(rèn)知過程，并損壞攻擊者的自動(dòng)化工具。這個(gè)技術(shù)的根本目的就兩個(gè)，拖延其攻擊活動(dòng)、檢測出攻擊行為。

?

簡而言之，通過使用多種欺騙技術(shù)，配合真實(shí)網(wǎng)絡(luò)環(huán)境（包括設(shè)備、系統(tǒng)與網(wǎng)絡(luò)等）以及仿真數(shù)據(jù)，建立的貼近保護(hù)對(duì)象的主動(dòng)安全防御體系。

?

再說的通俗一點(diǎn)，《盜夢(mèng)空間》大家都看過，某種欺騙技術(shù)就相當(dāng)于某一層夢(mèng)境，近似于真實(shí)的場景，可以欺騙攻擊者的認(rèn)知。欺騙誘捕體系呢，則是把虛擬與現(xiàn)實(shí)相結(jié)合，把多種欺騙技術(shù)相結(jié)合，構(gòu)建的多層空間，你以為你已經(jīng)逃出了，其實(shí)還在夢(mèng)中，講究的就是環(huán)環(huán)相扣，劇情引人入勝。

?

自2015年起，Gartner連續(xù)幾年都將其列為“最具潛力的安全技術(shù)”，在2019年將其列為“最佳安全技術(shù)”。

三、欺騙誘捕體系的特點(diǎn)

?

首先，欺騙技術(shù)的產(chǎn)生并不是用來替代其他威脅檢測解決方案的，由于其實(shí)現(xiàn)方式并不跟目前的防御、檢測體系沖突，反而是傳統(tǒng)安全解決方案的重要補(bǔ)充。

?

其次，欺騙技術(shù)的主要作用是欺騙攻擊者，舉一個(gè)最典型的欺騙技術(shù)實(shí)現(xiàn)方案——蜜罐，該技術(shù)往往是通過虛擬化技術(shù)，將硬件資源轉(zhuǎn)變?yōu)?strong>虛擬主機(jī)，并在其上搭建Web應(yīng)用、服務(wù)、數(shù)據(jù)庫，甚至偽造終端。但是由于其偽造的這些資源并不能提供真正的服務(wù)，也不會(huì)開放給正常的資源使用者，所以對(duì)于正常人來說，是不會(huì)訪問到的。所以其另一個(gè)特性就是誤報(bào)極低（合理的部署方式，可以讓其理論值為0）。

第三，在部署了欺騙技術(shù)的環(huán)境中，攻擊者進(jìn)行攻擊時(shí)想要不被發(fā)現(xiàn)，往往需要更加小心、謹(jǐn)慎，尤其是在實(shí)戰(zhàn)演練當(dāng)中，這無疑平衡了攻防關(guān)系，一定程度上轉(zhuǎn)變了被動(dòng)防守的局面。

?

最后，也是非常重要的一點(diǎn)了，就是欺騙誘捕體系由于是專門為欺騙攻擊者產(chǎn)生的，內(nèi)部部署了很多具備反制能力的技術(shù)，比如蜜標(biāo)、溯源腳本等，能夠采集攻擊者的設(shè)備指紋與社交身份，甚至獲取攻擊者主機(jī)權(quán)限。所以也是真正意義上具備了一定的追蹤溯源反制能力，一方面能夠更高質(zhì)量的輸出攻擊者畫像作為威脅情報(bào)，另一方面轉(zhuǎn)守為攻，實(shí)現(xiàn)攻防博弈能力。這也是近年來蜜罐產(chǎn)品熱議的原因。

?

四、欺騙誘捕體系由哪些技術(shù)構(gòu)成

?

蜜罐、蜜餌、蜜標(biāo)、蜜網(wǎng)、蜜網(wǎng)等。后面的文章我們會(huì)繼續(xù)梳理這些概念，這次就不再贅述了。

?

五、技術(shù)的未來展望

?

未來欺騙誘捕技術(shù)在中國的應(yīng)用肯定是越來越廣泛的。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展以及國際環(huán)境的變化，網(wǎng)絡(luò)安全被推上了風(fēng)口浪尖，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》的要求，網(wǎng)絡(luò)安全工作者也不再滿足于合規(guī)建設(shè)，網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力成為必備，每年公安部牽頭組織的網(wǎng)絡(luò)實(shí)戰(zhàn)演練，也極大的促進(jìn)了各級(jí)機(jī)關(guān)、單位、企業(yè)對(duì)于網(wǎng)絡(luò)安全的重視。

?

而欺騙誘捕技術(shù)在近兩年的火熱，也恰恰反映了其在攻防實(shí)戰(zhàn)當(dāng)中的所起到的積極作用。該技術(shù)未來的發(fā)展與應(yīng)用，也必然會(huì)朝著更具實(shí)戰(zhàn)能力、更高質(zhì)量情報(bào)輸出的方向發(fā)展：復(fù)雜的自動(dòng)化網(wǎng)絡(luò)編排、更有效的溯源能力、高質(zhì)量仿真內(nèi)容、更廣闊的仿真場景（工控、物聯(lián)網(wǎng)、5G等場景）、更好的隱蔽性與自我保護(hù)以及與傳統(tǒng)安全防護(hù)體系的積極聯(lián)動(dòng)，會(huì)是該技術(shù)的主要延伸方向。

下期預(yù)告

《“迷網(wǎng)”系列科普（二）：欺騙誘捕技術(shù)相關(guān)技術(shù)概念解讀》