《孫子兵法》有云：兵者，詭道也！

　　經過2000多年的發(fā)展，欺騙活動已廣泛存在于人類生活的各個方面，而網絡空間更是欺騙技術大量應用的新興領域之一。以社會工程學為代表的欺騙性攻擊活動屢屢得手，混淆、隱匿、偽造、釣魚等攻擊手段層出不窮。

　　欺騙本身是中性的，是善是惡，取決于使用這項技能的目的。網絡安全的本質是攻與防的對抗，欺騙技術同樣可以被應用到網絡安全防御中，實現(xiàn)對未知威脅的主動防御。

　　欺騙式防御的技術理念

　　在2015年，國際知名研究機構Gartner提出攻擊欺騙（Deception）的技術理念，并將其列為最具有潛力的新型安全技術手段。在Gartner的定義中，欺騙防御技術是指通過使用欺騙或者誘騙手段來阻止網絡攻擊活動的應對過程，破壞攻擊者可能使用的自動化工具，拖延攻擊者的入侵活動，并有效檢測識別出攻擊行為。

　　基于以上定義，我們可以將欺騙式防御技術理解為，通過刻意準備的誘騙性環(huán)境或行為，誤導攻擊者的分析判斷和攻擊活動，已達到幫助網絡安全防護目標實現(xiàn)的應用效果?？偨Y分析欺騙式防御技術的應用內涵，包含以下幾點：

　　欺騙式防御以安全防護為目的，保護組織的網絡、系統(tǒng)、應用等等資產；

　　欺騙式防御通過暴露事實、隱藏事實、暴露謊言、隱藏謊言等戰(zhàn)略戰(zhàn)術實現(xiàn)獲取攻擊者信息、增加攻擊難度、粘滯防御等目標；

　　欺騙式防御屬于主動防御的一部分，可以利用欺騙防御技術，構建誘捕、監(jiān)控、溯源體系。

　　欺騙式防御應用價值

　　一直以來，這種對抗態(tài)勢卻呈現(xiàn)出一種并不對等的局面：攻擊者只要找到一個脆弱點就可以成功實施攻擊活動，而防御者卻要疲于應對不計其數(shù)的安全漏洞和尚未識別的潛在威脅。

　　挑戰(zhàn)一：自動化攻擊大量出現(xiàn)

　　隨著人工智能技術應用的快速發(fā)展，新型高級網絡攻擊手段也變得越來越智能化、自動化、常態(tài)化，高級Bots機器人攻擊為網絡安全行業(yè)帶來了更為嚴峻的挑戰(zhàn)。欺騙防御能夠覆蓋網絡邊界、網絡流量、主機層、應用層、數(shù)據(jù)層等各維度，在網絡環(huán)境上，對辦公網、生產網、測試網等根據(jù)環(huán)境和業(yè)務特性進行不同方式的覆蓋，構建欺騙防御體系化的感知能力，發(fā)現(xiàn)各類自動化掃描，機器人攻擊，能夠滿足低成本、大批量的部署要求。

　　挑戰(zhàn)二：傳統(tǒng)攻擊轉變?yōu)楦呒壨{

　　目前，APT攻擊已呈高發(fā)趨勢，無論是攻擊組織數(shù)量，還是攻擊頻率都較以往有較大增加。APT攻擊也稱為定向威脅攻擊，指某組織對特定對象展開持續(xù)針對性的攻擊活動。相較于傳統(tǒng)攻擊，APT攻擊具有隱蔽性、針對性和持續(xù)性等攻擊特征。無論APT攻擊多么隱蔽，但最終的目的仍然是目標系統(tǒng)，欺騙防御產品區(qū)別于傳統(tǒng)安全產品的安全檢測思路，以攻擊者的目標、攻擊思路、攻擊步驟視角，構建覆蓋整個攻擊鏈路的防護鏈路。

　　挑戰(zhàn)三：威脅發(fā)現(xiàn)能力不足

　　在傳統(tǒng)的安全防護建設中，很多產品形成的能力是單點式的，孤島式的安全能力建設模式缺乏對全局安全數(shù)據(jù)的可見性，高級威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實現(xiàn)；并且海量信息的實時關聯(lián)和分析對安全算力要求極高，由于不同安全產品之間缺少數(shù)據(jù)的關聯(lián)，產生了大量無效的告警信息，難以發(fā)現(xiàn)對組織真正造成的威脅，同時也降低了安全運維的效率。

　　欺騙防御作為主動防御體系的重要實現(xiàn)，具有高度開放性，能夠與現(xiàn)有的安全防護體系、安全運營平臺、威脅情報平臺進行對接，輸出網絡攻擊、攻擊者信息、安全事件過程等關鍵數(shù)據(jù)，為整體安全防護和安全運營工作提供精準可靠的情報，為安全建設規(guī)劃和安全策略優(yōu)化等作決策支撐。

　　價值一、獲得更多的攻擊信息

　　在傳統(tǒng)的安全防護過程中，許多安全控制是“基于邊界”的，在網絡邊界部署安全產品阻止惡意的攻擊行為。但隨著現(xiàn)在混合云的使用，以及新冠疫情對于遠程辦公的推動，組織的網絡架構已經改變，邊界也變得越來越模糊，這就讓以往基于邊界的防護越來越具有挑戰(zhàn)性。同時，許多低成本及自動化的攻擊工具不斷涌現(xiàn)，這讓攻擊者可以連續(xù)探測計算機系統(tǒng)，直到發(fā)現(xiàn)漏洞并繼續(xù)進行下一步滲透，而防御者不會得到任何攻擊目標的信息。使用欺騙式技術可以提高對攻擊嘗試的理解，提高對攻擊威脅的感知。

　　價值二、增強系統(tǒng)的攻擊難度

　　在攻擊策略上，欺騙防御可以通過部署復雜的策略，如隱藏真實的資產，將真實資產偽裝成蜜罐，布置陷阱等，誘導攻擊者做出錯誤的行為、得出錯誤的結論，然后通過一些附加的防御措施保護目標系統(tǒng)。這無疑增加了攻擊者獲取目標系統(tǒng)信息的難度。

　　價值三、實現(xiàn)粘滯防御

　　欺騙式防御能夠給攻擊者提供虛假的欺騙性情報信息，影響攻擊者下一步攻擊策略的制定和執(zhí)行。同時，這也給防御者更多的時間來準備和計劃下一步的防護決策和行動?；谄垓_的防御的主要優(yōu)勢是在這樣的比賽中為防御者提供了一個優(yōu)勢，即他們主動地給惡意敵手欺騙性的信息，更具體地說是循環(huán)的“觀察”和“調整”的階段。

　　價值四、增加對攻擊者的威懾

　　目前很多安全控制的重點在于防止非法嘗試訪問計算機系統(tǒng)相關的活動。結果，入侵者正在使用這個準確的負反饋作為他們的嘗試是否已被檢測到的標志。然后，他們會退出攻擊，使用其他更隱蔽的滲透方法。在計算機系統(tǒng)的設計中引入欺騙，這增加了惡意敵手考慮新方法的可能性，即他們是否已經被檢測到還是被欺騙了。這阻止了一部分不想冒更多風險的攻擊者。這種新的可能性可以阻止那些不愿意冒被欺騙的風險的攻擊者做出進一步的分析。此外，這種技術使防御者有能力通過主動提供虛假信息，將攻擊者的滲透嘗試轉變成防御者自身的優(yōu)勢。

　　欺騙式防御的技術類型

　　蜜罐技術是欺騙式防御在網絡安全領域最早期的代表性應用。但隨著技術的發(fā)展，欺騙式防御的內涵也在不斷豐富，并已經從最初的單點欺騙技術的應用轉變?yōu)榉烙砟罴胺烙w系的建立。

　　從更宏觀的視角觀察欺騙式防御技術的發(fā)展，可以分為兩類：一類是戰(zhàn)術方面的演進，以蜜罐技術為核心，形成密網、蜜場、蜜標、蜜餌與其他安全產品結合的欺騙防御平臺；另一類是戰(zhàn)略上的變化，以移動目標防御、擬態(tài)防御為代表，從系統(tǒng)架構等更深的層次，改變系統(tǒng)的特征，對現(xiàn)有防御思想進行顛覆性變革，實現(xiàn)原生安全。

　　蜜罐：蜜罐是一種軟件應用系統(tǒng)，用來撐當入侵誘餌，引誘黑客前來攻擊。攻擊者入侵后，通過監(jiān)測與分析，就可以知道他是如何入侵的，隨時了解針對組織服務器發(fā)動的最新的攻擊和漏洞。蜜罐有兩種主要的應用類型：高交互性蜜罐主要通過設置一個全功能的應用環(huán)境，引誘黑客攻擊；低交互性蜜罐則是模擬一個特定的生產環(huán)境，所以只需要導入有限的信息。

　　蜜網：蜜網是指由多個蜜罐組成的模擬網絡。當多個蜜罐被網絡連接在一起時，就可模擬出一個大型的應用網絡，并利用其中一部分主機吸引黑客入侵，通過監(jiān)測、觀察入侵過程，一方面調查入侵者來源，另一方面也可以考察安全措施是否有效。

　　蜜場：蜜場是蜜罐技術的延伸，它具有“邏輯上分散，物理上集中”的部署特點，通過使用重定向技術把多種惡意訪問集中到一起，進行統(tǒng)一管理，統(tǒng)一分析。

　　蜜標：蜜標是一種特殊的蜜罐誘餌，它不是任何的主機節(jié)點，而是一種帶標記的數(shù)字實體。它被定義為不用于常規(guī)生產目的的任何存儲資源，例如電子郵件消息或數(shù)據(jù)庫記錄。

　　蜜餌：蜜餌一般是一個文件，工作原理和蜜罐類似，誘使攻擊者打開或下載。

　　欺騙防御平臺：欺騙防御是一個集中管理系統(tǒng)，用來創(chuàng)建、分發(fā)和管理整個欺騙環(huán)境以及各個欺騙元素，包括工作站、服務器、設備、應用、服務、協(xié)議、數(shù)據(jù)和用戶等多種元素。

　　移動目標防御（MTD）：移動目標防御是美國國家科學技術委員會提出的基于動態(tài)化、隨機化、多樣化思想改造現(xiàn)有信息系統(tǒng)防御缺陷的理論和方法，其核心思想致力于構建一種動態(tài)、異構、不確定的網絡空間目標環(huán)境來增加攻擊者的攻擊難度，以系統(tǒng)的隨機性和不可預測性來對抗網絡攻擊。

　　擬態(tài)防御：擬態(tài)防御是一種主動防御行為，也是我國研究團隊首先提出的主動防御理論，核心是實現(xiàn)一種基于網絡空間內生安全機理的動態(tài)異構冗余構造，為應對網絡空間中基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有創(chuàng)新意義的防御理論和方法。

　　目前，欺騙技術逐漸發(fā)展成為了安全運營體系中新一代檢測和響應技術的重要組成部分，各大安全廠商都將欺騙技術與其他安全產品更緊密聯(lián)動，向著深度融合的趨勢發(fā)展。在體系化的欺騙式防御應用方案中，應具備多種重要能力，包含業(yè)務仿真、威脅感知、協(xié)同防御、攻擊行為分析和溯源等，核心技術包含網絡地址變換、端口重定向、多種模擬的能力。

　　欺騙防御重要能力及核心技術

　　欺騙式防御應用場景

　　以欺騙式防御的目標來劃分，主要的應用場景有：

　　攻防對抗場景

　　現(xiàn)階段，欺騙防御重點應用在攻防對抗中。在攻防演練場景中，防守方需要面對攻擊方持續(xù)多維的攻擊，通過構建欺騙式防御，充分地了解攻擊方的整體情況，并根據(jù)攻擊特點建立完善的、能有效抵御攻擊威脅的安全防護體系，是支撐達成防守效果與取得更好成績的重要手段。

　　安全運營場景

　　從網絡安全防護角度來看，網絡欺騙防御技術作為一種主動式安全防御手段，可以有效對抗網絡攻擊。網絡欺騙防御技術在檢測、防護、響應方面均能起到作用，能夠實現(xiàn)發(fā)現(xiàn)攻擊、延緩攻擊以及抵御攻擊的作用。欺騙防御技術應用在企業(yè)安全運營中使用，能夠發(fā)現(xiàn)、延緩和反制網絡攻擊。主要場景有：

　　溯源反制

　　溯源反制是欺騙式防御的重要應用場景，因為部署在組織內部的欺騙式防御產品，搜集到的攻擊信息，相對于其他安全產品，可以確定為真實的攻擊操作，同時在產品內置的反制手段可以溯源到攻擊者信息，如電話號碼和賬戶信息等，相對于其他產品更具價值。

　　情報產生

　　此處的情報包含兩個層面，蜜罐部署方式和情報產生方式不同：一方面是組織根據(jù)自身情況部署蜜罐等產品，針對組織內部的威脅信息，產生的內部情報；另一方面則是情報廠商推出的免費蜜罐，如微步在線，用戶可免費部署其蜜罐，產生的情報信息匯總至安全廠商。

　　輔助進行威脅感知

　　部署在組織內部的欺騙式防御產品，可以搜集針對組織的威脅信息，如病毒，或針對某些端口的攻擊操作，此處的威脅信息可匯總至態(tài)勢感知、SOC等產品豐富對威脅的感知能力。

　　科學研究場景

　　一些安全廠商的實驗室或網絡安全主管部門出于研究的目的，收集有關針對不同網絡的黑客社區(qū)的動機和策略的信息用于分析攻擊者的行為，通過一段時間的觀察和分析，可以大概感知近期網絡安全態(tài)勢的變化，研究組織面臨的威脅，并更好地防范這些威脅。

更多信息可以來這里獲取==>>電子技術應用-AET<<