提升网络空间攻防硬实力：靶场欺骗式防御技术

随着人工智能、区块链、云计算、大数据、边缘计算等信息化技术的持续发展，带动了全球产业形态与业务模式的创新与变革，衍生出诸如智慧城市、工业互联网、车联网、云游戏、云VR/AR等新的业务生态。5G、大数据、人工智能、云计算与边缘计算等技术的深度融合，将推动云网融合v1.0向崭新的2.0时代演进，算力网络在未来将带来更加智慧化的业务与应用模式的创新。

新技术为新业务带来效率提升和价值赋能的同时，必然会带来更加复杂、多变、未知的网络安全问题，某种程度上制约着企业数字化业务的可持续发展。业务边界的泛化造成了安全边界的不确定性，传统的企业安全体系逐渐从边界安全的“城墙式”被动防御向智能自适应的主动、动态式防御模式转变，企业安全建设思路已经从合规导向往合规与能力导向双重驱动力的方向发展。如何构建适应企业自身业务发展的主动防御体系与安全能力，将是企业在业务持续性安全运营过程中要思考的战略性问题。

从2015年起，Gartner就连续四年将攻击欺骗（Deception）技术列为最具有潜力的新型安全技术手段。Gartner给出的基本定义是通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的认知过程，从而破坏攻击者的自动化工具，拖延攻击者的活动或者检测出攻击。通过在企业防火墙后使用欺骗技术，企业能够更好地检测出已经突破防御的网络攻击者，可以对所检测到的事件高度信任。欺骗技术的实施现在已经覆盖堆栈中的多个层，包括端点、网络、应用和数据。

全球知名的分析公司认为欺骗防御技术作为高价值方向，正在为企业传统的威胁检测方案提供行之有效的补充。在Gartner的报告中，作者Augusto Barros和Anna Belak发表了一系列关键发现和建议。企业应该主动积极地检测和缓解多种类型的网络威胁与风险，包括0day漏洞利用、APT攻击、勒索软件、横向移动攻击等。简要来讲，欺骗防御需要注意：面对更加复杂、技术手段高明的攻击者来说，欺骗技术与手段的可信度、仿真度很重要。正如Gartner的建议，测试威胁检测方案能力与有效性的最佳方法是通过一个友好的游戏来捕捉其攻击者。

典型的欺骗式防御产品包括蜜罐和云蜜网，是基于欺骗技术而用于企业内网威胁入侵检测与分析的系统，可以辅助企业运维人员能够及时发现未知异常行为并及时推动应急响应流程，与信息化系统中原有的安全能力与机制共建企业纵深防御体系。主要的应用包括终端安全防护、未知威胁检测发现、攻击取证、横向移动检测和威胁情报分析等内容。

网络空间安全的本质是对抗，对抗的本质是网络攻防两端的博弈。网络靶场通过构建大规模虚实异构融合的IT仿真环境，并融合大数据分析、安全知识图谱、机器学习、对抗模型等技术与算法，为攻防实战演练、安全效能评估、测试验证提供了有效的技术平台支撑。近年来，网络靶场以其逼真的环境仿真、技能培训、攻防演训、效能测试评估的安全服务能力，得到了越来越多市场和行业客户的认可。

网络靶场作为高逼真场景构建和攻防对抗技术研究的载体，在欺骗防御方面，可以围绕多源异构服务仿真、攻击捕获、威胁处理、情报分析等内容进行研究与应用。通过隐匿企业真实业务资产，延缓攻击进度，诱导和记录攻击行为，以低误报率进行预警通报，在对内网未知和高级威胁感知、捕获、分析、溯源等方面有其独特的技术优势。将企业内网威胁诱导至高仿真度的网络靶场环境，从而延缓或制止真正的网络攻击行为。

安全防御方通过靶场设计和部署欺骗式的业务“陷阱”，让网络攻击者相信业务系统中存在有价值的资源和可利用的安全漏洞，并将网络攻击者牵引到这些错误的业务资源，让攻击者在仿真业务系统中主动暴露网络攻击TTP，进而保护真正有价值的攻击目标。安全防御方通过获取有价值的攻击者画像信息，能够有针对性地修复安全漏洞，通过调整安全防护手段和安全策略，进一步优化整体安全防护能力，为信息系统内部风险管控提供持续的安全治理决策支撑，

网络靶场的欺骗防御能力在业务仿真、威胁感知预警、攻击捕获、攻击分析与溯源取证等方面，为企业安全运营团队提供了较为全面的威胁狩猎与分析研判赋能，可以作为企业持续性业务安全保障的主动防御手段之一。

网络靶场其基础核心价值在于具有高逼真的场景仿真能力。在场景构建时，通常会采用软件定义网络、云计算、虚拟化、虚实结合、P2V等网络仿真与虚拟化迁移技术。因此，从资产仿真层面来看，基于靶场的网络、资产灵活编排与弹性虚拟化部署能力架构，在企业侧构建威胁诱捕仿真业务环境，更加适合对攻击行为的动态全息诱捕与威胁研判。

企业可以基于靶场平台中构建虚拟化安全能力资源池，利用虚拟化安全组件中的威胁入侵实时监测与深度检测能力，对已知和未知威胁以及风险进行通报预警。在攻击者对真实资产进行攻击渗透前，及时调整和展开企业信息系统的安全策略与漏洞修复工作。

靶场欺骗防御能力的体现，重点在于能够以贴近企业真实业务威胁诱捕场景来全息狩猎攻击者行为，利用其虚拟安全探针对异常流量、异常行为、日志和告警数据进行全量采集，并结合人工智能算法模型、大数据分析技术与智能关联推理引擎对结构化、半结构化和非结构化数据进行深入分析与处理，抽取关键威胁行为与攻击痕迹数据，借鉴安全知识图谱、杀伤链或ATT&CK矩阵模型，勾勒出攻击者画像，让企业内网威胁可视化。

往往攻击者在突破边界后，会通过失陷主机对内网资产进行横向移动攻击或跳板攻击。企业安全团队根据威胁可视化的研判分析，研究攻击者在内网的横向攻击手法与战术路径，从而可以根据靶场设置的威胁诱捕陷阱获取的经验，及时调整和加强对企业信息资产的风险处置与应急响应工作。

靶场的带内、带外数据采集能力与场景数据存储安全机制，可以有效保障在靶场内产生的所有数据的完整性。靶场数据为企业安全团队对开展攻击溯源取证、攻击者指纹信息定位等工作，提供了可靠的分析数据。经过对数据的分析和研判，企业安全团队可以总结和提炼出有效的攻击止损与反制策略，提前遏制攻击者的黑客行为。

目前，从网络靶场的市场需求与应用来看，主要还是以为行业用户提供业务仿真测试、技能培训、攻防演练为主要方向，其威胁诱捕的能力还很少在企业中得到应用。随着网络安全市场需求的不断发展，靶场欺骗式防御能力的应用价值，会得到更多行业和企业用户的认可，相信网络靶场更多的应用价值也会被挖掘出来。