一篇文章聊聊“欺骗技术”四大特性

“欺骗技术”是指利用欺骗、诱捕或诡计手法来干扰攻击者的认知、攻击过程，以达到拖延其攻击活动或者检测出其攻击手段的技术。欺骗防御是利用“欺骗技术”以达到防御目的一种应用。

国内对“欺骗技术”的应用，基本都容纳在一个产品里，一般简称“蜜罐”（当然蜜罐也有更明晰、确切的技术指向），往往其中包含了蜜罐、蜜饵、蜜标、蜜网、网络重定向、面包屑等等多种用于欺骗的技术组合。通常，我们理解这就是欺骗防御的实践应用。

“欺骗防御”后面增加“体系”两个字以后，要如何解释呢？还只是欺骗技术的排列组合么？编者认为不是！到底什么是欺骗防御体系，为什么这项技术会被认为是对抗APT组织攻击的有利手段？

在过去的安全防护体系当中，已经有了足够多的“孤岛”，所以这两年态势感知、SOAR、大数据智能分析技术大行其道。这时我们再增加一个“欺骗技术”的硬件盒子，起到欺骗作用也只是工具般的聊胜于无（这也是目前市场上对于这款产品的普遍认知，攻防演练时拿来用用，结束后束之高阁，归根结底不是客户有问题，而是产品定位有问题）。

欺骗防御体系到底如何建设？

编者认为，绝不是基于这项理论，将欺骗技术简简单单的排列组合。而是应该通过“欺骗技术”在现有防御体系当中的引用、结合，极大程度上催化防御能力，进而形成的高自动化、高联动体系。

这里我们不再解释技术本身，只说一说这项技术的四个特性：

我们都知道，无论蜜罐还是蜜饵，或者散布的面包屑，都是针对攻击者定制的陷阱，其本身不是计算资源，放置的位置一般也不是内部员工、系统用户应该使用的位置，往往只有在攻击场景中才会被利用，所以欺骗技术的特性之一就是无误报。这对于态势感知、SOAR等需要实现自动处置的平台产品简直就是福音。

基于这个特性对于所有防御性产品的帮助具备同等效果，比如防火墙、终端防护产品的IP阻断。

本质上来讲，欺骗产品其实并不需要“规则库”这种东西，更需要的是“高甜度”的仿真场景，我们只需要把攻击者踩进来执行的动作记录下来就足以说明、解决问题了。而这恰恰是过去APT攻击识别的难点“基于现有规则对攻击进行匹配，无法解决未知攻击的识别问题”。

欺骗技术通过仿真环境、数据的搭建诱导攻击者对其进行攻击、访问，而在这个过程当中，高交互的欺骗技术会给予攻击者一定的入侵入口，让其能够获得一定的操作权限，这时攻击者在其上的活动动作，将被监控手段进行采集。能够获取到的行为数据是非常全量的，包括原始流量PCAP包、Web访问记录、系统命令执行、数据库操作指令、攻击过程回放、落盘文件、端口扫描记录、暴力破解行为及认证凭证、蜜饵触动信息、攻击者指纹信息等10余种。运营人员可以通过这些数据更准确的还原其攻击行为，并判断攻击意图，为处置、防范提供决策上的帮助，这一点也是传统防御体系所不具备的能力。

在过去，建设态势感知、大数据平台，最大的几个工作难点在于：1、情报不够准确，依据不准确的数据进行分析、处置往往会极大浪费人力资源；2、数据维度不够丰富，往往要么早早阻断掉了，要么采集困难、资源消耗大，攻击意图就无法研判了。而现在欺骗技术的引用，这几个问题刚好都解决了。

对于防御而言，始终没有万全的防御手段。防御的结果始终处于动态变化当中。一个全新的0day漏洞、攻击者通过社工手段找到的入侵跳板、防守方的一次疏漏，都可能导致原本完善的防御体系出现薄弱环节，致使防御失败。

在这时，欺骗防御中的欺骗技术蜜罐、蜜饵则可以发挥其作用：吸引攻击者，拖延时间。蜜罐往往仿真客户环境，建立仿真业务系统、PC机、数据库等，诱导攻击者对其实施攻击动作，而蜜饵则通过仿造具有高吸引力的数据内容，吸引攻击者获得。通过这种吸引攻击的作用，降低攻击者对真实目标进行入侵的概率，并拖延其攻击时间，给防守方提供更大的缓冲时间，为防御决战创造条件。

讲到这，大家是不是对欺骗技术的特性有一个大致的印象了。简而言之，欺骗技术对于现有的防护体系而言，可以是“联动的催化剂，决策的发动机”（本质上并不起到防御的作用，但是因为其技术特性，可以增强防御联动力，促进自动化决策的产生）。

具象到产品联动关系当中:

那您的防御体系里是否缺少一个这样的“发动机”呢？

最后打个广告，安恒迷网欺骗防御系统，已实现上述所有功能。迷网，帮助您的安全运营更有效果。