《孫子兵法》有云：兵者，詭道也！

　　經過2000多年的發展，欺騙活動已廣泛存在于人類生活的各個方面，而網絡空間更是欺騙技術大量應用的新興領域之一。以社會工程學為代表的欺騙性攻擊活動屢屢得手，混淆、隱匿、偽造、釣魚等攻擊手段層出不窮。

　　欺騙本身是中性的，是善是惡，取決于使用這項技能的目的。網絡安全的本質是攻與防的對抗，欺騙技術同樣可以被應用到網絡安全防御中，實現對未知威脅的主動防御。

　　欺騙式防御的技術理念

　　在2015年，國際知名研究機構Gartner提出攻擊欺騙（Deception）的技術理念，并將其列為最具有潛力的新型安全技術手段。在Gartner的定義中，欺騙防御技術是指通過使用欺騙或者誘騙手段來阻止網絡攻擊活動的應對過程，破壞攻擊者可能使用的自動化工具，拖延攻擊者的入侵活動，并有效檢測識別出攻擊行為。

　　基于以上定義，我們可以將欺騙式防御技術理解為，通過刻意準備的誘騙性環境或行為，誤導攻擊者的分析判斷和攻擊活動，已達到幫助網絡安全防護目標實現的應用效果?？偨Y分析欺騙式防御技術的應用內涵，包含以下幾點：

　　欺騙式防御以安全防護為目的，保護組織的網絡、系統、應用等等資產；

　　欺騙式防御通過暴露事實、隱藏事實、暴露謊言、隱藏謊言等戰略戰術實現獲取攻擊者信息、增加攻擊難度、粘滯防御等目標；

　　欺騙式防御屬于主動防御的一部分，可以利用欺騙防御技術，構建誘捕、監控、溯源體系。

　　欺騙式防御應用價值

　　一直以來，這種對抗態勢卻呈現出一種并不對等的局面：攻擊者只要找到一個脆弱點就可以成功實施攻擊活動，而防御者卻要疲于應對不計其數的安全漏洞和尚未識別的潛在威脅。

　　挑戰一：自動化攻擊大量出現

　　隨著人工智能技術應用的快速發展，新型高級網絡攻擊手段也變得越來越智能化、自動化、常態化，高級Bots機器人攻擊為網絡安全行業帶來了更為嚴峻的挑戰。欺騙防御能夠覆蓋網絡邊界、網絡流量、主機層、應用層、數據層等各維度，在網絡環境上，對辦公網、生產網、測試網等根據環境和業務特性進行不同方式的覆蓋，構建欺騙防御體系化的感知能力，發現各類自動化掃描，機器人攻擊，能夠滿足低成本、大批量的部署要求。

　　挑戰二：傳統攻擊轉變為高級威脅

　　目前，APT攻擊已呈高發趨勢，無論是攻擊組織數量，還是攻擊頻率都較以往有較大增加。APT攻擊也稱為定向威脅攻擊，指某組織對特定對象展開持續針對性的攻擊活動。相較于傳統攻擊，APT攻擊具有隱蔽性、針對性和持續性等攻擊特征。無論APT攻擊多么隱蔽，但最終的目的仍然是目標系統，欺騙防御產品區別于傳統安全產品的安全檢測思路，以攻擊者的目標、攻擊思路、攻擊步驟視角，構建覆蓋整個攻擊鏈路的防護鏈路。

　　挑戰三：威脅發現能力不足

　　在傳統的安全防護建設中，很多產品形成的能力是單點式的，孤島式的安全能力建設模式缺乏對全局安全數據的可見性，高級威脅的發現越來越難以通過單一的安全能力來實現；并且海量信息的實時關聯和分析對安全算力要求極高，由于不同安全產品之間缺少數據的關聯，產生了大量無效的告警信息，難以發現對組織真正造成的威脅，同時也降低了安全運維的效率。

　　欺騙防御作為主動防御體系的重要實現，具有高度開放性，能夠與現有的安全防護體系、安全運營平臺、威脅情報平臺進行對接，輸出網絡攻擊、攻擊者信息、安全事件過程等關鍵數據，為整體安全防護和安全運營工作提供精準可靠的情報，為安全建設規劃和安全策略優化等作決策支撐。

　　價值一、獲得更多的攻擊信息

　　在傳統的安全防護過程中，許多安全控制是“基于邊界”的，在網絡邊界部署安全產品阻止惡意的攻擊行為。但隨著現在混合云的使用，以及新冠疫情對于遠程辦公的推動，組織的網絡架構已經改變，邊界也變得越來越模糊，這就讓以往基于邊界的防護越來越具有挑戰性。同時，許多低成本及自動化的攻擊工具不斷涌現，這讓攻擊者可以連續探測計算機系統，直到發現漏洞并繼續進行下一步滲透，而防御者不會得到任何攻擊目標的信息。使用欺騙式技術可以提高對攻擊嘗試的理解，提高對攻擊威脅的感知。

　　價值二、增強系統的攻擊難度

　　在攻擊策略上，欺騙防御可以通過部署復雜的策略，如隱藏真實的資產，將真實資產偽裝成蜜罐，布置陷阱等，誘導攻擊者做出錯誤的行為、得出錯誤的結論，然后通過一些附加的防御措施保護目標系統。這無疑增加了攻擊者獲取目標系統信息的難度。

　　價值三、實現粘滯防御

　　欺騙式防御能夠給攻擊者提供虛假的欺騙性情報信息，影響攻擊者下一步攻擊策略的制定和執行。同時，這也給防御者更多的時間來準備和計劃下一步的防護決策和行動?；谄垓_的防御的主要優勢是在這樣的比賽中為防御者提供了一個優勢，即他們主動地給惡意敵手欺騙性的信息，更具體地說是循環的“觀察”和“調整”的階段。

　　價值四、增加對攻擊者的威懾

　　目前很多安全控制的重點在于防止非法嘗試訪問計算機系統相關的活動。結果，入侵者正在使用這個準確的負反饋作為他們的嘗試是否已被檢測到的標志。然后，他們會退出攻擊，使用其他更隱蔽的滲透方法。在計算機系統的設計中引入欺騙，這增加了惡意敵手考慮新方法的可能性，即他們是否已經被檢測到還是被欺騙了。這阻止了一部分不想冒更多風險的攻擊者。這種新的可能性可以阻止那些不愿意冒被欺騙的風險的攻擊者做出進一步的分析。此外，這種技術使防御者有能力通過主動提供虛假信息，將攻擊者的滲透嘗試轉變成防御者自身的優勢。

　　欺騙式防御的技術類型

　　蜜罐技術是欺騙式防御在網絡安全領域最早期的代表性應用。但隨著技術的發展，欺騙式防御的內涵也在不斷豐富，并已經從最初的單點欺騙技術的應用轉變為防御理念及防御體系的建立。

　　從更宏觀的視角觀察欺騙式防御技術的發展，可以分為兩類：一類是戰術方面的演進，以蜜罐技術為核心，形成密網、蜜場、蜜標、蜜餌與其他安全產品結合的欺騙防御平臺；另一類是戰略上的變化，以移動目標防御、擬態防御為代表，從系統架構等更深的層次，改變系統的特征，對現有防御思想進行顛覆性變革，實現原生安全。

　　蜜罐：蜜罐是一種軟件應用系統，用來撐當入侵誘餌，引誘黑客前來攻擊。攻擊者入侵后，通過監測與分析，就可以知道他是如何入侵的，隨時了解針對組織服務器發動的最新的攻擊和漏洞。蜜罐有兩種主要的應用類型：高交互性蜜罐主要通過設置一個全功能的應用環境，引誘黑客攻擊；低交互性蜜罐則是模擬一個特定的生產環境，所以只需要導入有限的信息。

　　蜜網：蜜網是指由多個蜜罐組成的模擬網絡。當多個蜜罐被網絡連接在一起時，就可模擬出一個大型的應用網絡，并利用其中一部分主機吸引黑客入侵，通過監測、觀察入侵過程，一方面調查入侵者來源，另一方面也可以考察安全措施是否有效。

　　蜜場：蜜場是蜜罐技術的延伸，它具有“邏輯上分散，物理上集中”的部署特點，通過使用重定向技術把多種惡意訪問集中到一起，進行統一管理，統一分析。

　　蜜標：蜜標是一種特殊的蜜罐誘餌，它不是任何的主機節點，而是一種帶標記的數字實體。它被定義為不用于常規生產目的的任何存儲資源，例如電子郵件消息或數據庫記錄。

　　蜜餌：蜜餌一般是一個文件，工作原理和蜜罐類似，誘使攻擊者打開或下載。

　　欺騙防御平臺：欺騙防御是一個集中管理系統，用來創建、分發和管理整個欺騙環境以及各個欺騙元素，包括工作站、服務器、設備、應用、服務、協議、數據和用戶等多種元素。

　　移動目標防御（MTD）：移動目標防御是美國國家科學技術委員會提出的基于動態化、隨機化、多樣化思想改造現有信息系統防御缺陷的理論和方法，其核心思想致力于構建一種動態、異構、不確定的網絡空間目標環境來增加攻擊者的攻擊難度，以系統的隨機性和不可預測性來對抗網絡攻擊。

　　擬態防御：擬態防御是一種主動防御行為，也是我國研究團隊首先提出的主動防御理論，核心是實現一種基于網絡空間內生安全機理的動態異構冗余構造，為應對網絡空間中基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有創新意義的防御理論和方法。

　　目前，欺騙技術逐漸發展成為了安全運營體系中新一代檢測和響應技術的重要組成部分，各大安全廠商都將欺騙技術與其他安全產品更緊密聯動，向著深度融合的趨勢發展。在體系化的欺騙式防御應用方案中，應具備多種重要能力，包含業務仿真、威脅感知、協同防御、攻擊行為分析和溯源等，核心技術包含網絡地址變換、端口重定向、多種模擬的能力。

　　欺騙防御重要能力及核心技術

　　欺騙式防御應用場景

　　以欺騙式防御的目標來劃分，主要的應用場景有：

　　攻防對抗場景

　　現階段，欺騙防御重點應用在攻防對抗中。在攻防演練場景中，防守方需要面對攻擊方持續多維的攻擊，通過構建欺騙式防御，充分地了解攻擊方的整體情況，并根據攻擊特點建立完善的、能有效抵御攻擊威脅的安全防護體系，是支撐達成防守效果與取得更好成績的重要手段。

　　安全運營場景

　　從網絡安全防護角度來看，網絡欺騙防御技術作為一種主動式安全防御手段，可以有效對抗網絡攻擊。網絡欺騙防御技術在檢測、防護、響應方面均能起到作用，能夠實現發現攻擊、延緩攻擊以及抵御攻擊的作用。欺騙防御技術應用在企業安全運營中使用，能夠發現、延緩和反制網絡攻擊。主要場景有：

　　溯源反制

　　溯源反制是欺騙式防御的重要應用場景，因為部署在組織內部的欺騙式防御產品，搜集到的攻擊信息，相對于其他安全產品，可以確定為真實的攻擊操作，同時在產品內置的反制手段可以溯源到攻擊者信息，如電話號碼和賬戶信息等，相對于其他產品更具價值。

　　情報產生

　　此處的情報包含兩個層面，蜜罐部署方式和情報產生方式不同：一方面是組織根據自身情況部署蜜罐等產品，針對組織內部的威脅信息，產生的內部情報；另一方面則是情報廠商推出的免費蜜罐，如微步在線，用戶可免費部署其蜜罐，產生的情報信息匯總至安全廠商。

　　輔助進行威脅感知

　　部署在組織內部的欺騙式防御產品，可以搜集針對組織的威脅信息，如病毒，或針對某些端口的攻擊操作，此處的威脅信息可匯總至態勢感知、SOC等產品豐富對威脅的感知能力。

　　科學研究場景

　　一些安全廠商的實驗室或網絡安全主管部門出于研究的目的，收集有關針對不同網絡的黑客社區的動機和策略的信息用于分析攻擊者的行為，通過一段時間的觀察和分析，可以大概感知近期網絡安全態勢的變化，研究組織面臨的威脅，并更好地防范這些威脅。

更多信息可以來這里獲取==>>電子技術應用-AET<<