攻击欺骗技术

兵者，诡道也。 ——《孙子兵法》

古代战场上就知道使用变幻的攻击方法来迷惑攻击者，攻其不备、出其不意，可见攻击欺骗技术向来就是存在的。然后在网络攻防对抗的战场上，攻击欺骗技术却在近几年才登场的。

image.png

攻击欺骗（Deception）是Gartner从2015年起连续四年列为最具有潜力安全技术的新兴安全技术手段。Gartner给出的基本定义是通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的认知过程，从而破坏攻击者的自动化工具，拖延攻击者的活动或者检测出攻击。通过在企业防火墙背后使用欺骗技术，企业就可以更好地检测出已经突破防御的攻击者，对所检测到的事件高度信任。欺骗技术的实施现在已经覆盖堆栈中的多个层，包括端点、网络、应用和数据。

从以下时间线足以看出Gartner对攻击欺骗技术的宠爱，并预言未来5-10年攻击欺骗技术能够进入主流市场、并对现有安全防护体系产生深远影响。

• 2016年6月份，Gartner安全与风险管理峰会上，Gartner分析师公布了他们关于2016年十大信息安全技术的研究成果，其中“欺骗技术”被提名。
• 在2017年6月份举办的第23届Gartner安全与风险管理峰会上，Gartner知名分析师Neil McDonald发布了2017年度的11个最新最酷的信息安全技术。其中“欺骗技术”再次被提名。
• Gartner十分看重欺骗技术，在2018年10大战略技术之一的CARTA（持续自适应风险与信任评估）中，欺骗技术承担了重要的角色，作为运行时风险与信任评估的重要手段之一。Gartner预测到2019年10%的企业将采用这类技术，主动地进行对抗。目前，国内有不少从事欺骗技术的初创公司和产品，但要达到DDP的平台级水平，还需要大跨越。

传统安全产品的弊端

1、异常检测类防御产品告警量大且不精准
针对流量侧的异常行为，企业通常采用入侵检测系统，SIEM等安全设备来检测和运营处置。对于中大型企业场景，告警量大，且运营人员工作量繁重。找到精准的告警需要耗费安全专家的较多时间精力，并且也较难发现潜伏攻击者。而蜜罐的关键价值之一是：零误报、告警即攻击实锤。

2、难以应对高级新型威胁
随着攻击手段的不断变化，目前高等攻击隐藏性很强，很多都是利用未知漏洞、自定义工具、或者社工、钓鱼等方式获取系统管理员账号和权限，凭借合法身份、正常操作实施入侵，使得传统的安全防御手段失效、无法及时发现以及有效应对威胁。

攻击技术和手段日益更新，但对抗的安全产品更新速度慢，企业更新产品的周期也相对漫长。难以应对多变攻击手段、新型威胁。亟需一种应对变化攻击手段和适应业务变更的新技术。

3、 缺乏有效的内网威胁感知手段
事实上受制于技术、经验、人性等因素，人们几乎不可能设计出一个完美无缺的安全系统，不能正视漏洞的可观存在，导致大量重复的安全建设局限于边界防御，试图打造一个不可攻破的系统，而对内部网络的重视不足。

蜜罐类产品的基本功能

1、欺骗伪装
蜜罐存在的价值再于被攻击，有攻击才能有捕获。通过伪装成有漏洞的服务（web服务、数据库、系统服务等）、操作系统等，欺骗攻击者，在和攻击者“交锋”的过程中，不仅保护了企业的真实资产，同时捕捉攻击数据，用于进一步的研究。除了单个的蜜罐，还有多个蜜罐组成的可延展、可配置的蜜网，仿真性比单个蜜罐高，给攻击者“沉浸式”的体验。

2、诱导攻击
既然蜜罐的价值在于被攻击，如果攻击者没有命中我们准备好的蜜罐陷阱，转而攻陷了真实资产，那就得不偿失了。所以有的蜜罐拥有攻击流量检测的功能，或类似牵引器的功能，通过旁路镜像部署，在不影响正常业务的同时识别除恶意流量，从而将其引入蜜罐中，保护真实资产，提高蜜罐的命中率。

3、攻击行为分析与溯源
早期的蜜罐多用于安全研究，最初是用来捕获恶意代码、抓APT之类高级攻击的，在商业化用途中，蜜罐被用来感知内网威胁，需要具备威胁感知与捕获的能力，还要能够对攻击者溯源，简单来说就是需要知道攻击者做了什么、意图是什么、攻击者是谁从哪儿来。攻击行为的分析通常包括：捕获攻击数据包记录攻击流量、保存攻击者上传文件、识别攻击指纹等。攻击溯源多是对攻击数据的关联与整合，结合威胁情报与大数据等资源，对攻击者进行人物画像或是精准溯源。

4、威胁情报
蜜罐零误报的特点，使得每一条攻击日志都是真实的，这些攻击数据可以通过API接口或是日志服务器等，同步打入SIEM等安全产品，让数据进行关联与整合，产生更大的价值。

有哪些厂商在做蜜罐

image.png

举几个最近了解到的：元支点、默安幻阵、长亭谛听。
1、元支点
元支点的产品功能是比较全面的，和国内的产品比也是有不少亮点的。

• 首先是仿真性较高，除了有普通的伪装服务（低交互蜜罐）还有真实性较高的高交互蜜罐，甚至还有工控蜜罐，可见覆盖的行业多广；另外，元支点还通过蜜饵来吸引攻击者，如，日志、数据库文件、各种文档、证书凭证、邮件类等，种类丰富。
• 其次他们能够7*24h保存网络流量，采用了流量牵引器来将攻击流量导入蜜罐中，用户可配置牵引策略，有点HIDS的意思了。
• 防逃逸功、防跳板功能。众所周知，蜜罐的仿真服务多是基于docker的，对于虚拟容器的安全也是近年人们一直热议的话题，蜜罐绝大多数使用场景都是在内网中，若攻击者通过蜜罐为跳板，从陷阱中逃逸出来攻击内网机器，后果是不堪设想。元支点使用了防逃逸技术，防止虚拟化容器技术向下穿透，采用VLAN隔离和虚拟网络技术防止横向移动。
• 机器学习自伪装
  机器学习技术炙手可热，尤其在大数据时代，正被积极应用于新一代安全产品中。通过机器学习可以让产品实现自适应的特点，自主适应企业网络环境改变欺骗策略，学习新的攻击方法，识别未知攻击。

2、长亭科技谛听
长亭科技的蜜罐也算是入场较早的了，仿真服务类型比较丰富，并且支持自定义、业务学习型蜜罐，攻击行为分析、攻击溯源都支持。软硬件都支持，支持集群部署和云主机部署，可一键更新升级，探针的批量安装部署，解决了大规模安装维护的问题。

3、默安幻阵
默安科技的幻阵号称是国内首家率先将欺骗防御技术应用落地的厂商，他们的蜜罐产品幻阵在2017年面世，在国内应该是第一第二家开始做蜜罐的了，云舒大大还是很给力的。幻阵的蜜罐是基于沙箱的，至于沙箱和容器的优劣此处不予讨论，沙箱支持应用服务沙箱、系统服务沙箱、以及业务自定义沙箱。通过伪装代理和诱饵感应威胁，基于攻击行为分析，支持攻击溯源和威胁情报输出，还支持实时展示攻击大屏，满足领导视察的需求。除此之外，幻阵比较突出的点有：自研行为决策分析引擎，可有效应应对多变的攻击行为；自主研发的机器学习设备指纹专利技术，能够很好的捕捉攻击行为；还有依据网络状态自主部署沙箱、开放API接口将攻击信息输出到WAF、IDS、IPS等。

不仅仅是蜜罐

攻击欺骗技术是攻防领域一个通用的思想，不仅仅适用于蜜罐产品，像传统（SIEMl、EDR、HIDS）产品，新兴(UEBA、NTA)产品，可以成为威胁检测解决方案的有效补充。

参考：
http://blog.nsfocus.net/internet-fraud-technology/
https://www.aqniu.com/learn/38552.html
https://yq.aliyun.com/articles/187752