首頁 > 關于我們 > 安恒動態(tài) > 2020 > 正文

“迷網”系列科普（一）：讓攻擊者逃不出的“盜夢空間”——欺騙誘捕技術介紹

閱讀量：次

導讀：

當下，網絡安全的需求，早已不再滿足于合規(guī)與被動防護，對攻防實戰(zhàn)能力提出了更高的標準。

近年來，安恒信息集中了公司各線產品的實戰(zhàn)“兵刃”以及多年來的攻防服務經驗，推出了基于欺騙誘捕技術、體系的“迷網”產品，以建立產品化的黑客誘捕技術體系，彌補傳統(tǒng)安全技術所存在的不足。

接下來，我們會用一個系列專輯來為大家講解這一新技術、新體系的能力范圍，以及實戰(zhàn)用途，能夠讓大家深入了解這一技術。

安恒信息迷網系統(tǒng)

今天，我們主要探討第一個話題：欺騙誘捕技術介紹。（TIPS：本文并不是純正的標準體系描述、概念定義類文章，所有的表述僅限于筆者個人理解，僅供參考。）

一、當前網絡安全技術解決的問題與弊端

在了解欺騙誘捕技術之前，我們先需要了解當前網絡安全產品解決問題的方式以及所存在的弊端。當下，網絡安全的防護主要是由安全設備（或軟件）加人的方式實現的。我們從設備與人兩個角度來分析當前網絡安全防護體系的局限性。

首先說設備，網絡安全設備種類非常多，其安全能力的構建主要是基于已知策略、特征構建的感知能力，根據已知的特征對攻擊行為進行識別。但是這種方法對于有特定攻擊目的的攻擊者（比如APT組織）來講仍不足夠，0day是其難以防御的主要問題。另外，因業(yè)務系統(tǒng)開發(fā)時安全設計考慮不足，導致業(yè)務系統(tǒng)的運行與防護策略沖突的情況也經常存在，安全運維人員往往最終采用的方法是關閉防護策略，保障業(yè)務穩(wěn)定運行，類似的情況也是屢見不鮮了。

其次，我們再從人的角度來分析。再嚴密的防護體系，一旦有了人的參與，弱點自然也就產生了。在有針對性的攻擊情形中（如APT攻擊），社工、欺騙是常用的技術手段，而目標就是人，想要對此進行完善則需要更專業(yè)的人、更嚴謹的人。但在我國，網絡安全專業(yè)人才的缺口極大，企業(yè)想要培養(yǎng)、招聘專業(yè)人才也不是那么容易的事情。然而，哪怕找到了專業(yè)的人，就真的能夠完成這項重要的工作嗎？

在實際的攻防對抗中，其實存在多種不對稱現象：工作量不對稱、信息披露不對稱、成本支出不對稱。

1.工作量不對稱

攻擊方在攻防過程中，往往只需要找到一處弱點即可完成入侵，而防守方則需“千日防賊”加“7*24小時”，還需要進行全面防護，不能存在攻擊者可接觸的漏洞，方能完成防護任務。而且對于防守方來說，每天運維大量的安全設備、分析海量日志。

2.信息披露不對稱

對于攻擊方來說，目標企業(yè)、可利用漏洞，甚至運維人員都可以通過偵查提前可知；而對于防守方來說，攻擊者誰、在哪里顯然無法提前知曉的，甚至在攻擊者的刻意規(guī)避下，防護水平一般的防守方也不見得能夠發(fā)現攻擊者。

3.成本支出

成本支出很好理解，攻擊方往往只需要幾個VPN、肉雞等工具就可以開展攻擊活動了，而且此類成本越來越低，而防守方需要建立符合等保二級或三級的防護體系，動輒需要上百萬的防護硬件費用。防護要求更高的用戶每年還需購買安全檢查、加固的安全服務，投資頗大。

安全廠商始終在尋找更好的辦法。網絡安全的防御體系拉大了防御縱深，思路上也逐漸從原來的純被動式防御，逐漸轉變?yōu)橹鞅粍酉嘟Y合的防御體系。態(tài)勢感知、大數據分析技術是其典型實踐，而欺騙誘捕體系更是主動式防御的核心代表，該技術的產生極大程度上提升了防守方在網絡攻防戰(zhàn)中的主動權。

二、欺騙誘捕體系的提出與概念

那么什么是欺騙誘捕體系呢？根據Gartner給出的定義：欺騙技術是利用欺騙、誘捕或詭計手法來阻止或打亂攻擊者的認知過程，并損壞攻擊者的自動化工具。這個技術的根本目的就兩個，拖延其攻擊活動、檢測出攻擊行為。

簡而言之，通過使用多種欺騙技術，配合真實網絡環(huán)境（包括設備、系統(tǒng)與網絡等）以及仿真數據，建立的貼近保護對象的主動安全防御體系。

再說的通俗一點，《盜夢空間》大家都看過，某種欺騙技術就相當于某一層夢境，近似于真實的場景，可以欺騙攻擊者的認知。欺騙誘捕體系呢，則是把虛擬與現實相結合，把多種欺騙技術相結合，構建的多層空間，你以為你已經逃出了，其實還在夢中，講究的就是環(huán)環(huán)相扣，劇情引人入勝。

自2015年起，Gartner連續(xù)幾年都將其列為“最具潛力的安全技術”，在2019年將其列為“最佳安全技術”。

安恒信息迷網系統(tǒng)

三、欺騙誘捕體系的特點

首先，欺騙技術的產生并不是用來替代其他威脅檢測解決方案的，由于其實現方式并不跟目前的防御、檢測體系沖突，反而是傳統(tǒng)安全解決方案的重要補充。

其次，欺騙技術的主要作用是欺騙攻擊者，舉一個最典型的欺騙技術實現方案——蜜罐，該技術往往是通過虛擬化技術，將硬件資源轉變?yōu)?strong>虛擬主機，并在其上搭建Web應用、服務、數據庫，甚至偽造終端。但是由于其偽造的這些資源并不能提供真正的服務，也不會開放給正常的資源使用者，所以對于正常人來說，是不會訪問到的。所以其另一個特性就是誤報極低（合理的部署方式，可以讓其理論值為0）。

安恒信息迷網系統(tǒng)

第三，在部署了欺騙技術的環(huán)境中，攻擊者進行攻擊時想要不被發(fā)現，往往需要更加小心、謹慎，尤其是在實戰(zhàn)演練當中，這無疑平衡了攻防關系，一定程度上轉變了被動防守的局面。

最后，也是非常重要的一點了，就是欺騙誘捕體系由于是專門為欺騙攻擊者產生的，內部部署了很多具備反制能力的技術，比如蜜標、溯源腳本等，能夠采集攻擊者的設備指紋與社交身份，甚至獲取攻擊者主機權限。所以也是真正意義上具備了一定的追蹤溯源反制能力，一方面能夠更高質量的輸出攻擊者畫像作為威脅情報，另一方面轉守為攻，實現攻防博弈能力。這也是近年來蜜罐產品熱議的原因。

四、欺騙誘捕體系由哪些技術構成

蜜罐、蜜餌、蜜標、蜜網、蜜網等。后面的文章我們會繼續(xù)梳理這些概念，這次就不再贅述了。

五、技術的未來展望

未來欺騙誘捕技術在中國的應用肯定是越來越廣泛的。隨著網絡技術的發(fā)展以及國際環(huán)境的變化，網絡安全被推上了風口浪尖，根據《中華人民共和國網絡安全法》的要求，網絡安全工作者也不再滿足于合規(guī)建設，網絡攻防實戰(zhàn)能力成為必備，每年公安部牽頭組織的網絡實戰(zhàn)演練，也極大的促進了各級機關、單位、企業(yè)對于網絡安全的重視。

而欺騙誘捕技術在近兩年的火熱，也恰恰反映了其在攻防實戰(zhàn)當中的所起到的積極作用。該技術未來的發(fā)展與應用，也必然會朝著更具實戰(zhàn)能力、更高質量情報輸出的方向發(fā)展：復雜的自動化網絡編排、更有效的溯源能力、高質量仿真內容、更廣闊的仿真場景（工控、物聯網、5G等場景）、更好的隱蔽性與自我保護以及與傳統(tǒng)安全防護體系的積極聯動，會是該技術的主要延伸方向。

安恒信息迷網系統(tǒng)