网易首页 > 网易号 > 正文 申请入驻

简析欺骗式防御技术的价值与应用

0
分享至

《孙子兵法》有云:兵者,诡道也!

经过2000多年的发展,欺骗活动已广泛存在于人类生活的各个方面,而网络空间更是欺骗技术大量应用的新兴领域之一。以社会工程学为代表的欺骗性攻击活动屡屡得手,混淆、隐匿、伪造、钓鱼等攻击手段层出不穷。

欺骗本身是中性的,是善是恶,取决于使用这项技能的目的。网络安全的本质是攻与防的对抗,欺骗技术同样可以被应用到网络安全防御中,实现对未知威胁的主动防御。

欺骗式防御的技术理念

在2015年,国际知名研究机构Gartner提出攻击欺骗(Deception)的技术理念,并将其列为最具有潜力的新型安全技术手段。在Gartner的定义中,欺骗防御技术是指通过使用欺骗或者诱骗手段来阻止网络攻击活动的应对过程,破坏攻击者可能使用的自动化工具,拖延攻击者的入侵活动,并有效检测识别出攻击行为。

基于以上定义,我们可以将欺骗式防御技术理解为,通过刻意准备的诱骗性环境或行为,误导攻击者的分析判断和攻击活动,已达到帮助网络安全防护目标实现的应用效果。总结分析欺骗式防御技术的应用内涵,包含以下几点:

  • 欺骗式防御以安全防护为目的,保护组织的网络、系统、应用等等资产;

  • 欺骗式防御通过暴露事实、隐藏事实、暴露谎言、隐藏谎言等战略战术实现获取攻击者信息、增加攻击难度、粘滞防御等目标;

  • 欺骗式防御属于主动防御的一部分,可以利用欺骗防御技术,构建诱捕、监控、溯源体系。

欺骗式防御应用价值

一直以来,这种对抗态势却呈现出一种并不对等的局面:攻击者只要找到一个脆弱点就可以成功实施攻击活动,而防御者却要疲于应对不计其数的安全漏洞和尚未识别的潜在威胁。

挑战一:自动化攻击大量出现

随着人工智能技术应用的快速发展,新型高级网络攻击手段也变得越来越智能化、自动化、常态化,高级Bots机器人攻击为网络安全行业带来了更为严峻的挑战。欺骗防御能够覆盖网络边界、网络流量、主机层、应用层、数据层等各维度,在网络环境上,对办公网、生产网、测试网等根据环境和业务特性进行不同方式的覆盖,构建欺骗防御体系化的感知能力,发现各类自动化扫描,机器人攻击,能够满足低成本、大批量的部署要求。

挑战二:传统攻击转变为高级威胁

目前,APT攻击已呈高发趋势,无论是攻击组织数量,还是攻击频率都较以往有较大增加。APT攻击也称为定向威胁攻击,指某组织对特定对象展开持续针对性的攻击活动。相较于传统攻击,APT攻击具有隐蔽性、针对性和持续性等攻击特征。无论APT攻击多么隐蔽,但最终的目的仍然是目标系统,欺骗防御产品区别于传统安全产品的安全检测思路,以攻击者的目标、攻击思路、攻击步骤视角,构建覆盖整个攻击链路的防护链路。

挑战三:威胁发现能力不足

在传统的安全防护建设中,很多产品形成的能力是单点式的,孤岛式的安全能力建设模式缺乏对全局安全数据的可见性,高级威胁的发现越来越难以通过单一的安全能力来实现;并且海量信息的实时关联和分析对安全算力要求极高,由于不同安全产品之间缺少数据的关联,产生了大量无效的告警信息,难以发现对组织真正造成的威胁,同时也降低了安全运维的效率。

欺骗防御作为主动防御体系的重要实现,具有高度开放性,能够与现有的安全防护体系、安全运营平台、威胁情报平台进行对接,输出网络攻击、攻击者信息、安全事件过程等关键数据,为整体安全防护和安全运营工作提供精准可靠的情报,为安全建设规划和安全策略优化等作决策支撑。

价值一、获得更多的攻击信息

在传统的安全防护过程中,许多安全控制是“基于边界”的,在网络边界部署安全产品阻止恶意的攻击行为。但随着现在混合云的使用,以及新冠疫情对于远程办公的推动,组织的网络架构已经改变,边界也变得越来越模糊,这就让以往基于边界的防护越来越具有挑战性。同时,许多低成本及自动化的攻击工具不断涌现,这让攻击者可以连续探测计算机系统,直到发现漏洞并继续进行下一步渗透,而防御者不会得到任何攻击目标的信息。使用欺骗式技术可以提高对攻击尝试的理解,提高对攻击威胁的感知。

价值二、增强系统的攻击难度

在攻击策略上,欺骗防御可以通过部署复杂的策略,如隐藏真实的资产,将真实资产伪装成蜜罐,布置陷阱等,诱导攻击者做出错误的行为、得出错误的结论,然后通过一些附加的防御措施保护目标系统。这无疑增加了攻击者获取目标系统信息的难度。

价值三、实现粘滞防御

欺骗式防御能够给攻击者提供虚假的欺骗性情报信息,影响攻击者下一步攻击策略的制定和执行。同时,这也给防御者更多的时间来准备和计划下一步的防护决策和行动。基于欺骗的防御的主要优势是在这样的比赛中为防御者提供了一个优势,即他们主动地给恶意敌手欺骗性的信息,更具体地说是循环的“观察”和“调整”的阶段。

价值四、增加对攻击者的威慑

目前很多安全控制的重点在于防止非法尝试访问计算机系统相关的活动。结果,入侵者正在使用这个准确的负反馈作为他们的尝试是否已被检测到的标志。然后,他们会退出攻击,使用其他更隐蔽的渗透方法。在计算机系统的设计中引入欺骗,这增加了恶意敌手考虑新方法的可能性,即他们是否已经被检测到还是被欺骗了。这阻止了一部分不想冒更多风险的攻击者。这种新的可能性可以阻止那些不愿意冒被欺骗的风险的攻击者做出进一步的分析。此外,这种技术使防御者有能力通过主动提供虚假信息,将攻击者的渗透尝试转变成防御者自身的优势。

欺骗式防御的技术类型

蜜罐技术是欺骗式防御在网络安全领域最早期的代表性应用。但随着技术的发展,欺骗式防御的内涵也在不断丰富,并已经从最初的单点欺骗技术的应用转变为防御理念及防御体系的建立。

从更宏观的视角观察欺骗式防御技术的发展,可以分为两类:一类是战术方面的演进,以蜜罐技术为核心,形成密网、蜜场、蜜标、蜜饵与其他安全产品结合的欺骗防御平台;另一类是战略上的变化,以移动目标防御、拟态防御为代表,从系统架构等更深的层次,改变系统的特征,对现有防御思想进行颠覆性变革,实现原生安全。

蜜罐:蜜罐是一种软件应用系统,用来撑当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。蜜罐有两种主要的应用类型:高交互性蜜罐主要通过设置一个全功能的应用环境,引诱黑客攻击;低交互性蜜罐则是模拟一个特定的生产环境,所以只需要导入有限的信息。

蜜网:蜜网是指由多个蜜罐组成的模拟网络。当多个蜜罐被网络连接在一起时,就可模拟出一个大型的应用网络,并利用其中一部分主机吸引黑客入侵,通过监测、观察入侵过程,一方面调查入侵者来源,另一方面也可以考察安全措施是否有效。

蜜场:蜜场是蜜罐技术的延伸,它具有“逻辑上分散,物理上集中”的部署特点,通过使用重定向技术把多种恶意访问集中到一起,进行统一管理,统一分析。

蜜标:蜜标是一种特殊的蜜罐诱饵,它不是任何的主机节点,而是一种带标记的数字实体。它被定义为不用于常规生产目的的任何存储资源,例如电子邮件消息或数据库记录。

蜜饵:蜜饵一般是一个文件,工作原理和蜜罐类似,诱使攻击者打开或下载。

欺骗防御平台:欺骗防御是一个集中管理系统,用来创建、分发和管理整个欺骗环境以及各个欺骗元素,包括工作站、服务器、设备、应用、服务、协议、数据和用户等多种元素。

移动目标防御(MTD):移动目标防御是美国国家科学技术委员会提出的基于动态化、随机化、多样化思想改造现有信息系统防御缺陷的理论和方法,其核心思想致力于构建一种动态、异构、不确定的网络空间目标环境来增加攻击者的攻击难度,以系统的随机性和不可预测性来对抗网络攻击。

拟态防御:拟态防御是一种主动防御行为,也是我国研究团队首先提出的主动防御理论,核心是实现一种基于网络空间内生安全机理的动态异构冗余构造,为应对网络空间中基于未知漏洞、后门或病毒木马等的未知威胁,提供具有创新意义的防御理论和方法。

目前,欺骗技术逐渐发展成为了安全运营体系中新一代检测和响应技术的重要组成部分,各大安全厂商都将欺骗技术与其他安全产品更紧密联动,向着深度融合的趋势发展。在体系化的欺骗式防御应用方案中,应具备多种重要能力,包含业务仿真、威胁感知、协同防御、攻击行为分析和溯源等,核心技术包含网络地址变换、端口重定向、多种模拟的能力。

欺骗防御重要能力及核心技术

欺骗式防御应用场景

以欺骗式防御的目标来划分,主要的应用场景有:

攻防对抗场景

现阶段,欺骗防御重点应用在攻防对抗中。在攻防演练场景中,防守方需要面对攻击方持续多维的攻击,通过构建欺骗式防御,充分地了解攻击方的整体情况,并根据攻击特点建立完善的、能有效抵御攻击威胁的安全防护体系,是支撑达成防守效果与取得更好成绩的重要手段。

安全运营场景

从网络安全防护角度来看,网络欺骗防御技术作为一种主动式安全防御手段,可以有效对抗网络攻击。网络欺骗防御技术在检测、防护、响应方面均能起到作用,能够实现发现攻击、延缓攻击以及抵御攻击的作用。欺骗防御技术应用在企业安全运营中使用,能够发现、延缓和反制网络攻击。主要场景有:


  • 溯源反制


溯源反制是欺骗式防御的重要应用场景,因为部署在组织内部的欺骗式防御产品,搜集到的攻击信息,相对于其他安全产品,可以确定为真实的攻击操作,同时在产品内置的反制手段可以溯源到攻击者信息,如电话号码和账户信息等,相对于其他产品更具价值。

  • 情报产生

此处的情报包含两个层面,蜜罐部署方式和情报产生方式不同:一方面是组织根据自身情况部署蜜罐等产品,针对组织内部的威胁信息,产生的内部情报;另一方面则是情报厂商推出的免费蜜罐,如微步在线,用户可免费部署其蜜罐,产生的情报信息汇总至安全厂商。


  • 辅助进行威胁感知


部署在组织内部的欺骗式防御产品,可以搜集针对组织的威胁信息,如病毒,或针对某些端口的攻击操作,此处的威胁信息可汇总至态势感知、SOC等产品丰富对威胁的感知能力。

科学研究场景

一些安全厂商的实验室或网络安全主管部门出于研究的目的,收集有关针对不同网络的黑客社区的动机和策略的信息用于分析攻击者的行为,通过一段时间的观察和分析,可以大概感知近期网络安全态势的变化,研究组织面临的威胁,并更好地防范这些威胁。

关于欺骗式防御技术应用的更多需求分析及成功应用案例,请关注安全牛即将发布的《欺骗式防御技术市场&应用指南》报告。

合作电话:18311333376

合作微信:aqniu001

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
贝隆:如今科技发展,球员都能踢到很大岁数,但梅西还是令人惊叹

贝隆:如今科技发展,球员都能踢到很大岁数,但梅西还是令人惊叹

兰亭墨未干
2026-07-03 15:14:11
Codex 的办公能力被严重低估了,Word、Excel、PPT、PDF 全都能进工作流了

Codex 的办公能力被严重低估了,Word、Excel、PPT、PDF 全都能进工作流了

Ai学习的老章
2026-07-03 21:09:44
2026车市最大骗局:省油电车全亏钱,烂大街油车才是真赢家

2026车市最大骗局:省油电车全亏钱,烂大街油车才是真赢家

民间胡扯老哥
2026-05-24 13:40:40
一涂一抹、10分钟起效!全球首款ED凝胶入华在即,业内却泼冷水

一涂一抹、10分钟起效!全球首款ED凝胶入华在即,业内却泼冷水

果壳
2026-07-02 16:23:09
扛不住了?日本通告全球:无法接受中方第二轮对日出口管控

扛不住了?日本通告全球:无法接受中方第二轮对日出口管控

顾秋韵
2026-07-04 03:48:56
苏有朋现身巴黎,这直接堪称"换脸"啊,走在街上都不敢认了!

苏有朋现身巴黎,这直接堪称"换脸"啊,走在街上都不敢认了!

美芽
2026-07-03 19:59:40
布朗直播开火:我赢得了尊重,凯尔特人欠我一个解释

布朗直播开火:我赢得了尊重,凯尔特人欠我一个解释

赛场速报局
2026-07-04 01:51:10
过气演员到底多可怜?从拒拍裸戏,到近乎全裸拍戏,太心酸

过气演员到底多可怜?从拒拍裸戏,到近乎全裸拍戏,太心酸

悠悠说世界
2026-05-15 13:50:20
1岁半男童被生父女友踢死案新进展:生父称愿撤销谅解后疑失联;男童生母称其说谎太多,没到真正撤销那一刻都不会相信

1岁半男童被生父女友踢死案新进展:生父称愿撤销谅解后疑失联;男童生母称其说谎太多,没到真正撤销那一刻都不会相信

大象新闻
2026-07-03 17:50:06
狄波拉凌晨护儿媳,狠话曝光对王菲态度

狄波拉凌晨护儿媳,狠话曝光对王菲态度

孤城落日
2026-07-03 13:20:53
少林寺新任方丈释印乐,就任仅10个月,寺里就被曝出少了800多万

少林寺新任方丈释印乐,就任仅10个月,寺里就被曝出少了800多万

人生录
2026-07-02 16:19:01
索尼官宣实体版停产后装死24小时 上次装死72小时

索尼官宣实体版停产后装死24小时 上次装死72小时

游民星空
2026-07-03 10:17:26
韩红再次回应传闻:善款理财,利益输送,高价工资,网友不买账!

韩红再次回应传闻:善款理财,利益输送,高价工资,网友不买账!

眼光很亮
2026-07-03 08:05:06
大众重组风暴:杜卡迪或出售、兰博基尼欲上市

大众重组风暴:杜卡迪或出售、兰博基尼欲上市

薛定谔的BUG
2026-07-03 03:54:51
驴友夫妇痛骂国内医院,8天花1471元?3年后美国车祸花60余万美元

驴友夫妇痛骂国内医院,8天花1471元?3年后美国车祸花60余万美元

贱议你读史
2026-05-31 16:19:12
唐嫣案判了!罗晋近况曝光,难堪一幕发生,原来他和辛柏青同病相怜

唐嫣案判了!罗晋近况曝光,难堪一幕发生,原来他和辛柏青同病相怜

情感大头说说
2026-07-03 16:56:13
日本人乘坐中国高铁后,愤怒说出三大“缺点”,让人无力反驳

日本人乘坐中国高铁后,愤怒说出三大“缺点”,让人无力反驳

快乐彼岸
2026-07-02 06:21:59
美腿的日常:那不是天生,是每一步都算数的修行

美腿的日常:那不是天生,是每一步都算数的修行

疾跑的小蜗牛
2026-07-03 21:54:41
重磅!正式加盟76人!一亿射手搭档杰伦布朗

重磅!正式加盟76人!一亿射手搭档杰伦布朗

技巧君侃球
2026-07-03 17:22:07
摩根大通警告:若美联储提前加息,金价可能再次跌破4000甚至测试3500-3600

摩根大通警告:若美联储提前加息,金价可能再次跌破4000甚至测试3500-3600

华尔街见闻官方
2026-07-04 00:25:41
2026-07-04 08:16:49
安全牛 incentive-icons
安全牛
信息安全新媒体
4674文章数 5976关注度
往期回顾 全部

科技要闻

万亿富豪马斯克 舍不得特斯拉员工敞开用AI

头条要闻

巴黎副市长:天气越热水质越好 因为阳光起到杀菌作用

头条要闻

巴黎副市长:天气越热水质越好 因为阳光起到杀菌作用

体育要闻

C罗穿已故队友若塔球衣谢场 眼中含泪

娱乐要闻

海来阿木孕期出轨指控掀起全网热议

财经要闻

千亿茶市场无赢家:澜沧巨亏 八马停"蹄"

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

数码
旅游
房产
时尚
亲子

数码要闻

全新形态!三星XR眼镜曝光:轻薄机身细节拉满

旅游要闻

暑假带娃涨知识!这份红色旅游打卡清单建议收藏!

房产要闻

总裁空缺17个月、现金缺口超1000亿:金融局“局外人”入局万科

从港姐冠军到浪姐黑马,她的满分状态居然藏在水里

亲子要闻

一妇婴领衔全国81家医院共筑“好孕联盟”,破解复发性流产跨区域转诊难题

无障碍浏览 进入关怀版