欺騙技術(shù)能賦予防御者其他防護(hù)技術(shù)所不具備的優(yōu)勢：通過布置滿是鮮香美味誘餌的雷區(qū)，誘使攻擊者暴露出自身意圖和手段，實(shí)現(xiàn)早期準(zhǔn)確檢測。FBI和其他頂級司法機(jī)構(gòu)早已使用此類技術(shù)誘捕兒童色情犯和金融大盜一類的罪犯了。

[[252974]]

設(shè)置誘餌的目的，是為了捕獲攻擊者了解網(wǎng)絡(luò)時(shí)的早期動作及其發(fā)現(xiàn)目標(biāo)的方法。網(wǎng)絡(luò)攻擊的早期階段也可以稱作“現(xiàn)場偵察”，打斷這一階段最終可以減少潛在攻擊的駐留時(shí)間，對數(shù)據(jù)保護(hù)工作而言至關(guān)重要。防御者可以觀察正在發(fā)生的事，更深入地了解攻擊的本質(zhì)，更透徹地理解攻擊者在網(wǎng)絡(luò)甚或在云文件共享環(huán)境中移動的方式。

越來越多的公司企業(yè)開始將欺騙作為填補(bǔ)現(xiàn)有安全解決方案空白的一種方式，將之作為數(shù)據(jù)防丟失、加密、訪問管理和用戶行為分析等安全解決方案的一種補(bǔ)充。但安全團(tuán)隊(duì)如何確定哪種欺騙技術(shù)是最適合自家公司的呢?

定義“蜜”環(huán)境

當(dāng)前，欺騙技術(shù)市場中絕大多數(shù)產(chǎn)品都主要著眼打造復(fù)雜的“蜜”環(huán)境，旨在引誘攻擊者進(jìn)入虛假系統(tǒng)，轉(zhuǎn)移并記錄其攻擊行為。

1. 蜜罐

蜜罐是與網(wǎng)絡(luò)毗連的系統(tǒng)，用以引誘攻擊者并檢測、轉(zhuǎn)移或研究黑客的攻擊嘗試。蜜罐按與入侵者的互動程度分為不同類型。設(shè)計(jì)恰當(dāng)?shù)脑?，蜜罐可以阻止攻擊者訪問公司運(yùn)營網(wǎng)絡(luò)中的受保護(hù)區(qū)域。配置良好的蜜罐應(yīng)具備公司生產(chǎn)系統(tǒng)中的多個(gè)相同組件，尤其是數(shù)據(jù)。蜜罐最大的價(jià)值就是能獲取到攻擊者行為及意圖的相關(guān)信息。進(jìn)出蜜罐的數(shù)據(jù)可使安全人員收集到這些信息，比如攻擊者的擊鍵記錄、在虛假蜜罐系統(tǒng)中橫向移動的嘗試動作等。

2. 蜜網(wǎng)

蜜網(wǎng)是由多個(gè)蜜罐組成的真實(shí)網(wǎng)絡(luò)的模擬?；旧?，蜜網(wǎng)就是模仿公司網(wǎng)絡(luò)中常會出現(xiàn)的多臺服務(wù)器環(huán)境的大規(guī)模網(wǎng)絡(luò)誘餌。SANS 2017 報(bào)告《蜜罐狀態(tài)：理解今日蜜罐技術(shù)使用》中寫道：“蜜網(wǎng)連接與交互的方式與真實(shí)網(wǎng)絡(luò)無異——系統(tǒng)間所有連接都沒模擬。”SANS報(bào)告按10分制請蜜罐用戶為蜜罐和蜜網(wǎng)有效性評分，在總體有效性上蜜網(wǎng)得分7.5。與蜜罐類似，蜜網(wǎng)最大的價(jià)值就是安全團(tuán)隊(duì)能從中收集到的有關(guān)攻擊者行為的情報(bào)。

只要構(gòu)建并維護(hù)良好，蜜環(huán)境可供安全團(tuán)隊(duì)觀察攻擊者巡游網(wǎng)絡(luò)搜索數(shù)據(jù)并滲漏出去的方法。但有個(gè)前提：攻擊者要上鉤——進(jìn)入蜜網(wǎng)。

蜜環(huán)境痛點(diǎn)

蜜環(huán)境的部署、管理和維護(hù)面臨幾個(gè)重大挑戰(zhàn)與痛點(diǎn)。在購買欺騙技術(shù)之前，你得好好分析一番成本效益。

首先，雖然蜜環(huán)境是在企業(yè)運(yùn)營環(huán)境之外構(gòu)建與維護(hù)，蜜網(wǎng)仍需黑客初步突破運(yùn)營環(huán)境。公司企業(yè)最好期望通往蜜網(wǎng)的面包屑足夠誘人，能夠切實(shí)引誘到黑客。另外，一旦黑客離開虛假環(huán)境，我們沒辦法知道他/她還會不會重新進(jìn)入該運(yùn)營環(huán)境以繼續(xù)攻擊，也不會知道他/她在被誘餌面包困住前可能滲漏出了什么數(shù)據(jù)。

• 其次，創(chuàng)建這些環(huán)境所需的成本與資源可能會給本就不堪重負(fù)的安全團(tuán)隊(duì)又套上一層枷鎖。想讓攻擊者相信蜜網(wǎng)是真實(shí)公司網(wǎng)絡(luò)，公司企業(yè)建立的蜜環(huán)境就必須模擬運(yùn)營環(huán)境。于是，該環(huán)境也必須有人維護(hù)以保持其“真實(shí)性”。維持蜜網(wǎng)運(yùn)轉(zhuǎn)所需的投入與保養(yǎng)可沒那么輕松。
• 再次，蜜環(huán)境能提供的攻擊者相關(guān)數(shù)據(jù)的有用程度是有限的。蜜網(wǎng)確實(shí)是了解攻擊者如何在系統(tǒng)內(nèi)搜羅數(shù)據(jù)的好方法，但攻擊者的真實(shí)身份和數(shù)據(jù)被盜后會被攻擊者作何用途，就不能靠蜜網(wǎng)探知了。
• 最后，攻擊者越來越精于分辨蜜環(huán)境特征。真正危險(xiǎn)的黑客往往瞄準(zhǔn)他們確知是真實(shí)機(jī)器的特定IP地址。黑客很容易分辨某主機(jī)是不是企業(yè)網(wǎng)絡(luò)中的蜜罐，因?yàn)檫@些機(jī)器要么沒有出站流量，要么偽裝流量沒遵循正常使用模式，顯得很不自然。想要讓蜜網(wǎng)發(fā)揮自己的價(jià)值，入侵者就不應(yīng)該感覺到自己處在虛假系統(tǒng)中。蜜網(wǎng)環(huán)境應(yīng)給攻擊者一種虛假的真實(shí)感和安全感，讓他/她覺得自己沒被發(fā)現(xiàn)或沒被監(jiān)視。

在現(xiàn)實(shí)世界中欺騙

在運(yùn)營環(huán)境和云環(huán)境中部署欺騙技術(shù)，可使安全團(tuán)隊(duì)檢測并欺騙直奔敏感數(shù)據(jù)而去的攻擊者，而不是寄希望于攻擊者被誘導(dǎo)到其他地方。在運(yùn)營網(wǎng)絡(luò)中部署可信誘餌文檔能提供蜜罐和蜜網(wǎng)的所有好處，且不用創(chuàng)建和維護(hù)虛假環(huán)境。

不依賴蜜環(huán)境的欺騙還可用于主動反擊黑客和泄密者。攻擊者依靠各種各樣的工具保持匿名，這些工具往往能帶來大膽攻擊的成功。不局限于虛假環(huán)境的欺騙技術(shù)可穿透這些工具，暴露出攻擊者，且攻擊者往往還毫無所覺。這就給公司企業(yè)和司法機(jī)構(gòu)釘死黑客和泄密者提供了特別的優(yōu)勢。

SANS 2017 報(bào)告《蜜罐狀態(tài)：理解今日蜜罐技術(shù)使用》：

https://www.sans.org/reading-room/whitepapers/detection/state-honeypots-understanding-honey-technologies-today-38165

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文