隨著攻防演習(xí)日益實戰(zhàn)化、常態(tài)化使得蜜罐從十幾年的老安全技術(shù)煥發(fā)新春，基于蜜罐演進(jìn)而來的欺騙防御也因此而名聲大噪，越來越多的安全廠商已經(jīng)將資源投入到此技術(shù)領(lǐng)域。

在最近信通院組織的蜜罐產(chǎn)品能力評測中，參與的主流廠商有36家之多。蜜罐技術(shù)火熱的背后，是蜜罐技術(shù)可有效彌補(bǔ)當(dāng)前網(wǎng)絡(luò)安全防御方案短板的巨大推力，同時，趨于常態(tài)化的攻防演習(xí)也是最大的催化劑之一。

在過去的攻防演習(xí)中，蜜罐不僅展示出面向攻擊優(yōu)秀的誘捕和溯源能力，在日常安全運維中也體現(xiàn)出了不可或缺的獨特價值，這可能才是蜜罐真正的生命力。

基于對蜜罐技術(shù)的研究，結(jié)合對開源蜜罐項目和商用欺騙防御類產(chǎn)品的調(diào)研和分析，本文將從對當(dāng)前蜜罐產(chǎn)品使用的新技術(shù)介紹出發(fā)，來看未來欺騙防御的發(fā)展走向。

1. 環(huán)境仿真

傳統(tǒng)蜜罐通常提供的是“單維”的仿真，仿真特定的主機(jī)、服務(wù)、應(yīng)用環(huán)境等;而最新的蜜罐則需要的是“多維”的仿真能力，在之前的基礎(chǔ)上，可以結(jié)合用戶真實網(wǎng)絡(luò)或業(yè)務(wù)環(huán)境去定制環(huán)境仿真配置和數(shù)據(jù)。從而提供一個和用戶真實環(huán)境相近、能夠有效迷惑攻擊者的仿真誘捕環(huán)境。

試想，如果一個完整的虛擬環(huán)境，部署在用戶真實網(wǎng)絡(luò)之前，不僅可以有效推遲攻擊者進(jìn)攻的步伐，還可以獲得攻擊者的攻擊方式和行為邏輯等信息。

環(huán)境仿真技術(shù)主要包括軟件仿真技術(shù)、容器仿真技術(shù)、虛擬機(jī)仿真技術(shù)等，幾類仿真技術(shù)所能提供的仿真能力和支持仿真的類型示意如下：

幾類仿真技術(shù)簡要對比如下：

2. 攻擊誘導(dǎo)

攻擊誘導(dǎo)的目標(biāo)就是通過技術(shù)手段在攻擊者進(jìn)入網(wǎng)絡(luò)后主動引誘攻擊者進(jìn)入到泥沼當(dāng)中不能自拔，在有限的仿真環(huán)境下提升命中率。常見的攻擊誘導(dǎo)技術(shù)包括：誘餌投放、流量轉(zhuǎn)發(fā)、虛擬IP等。在典型攻防演習(xí)場景中，攻擊誘導(dǎo)技術(shù)可以將主動權(quán)互換，成為防守方獲取主動權(quán)的利器。

2.1. 誘餌投放

誘餌是投放在互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)里的各種留給攻擊者的虛假情報，很多情報是都極具誘惑力，誘導(dǎo)攻擊者快速進(jìn)入被控狀態(tài)。

根據(jù)類型和用途不同，可以分為日志誘餌、證書誘餌、賬戶誘餌、郵件誘餌、項目代碼誘餌等。誘餌包括IP地址、用戶賬戶、服務(wù)應(yīng)用路徑、密碼本等信息，當(dāng)攻擊者獲取誘餌里的信息后，一般會順藤摸瓜，沿著誘餌里線索提供的主機(jī)、服務(wù)、應(yīng)用進(jìn)行深入滲透，進(jìn)而將攻擊者引誘到陷阱之中。誘餌投放工作示意圖如下：

2.2. 流量轉(zhuǎn)發(fā)

通過流量轉(zhuǎn)發(fā)可以實現(xiàn)將攻擊者試圖訪問正常資產(chǎn)的攻擊流量主動轉(zhuǎn)發(fā)到仿真環(huán)境里。常見的流量轉(zhuǎn)發(fā)實現(xiàn)技術(shù)包括網(wǎng)絡(luò)轉(zhuǎn)發(fā)和主機(jī)轉(zhuǎn)發(fā)。

• 主機(jī)轉(zhuǎn)發(fā)：一般需要在主機(jī)上部署探針軟件，探針用于監(jiān)測客戶未使用的網(wǎng)絡(luò)端口來虛擬真實服務(wù)，通過探針將試圖訪問這些端口的異常連接請求轉(zhuǎn)發(fā)到仿真環(huán)境里;
• 網(wǎng)絡(luò)轉(zhuǎn)發(fā)：根據(jù)威脅線索通過動態(tài)調(diào)整網(wǎng)關(guān)設(shè)備策略等方式來將異常流量直接導(dǎo)入到仿真環(huán)境里。

流量轉(zhuǎn)發(fā)工作示意圖如下所示：

2.3. 虛擬IP

虛擬IP，顧名思義就是給單個主機(jī)綁定多個IP地址，通過在仿真環(huán)境里將IP資源綁定到蜜罐誘捕環(huán)境上來批量生成虛擬資產(chǎn)，提高蜜罐的覆蓋率，增加攻擊者攻擊蜜罐的概率。

虛擬IP工作示意圖如下所示：

3. 溯源反制

傳統(tǒng)的基于IP的溯源方法對攻擊者的身份信息獲取十分有限，很難及時對攻擊者進(jìn)行有效溯源和反制。蜜罐系統(tǒng)則給了防守方以反制攻擊者的機(jī)會，通過蜜罐里預(yù)設(shè)的反制手段，主動獲取攻擊者主機(jī)或者網(wǎng)絡(luò)的信息，來更準(zhǔn)確的定位攻擊者的身份，實現(xiàn)更精準(zhǔn)的溯源。在典型攻防演習(xí)場景中，防守方只需要獲得虛擬身份即可，一個優(yōu)秀的蜜罐系統(tǒng)完成這個任務(wù)可謂手到擒來。

常用的溯源反制技術(shù)包括：WEB反制、掃描反制、密標(biāo)文件反制等方式。

3.1. WEB反制

攻擊者在瀏覽網(wǎng)站或WEB應(yīng)用頁面時，會下載頁面數(shù)據(jù)、腳本文件在用戶本地解析執(zhí)行、渲染展示。利用這個特性，將反制腳本嵌入到正常的網(wǎng)站或WEB應(yīng)用頁面里，攻擊者訪問時也會將反制腳本自動下載到攻擊者本地運行來獲取溯源信息。

WEB反制是較常用的反制手段，可獲取的典型溯源信息包括：

• 獲取攻擊者主機(jī)操作系統(tǒng)和瀏覽器的特性信息，包括攻擊者主機(jī)的操作系統(tǒng)類型、操作系統(tǒng)時區(qū)、屏幕分辨率、瀏覽器指紋、瀏覽器類型、瀏覽器版本等信息;
• 通過應(yīng)用的JSONP漏洞獲取攻擊者主機(jī)上曾經(jīng)使用過的社交賬號、攻擊者手機(jī)號等個人信息;
• 對攻擊者本地端口進(jìn)行掃描，獲取攻擊者本機(jī)開放端口等數(shù)據(jù);

WEB反制工作示意圖如下所示：

3.2. 掃描反制

攻擊者在實施攻擊時大多數(shù)情況都會使用掃描器或攻擊工具，利用掃描對象、掃描器或攻擊工具的漏洞可以在攻擊者進(jìn)行掃描或嘗試攻擊的同時，反向來獲取攻擊者的身份信息。

通過在仿真環(huán)境里預(yù)設(shè)一些針對特定服務(wù)、掃描工具的反制模塊，當(dāng)攻擊者采用這類工具實施掃描或攻擊時會觸發(fā)對應(yīng)反制模塊，實現(xiàn)讀取攻擊者設(shè)備指紋和身份信息來實現(xiàn)反制。當(dāng)前部分欺騙防御產(chǎn)品里已使用了掃描反制技術(shù)，較常用的掃描反制手段包括MySQL反制、SQLMap反制、AWVS反制等。

掃描反制工作示意圖如下所示：

3.3. 蜜標(biāo)反制

蜜標(biāo)文件多采用攻擊者感興趣的文件類型或文件名稱，通過代碼捆綁等技術(shù)向該文件中嵌入特定數(shù)據(jù)和代碼，通過構(gòu)造場景引誘攻擊者去訪問、下載蜜標(biāo)文件，當(dāng)攻擊者下載并在本地打開蜜標(biāo)文件時，就會觸發(fā)內(nèi)嵌代碼，記錄并回傳攻擊主機(jī)和攻擊者特征信息來實現(xiàn)溯源和反制。

蜜標(biāo)反制工作示意圖如下所示：

采用蜜標(biāo)文件來反制對防守方安全能力要求較高，需結(jié)合用戶業(yè)務(wù)環(huán)境特點來制作蜜標(biāo)文件，同時將蜜標(biāo)文件部署在攻擊者較容易訪問的位置才能取得更好的效果。

4. 未來欺騙防御發(fā)展預(yù)測

攻防演習(xí)已向常態(tài)化與實戰(zhàn)化邁進(jìn)，攻防演習(xí)雖不提蜜罐，但處處是蜜罐，但此蜜罐非彼蜜罐，筆者更傾向于稱其為“欺騙防御”或“仿真誘捕”技術(shù)，傳統(tǒng)的利用高交互蜜罐一招溯源攻擊者的歷史一去不復(fù)返，而復(fù)雜的可以和真實計算環(huán)境融合的新一代欺騙防御技術(shù)和產(chǎn)品需求會越來越旺盛。全球知名的IT研究與顧問咨詢公司Gartner評價“欺騙防御”技術(shù)是對現(xiàn)有安全防護(hù)體系產(chǎn)生深遠(yuǎn)影響的安全技術(shù)。在Gartner 2020年安全運營技術(shù)成熟度曲線報告中，分析師將“欺騙平臺”這項技術(shù)放在了“期望膨脹期”，并將目前的成熟度定義為“青春期”，預(yù)計該技術(shù)會在5至10年后達(dá)到成熟并被廣泛使用。

基于最新蜜罐技術(shù)演進(jìn)分析，結(jié)合當(dāng)前欺騙防御行業(yè)發(fā)展態(tài)勢，筆者認(rèn)為未來幾年欺騙防御市場和產(chǎn)品發(fā)展將有以下幾個趨勢。

4.1. 欺騙防御技術(shù)應(yīng)用會更廣泛

欺騙防御作為主動防御的范疇，在多個領(lǐng)域都能發(fā)揮他獨特的價值。應(yīng)用到威脅監(jiān)測方面利用它誤報低的優(yōu)點，可以作為常態(tài)化運維監(jiān)測工具使用，也可以將其作為一個引擎或者模塊集成到其他安全產(chǎn)品里，賦能其他產(chǎn)品提供威脅誘捕的能力;應(yīng)用到溯源領(lǐng)域，利用多種反制手段，可以提供對攻擊的精確溯源;同時，欺騙防御可以產(chǎn)出高質(zhì)量的本地威脅情報，這些情報數(shù)據(jù)可以和本地比如WAF、FW進(jìn)行聯(lián)動或者集成來提高全網(wǎng)主動防御能力。正是由于欺騙防御在多個領(lǐng)域均有著重要作用，因此未來欺騙防御技術(shù)勢必應(yīng)用也會更加廣泛。

4.2. 集合網(wǎng)絡(luò)測繪技術(shù)的計算環(huán)境仿真

誘捕環(huán)境能否有效迷惑攻擊者，關(guān)鍵還得看誘捕環(huán)境是否能仿得足夠真，較簡單的仿真環(huán)境，較容易被攻擊者識破，很難有效拖延攻擊者的攻擊行為。為了有效提升誘捕環(huán)境的仿真度，通過集合網(wǎng)絡(luò)測繪技術(shù)來對用戶網(wǎng)絡(luò)進(jìn)行測繪，基于測繪的結(jié)果來仿真出跟用戶真實網(wǎng)絡(luò)近似的誘捕網(wǎng)絡(luò)，同時，基于測繪的結(jié)果自動去優(yōu)化攻擊誘導(dǎo)策略來提高成功誘捕攻擊的概率，打造一個貼近用戶真實網(wǎng)絡(luò)，可以有效迷惑攻擊者、主動誘導(dǎo)攻擊行為的誘捕網(wǎng)絡(luò)環(huán)境，將能有效助力威脅誘捕能力的提升。

4.3. 仿真模板行業(yè)化、業(yè)務(wù)化

將仿真基礎(chǔ)能力和仿真業(yè)務(wù)能力松耦合，產(chǎn)品提供仿真基礎(chǔ)能力支撐，采用模板來管理和維護(hù)行業(yè)化、業(yè)務(wù)化的仿真業(yè)務(wù)能力;通過系統(tǒng)自動學(xué)習(xí)，或者提供直觀、簡便的接口支持用戶自定義等方式來生成仿真模板，支持通過模板實現(xiàn)仿真業(yè)務(wù)能力的共享。這樣可以大大提高欺騙防御產(chǎn)品部署時業(yè)務(wù)適配的靈活性和效率，有助于提升產(chǎn)品和行業(yè)業(yè)務(wù)的貼合度，有利于加速欺騙防御產(chǎn)品的應(yīng)用和推廣。

4.4. 溯源仍然是未來重點之一

傳統(tǒng)的溯源手段對攻擊者的身份信息獲取十分有限，面臨定位不準(zhǔn)、取證調(diào)查難等諸多困難。采用欺騙防御可以提供更加精準(zhǔn)的溯源手段，能夠更準(zhǔn)確的定位攻擊者的身份，為防守方提供更精準(zhǔn)的溯源能力。因此，溯源能力仍然是欺騙防御類產(chǎn)品的未來重點方向之一。隨著攻防對抗的演進(jìn)，所采取的溯源反制手段也需同步迭代，同時反制手段需結(jié)合用戶業(yè)務(wù)環(huán)境特點去定制化才能取得更好的效果，因此，投入成本相對較高，主要應(yīng)用在大中型企事業(yè)機(jī)構(gòu)和對溯源有強(qiáng)需求的場景里使用。