網(wǎng)絡(luò)、網(wǎng)絡(luò)攻擊，以及用于阻止網(wǎng)絡(luò)攻擊的策略，一直在進(jìn)化發(fā)展。欺騙防御(Deception)是令研究人員和信息安全人員得以觀察攻擊者行為的新興網(wǎng)絡(luò)防御戰(zhàn)術(shù)，能讓攻擊者在“自以為是”的公司網(wǎng)絡(luò)中表現(xiàn)出各種惡意行為。

[[243622]]

“欺騙防御”這個(gè)術(shù)語從去年開始才逐漸流傳開來，所以很難講清這些解決方案與其他試圖誘騙攻擊者的工具——比如沙箱和蜜罐，到底有什么區(qū)別。與其他戰(zhàn)術(shù)一樣，網(wǎng)絡(luò)欺騙技術(shù)誘騙攻擊者和惡意應(yīng)用暴露自身，以便研究人員能夠設(shè)計(jì)出有效防護(hù)措施。但網(wǎng)絡(luò)欺騙防御更依賴于自動(dòng)化和規(guī)?；瑹o需太多專業(yè)知識(shí)和技能來設(shè)置并管理。這三種技術(shù)都有各自獨(dú)特的需求和理想用例，要想切實(shí)理解，需更仔細(xì)地深入了解其中每一種技術(shù)。

沙箱

幾乎自網(wǎng)絡(luò)和第三方程序出現(xiàn)起，對(duì)網(wǎng)絡(luò)流量和程序的分析需求就一直存在。上世紀(jì)70年代，為測(cè)試人工智能應(yīng)用程序而引入的沙箱技術(shù)，能令惡意軟件在一個(gè)封閉的環(huán)境中安裝并執(zhí)行，令研究人員得以觀測(cè)惡意軟件的行為，識(shí)別潛在風(fēng)險(xiǎn)，開發(fā)應(yīng)對(duì)措施。

當(dāng)前的有效沙箱基本都是在專用虛擬機(jī)上執(zhí)行。這么做可以在與網(wǎng)絡(luò)隔離的主機(jī)上用多種操作系統(tǒng)安全地測(cè)試惡意軟件。安全研究人員會(huì)在分析惡意軟件時(shí)采用沙箱技術(shù)，很多高級(jí)反惡意軟件產(chǎn)品也用沙箱來根據(jù)可疑文件的行為確定其是否真的是惡意軟件。因?yàn)楝F(xiàn)代惡意軟件大多經(jīng)過模糊處理以規(guī)避基于特征碼的殺軟，此類基于行為分析的反惡意軟件解決方案就變得越來越重要了。

大多數(shù)公司企業(yè)無法像專業(yè)研究人員或供應(yīng)商一樣以一定的專業(yè)技術(shù)水平執(zhí)行惡意軟件分析。小公司通常會(huì)選擇部署沙箱即服務(wù)，從已經(jīng)實(shí)現(xiàn)了自動(dòng)化整個(gè)沙箱檢測(cè)過程的供應(yīng)商那里收獲沙箱技術(shù)的各種益處。

蜜罐

蜜罐和蜜網(wǎng)就是為誘捕攻擊者而專門設(shè)置的脆弱系統(tǒng)。蜜罐是誘使攻擊者盜取有價(jià)值數(shù)據(jù)或進(jìn)一步探測(cè)目標(biāo)網(wǎng)絡(luò)的單個(gè)主機(jī)。

1999年開始出現(xiàn)的蜜網(wǎng)，則是為了探清攻擊者所用攻擊過程和策略。蜜網(wǎng)由多個(gè)蜜罐構(gòu)成，常被配置成模擬一個(gè)實(shí)際的網(wǎng)絡(luò)——有文件服務(wù)器、Web服務(wù)器等等，目的是讓攻擊者誤以為自己成功滲透進(jìn)了網(wǎng)絡(luò)。但實(shí)際上，他們進(jìn)入的是一個(gè)隔離環(huán)境，頭上還高懸著研究人員的顯微鏡。

蜜罐可以讓研究人員觀測(cè)真實(shí)的攻擊者是怎么動(dòng)作的，而沙箱僅揭示惡意軟件的行為。安全研究人員和分析師通常就是出于觀測(cè)攻擊者行動(dòng)的目的而使用蜜罐和蜜網(wǎng)。關(guān)注防御的研究人員和IT及安全人員可以運(yùn)用此信息，通過注意新攻擊方法和實(shí)現(xiàn)新防御加以應(yīng)對(duì)，來改善自家企業(yè)或組織機(jī)構(gòu)的安全狀況。蜜網(wǎng)還能浪費(fèi)攻擊者的時(shí)間，讓他們因毫無所獲而放棄攻擊。

經(jīng)常受到黑客攻擊的政府機(jī)構(gòu)和金融公司可以從蜜網(wǎng)中收獲良多，但蜜網(wǎng)技術(shù)同樣適用于中大型公司企業(yè)。根據(jù)業(yè)務(wù)模型和安全狀況，一些中小型企業(yè)也可以從中獲益，但今天的大多數(shù)中小企業(yè)尚不具備能夠設(shè)置或維護(hù)蜜罐蜜網(wǎng)的安全專家。

網(wǎng)絡(luò)欺騙(Cyber Deception)

網(wǎng)絡(luò)欺騙的核心概念最早是普渡大學(xué)的 Gene Spafford 于1989年提出的。有些人認(rèn)為這一概念或多或少指的就是現(xiàn)代動(dòng)態(tài)蜜罐和蜜網(wǎng)，基本上，他們的理解是正確的。

欺騙防御則是一個(gè)新的術(shù)語，其定義尚未定型，但基本指的是一系列更高級(jí)的蜜罐和蜜網(wǎng)產(chǎn)品，能夠基于所捕獲的數(shù)據(jù)為檢測(cè)和防御實(shí)現(xiàn)提供更高的自動(dòng)化程度。

需要指出的是，欺騙技術(shù)分不同層次。有些類似高級(jí)版的蜜罐，有些具備真實(shí)網(wǎng)絡(luò)的所有特征，包括真正的數(shù)據(jù)和設(shè)備。這種欺騙技術(shù)可以模仿并分析不同類型的流量，提供對(duì)賬戶和文件的虛假訪問，更為神似模仿內(nèi)部網(wǎng)絡(luò)。有些安全欺騙產(chǎn)品還可以自動(dòng)部署，讓攻擊者被耍得團(tuán)團(tuán)轉(zhuǎn)，陷入無窮無盡地追逐更多信息的循環(huán)中，令用戶能更具體更真實(shí)地響應(yīng)攻擊者。欺騙防御產(chǎn)品按既定意圖運(yùn)作時(shí)，黑客會(huì)真的相信自己已經(jīng)滲透到受限網(wǎng)絡(luò)中，正在收集關(guān)鍵數(shù)據(jù)。沒錯(cuò)，他們確實(shí)在訪問數(shù)據(jù)，但這些數(shù)據(jù)只是用戶想要他們看到的那部分。

欺騙防御尚處于發(fā)展初期，與大多數(shù)新生安全技術(shù)一樣，其初始用例是大企業(yè)才用的小眾工具，隨后才會(huì)逐漸在市場(chǎng)上鋪開。目前，這些工具對(duì)政府設(shè)施、金融機(jī)構(gòu)和研究公司之類引人注目的目標(biāo)尤其有用。公司企業(yè)仍需安全分析師來解析安全欺騙工具收集的數(shù)據(jù)，所以沒有專業(yè)安全員工的小公司通常無法享受到欺騙防御工具的好處。盡管如此，中小企業(yè)可以簽約提供分析與防護(hù)即服務(wù)的安全供應(yīng)商，以委托的方式從這種新興技術(shù)中獲益。

以上三種安全技術(shù)在預(yù)防與分析領(lǐng)域各司其職。從較高層次上看，沙箱允許惡意軟件安裝并運(yùn)行以供觀察其惡意行為;蜜罐和蜜網(wǎng)關(guān)注分析黑客會(huì)在自以為已被滲透的網(wǎng)絡(luò)上干些什么;欺騙防御則是更新的高級(jí)入侵檢測(cè)及預(yù)防設(shè)想。欺騙技術(shù)提供更為真實(shí)的蜜網(wǎng)，易于部署且能給用戶提供更多信息，但需要更多的預(yù)算和更高的專業(yè)技能要求，通常只能在大企業(yè)中應(yīng)用，至少現(xiàn)在其用例還僅限制在大企業(yè)里。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文