2020年4月，一段不明飛行物(UFO)視頻引發(fā)了各界的廣泛猜測。美國福布斯網(wǎng)站報道稱，這一段視頻很可能是美軍新技術(shù)“幻影誘餌”的演練影像。該技術(shù)被視為“游戲規(guī)則改變者”，它可以保護戰(zhàn)機免受紅外制導導彈的攻擊。 

傳統(tǒng)的紅外干擾彈也能夠用來誘騙敵軍，使紅外制導武器脫離真實目標，但在發(fā)射后，干擾劑會迅速四散下落。“幻影誘餌”不同，它能夠根據(jù)戰(zhàn)機需要來調(diào)整投放位置和使用時間;還可以給飛機安裝多個激光源，各自生成不同“幻影”，足以迷惑當前的紅外制導系統(tǒng);甚至可以投射虛假影像以掩護其他目標，例如戰(zhàn)艦、戰(zhàn)斗群、軍事基地乃至城市。

從單次即失效到位置與時間靈活可控，從單點防護到多點欺騙，從守護戰(zhàn)機自身到掩護整座城市。擴大誘惑面，提高仿真度，守護更多真實資產(chǎn)，這正是“幻影誘餌”的高明之處，它已經(jīng)完成了從“低交互誘騙”到“高交互誘騙”的進化。

事實上，網(wǎng)絡空間與現(xiàn)實世界正發(fā)生深度交融，網(wǎng)絡安全邊界逐漸模糊，各類已知和未知的安全威脅不斷涌現(xiàn)?；ヂ?lián)網(wǎng)安全其本質(zhì)是黑客和開發(fā)者之間的攻防戰(zhàn)爭，既然是戰(zhàn)爭，就可以借鑒現(xiàn)實戰(zhàn)爭思維來實施防御。如何將上述欺騙防御技術(shù)“搬運”到網(wǎng)絡空間，打造網(wǎng)絡安全界的“幻影誘餌”實施防御?

防守之難：如何消除攻防信息的不對等?

網(wǎng)絡空間安全形勢日趨嚴峻，網(wǎng)絡安全攻防演練逐漸成為常態(tài)化需求。“拿下10個shell，不如打下一個內(nèi)網(wǎng)”，內(nèi)網(wǎng)安全的重要性不言而喻。但在攻防對抗中，攻擊者往往只要找到一個弱點便可直擊企業(yè)心臟，防守者卻需要全面考慮風險點，稍有疏忽便功虧一簣。我們唯一確信的是：新的威脅在不斷出現(xiàn)，企業(yè)一定存在未被掌控的風險點，而攻擊者一定會在某次攻擊中將其洞穿。

“攻擊者什么時候進攻?如何知道攻擊者打到哪了?攻擊者打進來都干了什么?”

對守方來說，永遠無法預知攻擊者下一步的進攻方式。傳統(tǒng)安全產(chǎn)品無法應對頻發(fā)的0day攻擊，亦無法精準感知攻擊隊進程，被內(nèi)網(wǎng)漫游了仍不知道是哪里失守。

此時，攻擊欺騙防御技術(shù)便成了一支奇兵，通過構(gòu)造一系列虛假環(huán)境，有意誤導攻擊者走入“獵人”設置好的陷阱，通過先發(fā)制人幫助企業(yè)消除攻防信息的不對等、保護企業(yè)真實資產(chǎn)，不再被動響應、盲目挨打。

具體來說，企業(yè)采取了更加主動的防御措施以消耗攻擊成本，例如部署蜜罐，提供虛假設備或服務來誘捕攻擊者，誤導攻擊者采取錯誤的攻擊方式與工具，這正是攻擊欺騙防御的主要落地形式。一旦攻擊者觸碰蜜罐系統(tǒng)或打開蜜標文件，即刻會被防守方監(jiān)測，但攻擊者對此尚無感知。在對蜜罐掃描、探測、訪問的過程中，蜜罐系統(tǒng)在不斷消耗攻擊資源、拖延攻擊時間、記錄攻擊行為。防守方從而得以了解攻擊方的工具、方法和動機，不僅對當前面對的未知安全威脅有了清晰認知，也能夠通過技術(shù)和管理手段來增強實際系統(tǒng)的安全防護能力。

攻擊欺騙：源于蜜罐，勝于蜜罐

陷阱能否成功迷惑敵軍，重點在于偽裝得像不像。

攻擊隊也不傻，你有張良計，我有過墻梯。近年來反蜜罐技術(shù)逐漸興起，傳統(tǒng)開源蜜罐因為配置靜態(tài)、信息有限，只能簡單模擬一些操作系統(tǒng)、服務和應用，因此越來越容易被識破。魔術(shù)手法一旦曝光，觀眾便會覺得索然無味，低交互蜜罐逐漸失去了價值。

傳統(tǒng)低交互蜜罐示意圖

經(jīng)過長達三十年的技術(shù)演變，如今的高交互蜜罐早已不再囿于蜜罐，而是配合了蜜網(wǎng)、蜜標等其他欺騙手段，我們應該稱之為攻擊欺騙防御體系。該體系不僅可防護具有大規(guī)模影響范圍的非定向攻擊，也大大提升了對個體性定向攻擊的監(jiān)控效率。既可以單獨使用，也可以部署于業(yè)務系統(tǒng)之上，還可與已有的網(wǎng)絡防御機制聯(lián)動，提高系統(tǒng)識別威脅和應急響應的能力。相比傳統(tǒng)蜜罐，該體系更像是配備了激光的“幻影誘餌”，團隊作戰(zhàn)，且騙術(shù)高超。

1. 混合式蜜罐

集低交互和高交互蜜罐為一體的混合式蜜罐，既具備低交互蜜罐對資源要求低的好處，也擁有高交互蜜罐響應能力高的優(yōu)勢。結(jié)合企業(yè)特點按需生成，大大降低了資源消耗。

2. 云蜜標

蜜標系統(tǒng)可生成極具誘惑性并含有“敏感數(shù)據(jù)”的Word、 PDF、 EXE 等蜜標文件，并將蜜標文件分發(fā)到蜜罐系統(tǒng)中。當攻擊者竊取蜜標文件并執(zhí)行打開操作時，蜜罐系統(tǒng)會接收回傳的攻擊主機信息，并發(fā)送給攻擊事件分析平臺，同時向運營者發(fā)出告警信息。而云蜜標的出現(xiàn)讓攻擊者更無遁逃余地，在任何網(wǎng)絡環(huán)境下打開文件，信息都會上傳至云端，告警更準確。

3. 自適應部署

誘捕面的合理部署是影響到防御效果優(yōu)劣的重要因素?？紤]到企業(yè)中安全運營人員的安全能力參差不齊，很難做到從攻擊視角完成Agent部署?，F(xiàn)在依托機器學習、人工智能技術(shù)，Agent會根據(jù)所部署的業(yè)務環(huán)境進行智能識別分析，自動推薦與業(yè)務系統(tǒng)高度一致的欺騙環(huán)境模板，并實現(xiàn)一鍵配置，大幅縮減安全運營所需人力和時間。

4. 精準溯源

當攻擊者觸碰欺騙模塊時，系統(tǒng)會記錄攻擊行為，識別攻擊者IP地址、社交賬號、指紋等信息，同時聯(lián)動全球威脅情報和安全大數(shù)據(jù)，對攻擊者進行畫像以及自然人社交身份定位。

5. 企業(yè)威脅情報源

攻擊欺騙防御技術(shù)一方面可利用已有威脅情報數(shù)據(jù)完善欺騙策略，另一方面也能將捕獲到的信息上報，助力企業(yè)生成自己的威脅情報源。

360攻擊欺騙防御服務部署示意圖

欺騙的價值在于攻擊者能得到“真實”的回應，讓他誤以為當前攻擊有效可行。無論攻擊者從哪一個入口進入、進行到任何攻擊階段，都有拖延之術(shù)，這就為防守方爭取了黃金防護時間，甚至還提供了反制的機會，圍魏救趙也不過如此。

360攻擊欺騙防御服務

依托360安全大腦的海量安全大數(shù)據(jù)，由漏洞云、威脅情報云以及超3800人的安全專家云賦能，360“攻擊欺騙防御”服務是基于攻擊欺騙理念，而推出的內(nèi)網(wǎng)威脅感知產(chǎn)品與安全專家相結(jié)合的主動防御服務。

360安全專家團隊擁有多年網(wǎng)絡攻防對抗實戰(zhàn)經(jīng)驗，可依據(jù)客戶的網(wǎng)絡和業(yè)務情況，推薦具有針對性的探針部署方案，通過高仿真蜜標、蜜罐和自定義蜜網(wǎng)的綜合應用，增強對惡意入侵者的攻擊捕獲能力、延緩攻擊進程，為企業(yè)贏取應急響應時間，保護企業(yè)真實資產(chǎn)。同時也可根據(jù)客戶需要，提供安全事件應急響應服務，輸出安全攻擊事件報分析報告，助力企業(yè)提升主動防御能力。

360攻擊欺騙防御服務支持本地安全大腦部署和云端安全大腦部署兩種模式。本地部署采用探針+server模式，對客戶原有網(wǎng)絡架構(gòu)不會產(chǎn)生任何影響。云端部署采用SaaS模式，可為您提供物理機級別的云上安全服務。您無需額外購買設備，只需通過部署極其輕量的軟件探針，即可極速構(gòu)建內(nèi)網(wǎng)安全體系。

云端服務優(yōu)勢

l 申請后24h 內(nèi)即可開通并部署，便捷高效

l 按月付費，自定義使用時間，精準量化服務成本

l 7*24小時安全專家技術(shù)支持，配合客戶進行應急響應

l 360安全大腦云端賦能，實現(xiàn)安全服務能力自動迭代升級