隨著攻防演習(xí)日益實(shí)戰(zhàn)化、常態(tài)化使得蜜罐從十幾年的老安全技術(shù)煥發(fā)新春，基于蜜罐演進(jìn)而來(lái)的欺騙防御也因此而名聲大噪，越來(lái)越多的安全廠商已經(jīng)將資源投入到此技術(shù)領(lǐng)域。

在最近信通院組織的蜜罐產(chǎn)品能力評(píng)測(cè)中，參與的主流廠商有36家之多。蜜罐技術(shù)火熱的背后，是蜜罐技術(shù)可有效彌補(bǔ)當(dāng)前網(wǎng)絡(luò)安全防御方案短板的巨大推力，同時(shí)，趨于常態(tài)化的攻防演習(xí)也是最大的催化劑之一。

在過(guò)去的攻防演習(xí)中，蜜罐不僅展示出面向攻擊優(yōu)秀的誘捕和溯源能力，在日常安全運(yùn)維中也體現(xiàn)出了不可或缺的獨(dú)特價(jià)值，這可能才是蜜罐真正的生命力。

基于對(duì)蜜罐技術(shù)的研究，結(jié)合對(duì)開(kāi)源蜜罐項(xiàng)目和商用欺騙防御類(lèi)產(chǎn)品的調(diào)研和分析，本文將從對(duì)當(dāng)前蜜罐產(chǎn)品使用的新技術(shù)介紹出發(fā)，來(lái)看未來(lái)欺騙防御的發(fā)展走向。

1. 環(huán)境仿真

傳統(tǒng)蜜罐通常提供的是“單維”的仿真，仿真特定的主機(jī)、服務(wù)、應(yīng)用環(huán)境等;而最新的蜜罐則需要的是“多維”的仿真能力，在之前的基礎(chǔ)上，可以結(jié)合用戶(hù)真實(shí)網(wǎng)絡(luò)或業(yè)務(wù)環(huán)境去定制環(huán)境仿真配置和數(shù)據(jù)。從而提供一個(gè)和用戶(hù)真實(shí)環(huán)境相近、能夠有效迷惑攻擊者的仿真誘捕環(huán)境。

試想，如果一個(gè)完整的虛擬環(huán)境，部署在用戶(hù)真實(shí)網(wǎng)絡(luò)之前，不僅可以有效推遲攻擊者進(jìn)攻的步伐，還可以獲得攻擊者的攻擊方式和行為邏輯等信息。

環(huán)境仿真技術(shù)主要包括軟件仿真技術(shù)、容器仿真技術(shù)、虛擬機(jī)仿真技術(shù)等，幾類(lèi)仿真技術(shù)所能提供的仿真能力和支持仿真的類(lèi)型示意如下：

幾類(lèi)仿真技術(shù)簡(jiǎn)要對(duì)比如下：

2. 攻擊誘導(dǎo)

攻擊誘導(dǎo)的目標(biāo)就是通過(guò)技術(shù)手段在攻擊者進(jìn)入網(wǎng)絡(luò)后主動(dòng)引誘攻擊者進(jìn)入到泥沼當(dāng)中不能自拔，在有限的仿真環(huán)境下提升命中率。常見(jiàn)的攻擊誘導(dǎo)技術(shù)包括：誘餌投放、流量轉(zhuǎn)發(fā)、虛擬IP等。在典型攻防演習(xí)場(chǎng)景中，攻擊誘導(dǎo)技術(shù)可以將主動(dòng)權(quán)互換，成為防守方獲取主動(dòng)權(quán)的利器。

2.1. 誘餌投放

誘餌是投放在互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)里的各種留給攻擊者的虛假情報(bào)，很多情報(bào)是都極具誘惑力，誘導(dǎo)攻擊者快速進(jìn)入被控狀態(tài)。

根據(jù)類(lèi)型和用途不同，可以分為日志誘餌、證書(shū)誘餌、賬戶(hù)誘餌、郵件誘餌、項(xiàng)目代碼誘餌等。誘餌包括IP地址、用戶(hù)賬戶(hù)、服務(wù)應(yīng)用路徑、密碼本等信息，當(dāng)攻擊者獲取誘餌里的信息后，一般會(huì)順藤摸瓜，沿著誘餌里線索提供的主機(jī)、服務(wù)、應(yīng)用進(jìn)行深入滲透，進(jìn)而將攻擊者引誘到陷阱之中。誘餌投放工作示意圖如下：

2.2. 流量轉(zhuǎn)發(fā)

通過(guò)流量轉(zhuǎn)發(fā)可以實(shí)現(xiàn)將攻擊者試圖訪問(wèn)正常資產(chǎn)的攻擊流量主動(dòng)轉(zhuǎn)發(fā)到仿真環(huán)境里。常見(jiàn)的流量轉(zhuǎn)發(fā)實(shí)現(xiàn)技術(shù)包括網(wǎng)絡(luò)轉(zhuǎn)發(fā)和主機(jī)轉(zhuǎn)發(fā)。

• 主機(jī)轉(zhuǎn)發(fā)：一般需要在主機(jī)上部署探針軟件，探針用于監(jiān)測(cè)客戶(hù)未使用的網(wǎng)絡(luò)端口來(lái)虛擬真實(shí)服務(wù)，通過(guò)探針將試圖訪問(wèn)這些端口的異常連接請(qǐng)求轉(zhuǎn)發(fā)到仿真環(huán)境里;
• 網(wǎng)絡(luò)轉(zhuǎn)發(fā)：根據(jù)威脅線索通過(guò)動(dòng)態(tài)調(diào)整網(wǎng)關(guān)設(shè)備策略等方式來(lái)將異常流量直接導(dǎo)入到仿真環(huán)境里。

流量轉(zhuǎn)發(fā)工作示意圖如下所示：

2.3. 虛擬IP

虛擬IP，顧名思義就是給單個(gè)主機(jī)綁定多個(gè)IP地址，通過(guò)在仿真環(huán)境里將IP資源綁定到蜜罐誘捕環(huán)境上來(lái)批量生成虛擬資產(chǎn)，提高蜜罐的覆蓋率，增加攻擊者攻擊蜜罐的概率。

虛擬IP工作示意圖如下所示：

3. 溯源反制

傳統(tǒng)的基于IP的溯源方法對(duì)攻擊者的身份信息獲取十分有限，很難及時(shí)對(duì)攻擊者進(jìn)行有效溯源和反制。蜜罐系統(tǒng)則給了防守方以反制攻擊者的機(jī)會(huì)，通過(guò)蜜罐里預(yù)設(shè)的反制手段，主動(dòng)獲取攻擊者主機(jī)或者網(wǎng)絡(luò)的信息，來(lái)更準(zhǔn)確的定位攻擊者的身份，實(shí)現(xiàn)更精準(zhǔn)的溯源。在典型攻防演習(xí)場(chǎng)景中，防守方只需要獲得虛擬身份即可，一個(gè)優(yōu)秀的蜜罐系統(tǒng)完成這個(gè)任務(wù)可謂手到擒來(lái)。

常用的溯源反制技術(shù)包括：WEB反制、掃描反制、密標(biāo)文件反制等方式。

3.1. WEB反制

攻擊者在瀏覽網(wǎng)站或WEB應(yīng)用頁(yè)面時(shí)，會(huì)下載頁(yè)面數(shù)據(jù)、腳本文件在用戶(hù)本地解析執(zhí)行、渲染展示。利用這個(gè)特性，將反制腳本嵌入到正常的網(wǎng)站或WEB應(yīng)用頁(yè)面里，攻擊者訪問(wèn)時(shí)也會(huì)將反制腳本自動(dòng)下載到攻擊者本地運(yùn)行來(lái)獲取溯源信息。

WEB反制是較常用的反制手段，可獲取的典型溯源信息包括：

• 獲取攻擊者主機(jī)操作系統(tǒng)和瀏覽器的特性信息，包括攻擊者主機(jī)的操作系統(tǒng)類(lèi)型、操作系統(tǒng)時(shí)區(qū)、屏幕分辨率、瀏覽器指紋、瀏覽器類(lèi)型、瀏覽器版本等信息;
• 通過(guò)應(yīng)用的JSONP漏洞獲取攻擊者主機(jī)上曾經(jīng)使用過(guò)的社交賬號(hào)、攻擊者手機(jī)號(hào)等個(gè)人信息;
• 對(duì)攻擊者本地端口進(jìn)行掃描，獲取攻擊者本機(jī)開(kāi)放端口等數(shù)據(jù);

WEB反制工作示意圖如下所示：

3.2. 掃描反制

攻擊者在實(shí)施攻擊時(shí)大多數(shù)情況都會(huì)使用掃描器或攻擊工具，利用掃描對(duì)象、掃描器或攻擊工具的漏洞可以在攻擊者進(jìn)行掃描或嘗試攻擊的同時(shí)，反向來(lái)獲取攻擊者的身份信息。

通過(guò)在仿真環(huán)境里預(yù)設(shè)一些針對(duì)特定服務(wù)、掃描工具的反制模塊，當(dāng)攻擊者采用這類(lèi)工具實(shí)施掃描或攻擊時(shí)會(huì)觸發(fā)對(duì)應(yīng)反制模塊，實(shí)現(xiàn)讀取攻擊者設(shè)備指紋和身份信息來(lái)實(shí)現(xiàn)反制。當(dāng)前部分欺騙防御產(chǎn)品里已使用了掃描反制技術(shù)，較常用的掃描反制手段包括MySQL反制、SQLMap反制、AWVS反制等。

掃描反制工作示意圖如下所示：

3.3. 蜜標(biāo)反制

蜜標(biāo)文件多采用攻擊者感興趣的文件類(lèi)型或文件名稱(chēng)，通過(guò)代碼捆綁等技術(shù)向該文件中嵌入特定數(shù)據(jù)和代碼，通過(guò)構(gòu)造場(chǎng)景引誘攻擊者去訪問(wèn)、下載蜜標(biāo)文件，當(dāng)攻擊者下載并在本地打開(kāi)蜜標(biāo)文件時(shí)，就會(huì)觸發(fā)內(nèi)嵌代碼，記錄并回傳攻擊主機(jī)和攻擊者特征信息來(lái)實(shí)現(xiàn)溯源和反制。

蜜標(biāo)反制工作示意圖如下所示：

采用蜜標(biāo)文件來(lái)反制對(duì)防守方安全能力要求較高，需結(jié)合用戶(hù)業(yè)務(wù)環(huán)境特點(diǎn)來(lái)制作蜜標(biāo)文件，同時(shí)將蜜標(biāo)文件部署在攻擊者較容易訪問(wèn)的位置才能取得更好的效果。

4. 未來(lái)欺騙防御發(fā)展預(yù)測(cè)

攻防演習(xí)已向常態(tài)化與實(shí)戰(zhàn)化邁進(jìn)，攻防演習(xí)雖不提蜜罐，但處處是蜜罐，但此蜜罐非彼蜜罐，筆者更傾向于稱(chēng)其為“欺騙防御”或“仿真誘捕”技術(shù)，傳統(tǒng)的利用高交互蜜罐一招溯源攻擊者的歷史一去不復(fù)返，而復(fù)雜的可以和真實(shí)計(jì)算環(huán)境融合的新一代欺騙防御技術(shù)和產(chǎn)品需求會(huì)越來(lái)越旺盛。全球知名的IT研究與顧問(wèn)咨詢(xún)公司Gartner評(píng)價(jià)“欺騙防御”技術(shù)是對(duì)現(xiàn)有安全防護(hù)體系產(chǎn)生深遠(yuǎn)影響的安全技術(shù)。在Gartner 2020年安全運(yùn)營(yíng)技術(shù)成熟度曲線報(bào)告中，分析師將“欺騙平臺(tái)”這項(xiàng)技術(shù)放在了“期望膨脹期”，并將目前的成熟度定義為“青春期”，預(yù)計(jì)該技術(shù)會(huì)在5至10年后達(dá)到成熟并被廣泛使用。

基于最新蜜罐技術(shù)演進(jìn)分析，結(jié)合當(dāng)前欺騙防御行業(yè)發(fā)展態(tài)勢(shì)，筆者認(rèn)為未來(lái)幾年欺騙防御市場(chǎng)和產(chǎn)品發(fā)展將有以下幾個(gè)趨勢(shì)。

4.1. 欺騙防御技術(shù)應(yīng)用會(huì)更廣泛

欺騙防御作為主動(dòng)防御的范疇，在多個(gè)領(lǐng)域都能發(fā)揮他獨(dú)特的價(jià)值。應(yīng)用到威脅監(jiān)測(cè)方面利用它誤報(bào)低的優(yōu)點(diǎn)，可以作為常態(tài)化運(yùn)維監(jiān)測(cè)工具使用，也可以將其作為一個(gè)引擎或者模塊集成到其他安全產(chǎn)品里，賦能其他產(chǎn)品提供威脅誘捕的能力;應(yīng)用到溯源領(lǐng)域，利用多種反制手段，可以提供對(duì)攻擊的精確溯源;同時(shí)，欺騙防御可以產(chǎn)出高質(zhì)量的本地威脅情報(bào)，這些情報(bào)數(shù)據(jù)可以和本地比如WAF、FW進(jìn)行聯(lián)動(dòng)或者集成來(lái)提高全網(wǎng)主動(dòng)防御能力。正是由于欺騙防御在多個(gè)領(lǐng)域均有著重要作用，因此未來(lái)欺騙防御技術(shù)勢(shì)必應(yīng)用也會(huì)更加廣泛。

4.2. 集合網(wǎng)絡(luò)測(cè)繪技術(shù)的計(jì)算環(huán)境仿真

誘捕環(huán)境能否有效迷惑攻擊者，關(guān)鍵還得看誘捕環(huán)境是否能仿得足夠真，較簡(jiǎn)單的仿真環(huán)境，較容易被攻擊者識(shí)破，很難有效拖延攻擊者的攻擊行為。為了有效提升誘捕環(huán)境的仿真度，通過(guò)集合網(wǎng)絡(luò)測(cè)繪技術(shù)來(lái)對(duì)用戶(hù)網(wǎng)絡(luò)進(jìn)行測(cè)繪，基于測(cè)繪的結(jié)果來(lái)仿真出跟用戶(hù)真實(shí)網(wǎng)絡(luò)近似的誘捕網(wǎng)絡(luò)，同時(shí)，基于測(cè)繪的結(jié)果自動(dòng)去優(yōu)化攻擊誘導(dǎo)策略來(lái)提高成功誘捕攻擊的概率，打造一個(gè)貼近用戶(hù)真實(shí)網(wǎng)絡(luò)，可以有效迷惑攻擊者、主動(dòng)誘導(dǎo)攻擊行為的誘捕網(wǎng)絡(luò)環(huán)境，將能有效助力威脅誘捕能力的提升。

4.3. 仿真模板行業(yè)化、業(yè)務(wù)化

將仿真基礎(chǔ)能力和仿真業(yè)務(wù)能力松耦合，產(chǎn)品提供仿真基礎(chǔ)能力支撐，采用模板來(lái)管理和維護(hù)行業(yè)化、業(yè)務(wù)化的仿真業(yè)務(wù)能力;通過(guò)系統(tǒng)自動(dòng)學(xué)習(xí)，或者提供直觀、簡(jiǎn)便的接口支持用戶(hù)自定義等方式來(lái)生成仿真模板，支持通過(guò)模板實(shí)現(xiàn)仿真業(yè)務(wù)能力的共享。這樣可以大大提高欺騙防御產(chǎn)品部署時(shí)業(yè)務(wù)適配的靈活性和效率，有助于提升產(chǎn)品和行業(yè)業(yè)務(wù)的貼合度，有利于加速欺騙防御產(chǎn)品的應(yīng)用和推廣。

4.4. 溯源仍然是未來(lái)重點(diǎn)之一

傳統(tǒng)的溯源手段對(duì)攻擊者的身份信息獲取十分有限，面臨定位不準(zhǔn)、取證調(diào)查難等諸多困難。采用欺騙防御可以提供更加精準(zhǔn)的溯源手段，能夠更準(zhǔn)確的定位攻擊者的身份，為防守方提供更精準(zhǔn)的溯源能力。因此，溯源能力仍然是欺騙防御類(lèi)產(chǎn)品的未來(lái)重點(diǎn)方向之一。隨著攻防對(duì)抗的演進(jìn)，所采取的溯源反制手段也需同步迭代，同時(shí)反制手段需結(jié)合用戶(hù)業(yè)務(wù)環(huán)境特點(diǎn)去定制化才能取得更好的效果，因此，投入成本相對(duì)較高，主要應(yīng)用在大中型企事業(yè)機(jī)構(gòu)和對(duì)溯源有強(qiáng)需求的場(chǎng)景里使用。