網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗，而對抗的本質(zhì)則是攻防兩端能力較量。為了扭轉(zhuǎn)網(wǎng)絡(luò)安全攻守不對等及被動(dòng)防御滯后的局勢，主動(dòng)出擊、欲擒故縱、誘敵深入的技術(shù)正在被大量應(yīng)用到網(wǎng)絡(luò)安全防御中，它們被稱作欺騙式防御。隨著信息安全和網(wǎng)絡(luò)安全工作的深入開展，特別是攻防演練、情報(bào)生態(tài)的發(fā)展，基于蜜罐仿真、擬態(tài)仿真、移動(dòng)目標(biāo)防御的欺騙式防御技術(shù)陸續(xù)產(chǎn)品化并大量落地應(yīng)用，彌補(bǔ)了傳統(tǒng)被動(dòng)式防御模式的諸多不足，也為構(gòu)建主動(dòng)式防御的新模式提供了更廣泛的支撐和幫助。

為了幫助企業(yè)組織更好地應(yīng)用欺騙式防御技術(shù)，發(fā)現(xiàn)目前較先進(jìn)的國產(chǎn)欺騙式防御產(chǎn)品及技術(shù)解決方案，安全牛在第十版《網(wǎng)絡(luò)安全行業(yè)全景圖》細(xì)分領(lǐng)域收錄基礎(chǔ)之上，進(jìn)一步開展了《2023年欺騙防御技術(shù)應(yīng)用指南》報(bào)告研究工作。

在本次報(bào)告編寫過程中，安全牛分析師通過問卷、訪談、走訪等形式，綜合調(diào)研了27家國內(nèi)提供欺騙防御技術(shù)產(chǎn)品和服務(wù)的供應(yīng)商，覆蓋蜜罐/蜜網(wǎng)、移動(dòng)目標(biāo)防御（MTD）、擬態(tài)防御等典型欺騙式防御技術(shù)領(lǐng)域，并從市場影響、產(chǎn)品化、行業(yè)應(yīng)用、服務(wù)保障和創(chuàng)新能力5大維度，對目前領(lǐng)域中的代表性廠商（見下表）進(jìn)行了評估收錄和特點(diǎn)分析。

圖片

報(bào)告關(guān)鍵發(fā)現(xiàn)

1、根據(jù)本次報(bào)告的調(diào)研數(shù)據(jù)測算，2022年我國欺騙防御技術(shù)的市場規(guī)模約為10.6億元人民幣，同比增長28.7%。其中，蜜罐/蜜網(wǎng)類技術(shù)（產(chǎn)品）的市場規(guī)模約為7.5億人民幣，同比增長21.9%，MTD技術(shù)的市場規(guī)模約為2.6億人民幣，同比增長29.7%；

欺騙防御技術(shù)市場發(fā)展預(yù)測

2、國內(nèi)欺騙防御技術(shù)的應(yīng)用和發(fā)展主要呈現(xiàn)以下特點(diǎn)：

• 實(shí)戰(zhàn)化背景下的攻防演練活動(dòng)是欺騙防御技術(shù)應(yīng)用發(fā)展的主要驅(qū)動(dòng)因素之一；
• 組織對欺騙防御技術(shù)的采購意愿多是由非合規(guī)性的安全事件驅(qū)動(dòng)；
• 組織對欺騙防御技術(shù)的應(yīng)用訴求多以攻擊誘捕和溯源反制為主；
• 在技術(shù)和產(chǎn)品的成熟度方面，已達(dá)到相對穩(wěn)定的可應(yīng)用狀態(tài)。

3、截至目前，國內(nèi)欺騙防御技術(shù)的應(yīng)用規(guī)模相比傳統(tǒng)檢測防御技術(shù)仍然較小，但隨著實(shí)戰(zhàn)化攻防演練活動(dòng)的持續(xù)開展，黨政、金融、運(yùn)營商、能源、軍工行業(yè)等行業(yè)的企業(yè)組織對欺騙防御技術(shù)的應(yīng)用需求正在呈現(xiàn)快速增長態(tài)勢，占整個(gè)欺騙防御市場份額的68%；

欺騙防御市場行業(yè)分布

4、由于新冠疫情對網(wǎng)絡(luò)安全市場的整體影響，欺騙防御技術(shù)研發(fā)和創(chuàng)新在過去兩年中一度趨緩。而2023年開始，由于人工智能、大模型技術(shù)的火爆應(yīng)用，一定程度上推動(dòng)了網(wǎng)絡(luò)仿真技術(shù)的發(fā)展，布局智能化蜜罐、擬態(tài)蜜網(wǎng)、孿生網(wǎng)絡(luò)能力的安全廠商明顯增多；

5、本次報(bào)告對41家企業(yè)用戶進(jìn)行了欺騙防御技術(shù)的應(yīng)用滿意度調(diào)研，其中4.9%受訪企業(yè)表示應(yīng)用效果超出預(yù)期，7.4%的受訪企業(yè)表示達(dá)到預(yù)期，53.6%的受訪企業(yè)表示部分達(dá)到預(yù)期目標(biāo)，而有34.1%的受訪企業(yè)明確表示未能實(shí)現(xiàn)預(yù)期的應(yīng)用效果；

6、中、低交互型蜜罐成熟度較高，但誘捕能力有限；高交互型蜜罐適配業(yè)務(wù)方面更靈活，但場景化要求也更強(qiáng)。目前，行業(yè)中的部分先進(jìn)廠商蜜罐種類可達(dá)到近百種，但受到仿真能力的限制，多數(shù)品類仍屬于通用型蜜罐，行業(yè)型蜜罐應(yīng)用水平仍然較低；

7、研究發(fā)現(xiàn)，國產(chǎn)欺騙式防御技術(shù)未來將呈現(xiàn)情報(bào)化、協(xié)同化、簡易化、自動(dòng)化、智能化、行業(yè)化等發(fā)展趨勢。

應(yīng)用與挑戰(zhàn)

相比傳統(tǒng)的威脅檢測手段，欺騙防御技術(shù)可以實(shí)現(xiàn)精準(zhǔn)的威脅誘捕、攻擊檢測，避免漏洞探測和利用，為網(wǎng)絡(luò)安全構(gòu)建“防患于未然”的主動(dòng)安全體系。在政策引導(dǎo)和產(chǎn)學(xué)研融合的助推下，近幾年國內(nèi)欺騙防御市場的技術(shù)推廣、產(chǎn)品化、應(yīng)用場景、行業(yè)覆蓋等方面的能力都有不同程度的擴(kuò)展。

圖 欺騙防御技術(shù)應(yīng)用狀況

調(diào)研發(fā)現(xiàn)，欺騙式防御技術(shù)在落地應(yīng)用中的主要挑戰(zhàn)包括：

• 欺騙式防御技術(shù)的部署有較高的技術(shù)門檻，需要運(yùn)維人員對虛擬化、網(wǎng)絡(luò)系統(tǒng)有一定的理解；
• 實(shí)時(shí)變化的動(dòng)態(tài)場景對仿真及誘捕策略配置有較高要求；
• 溯源及反制能力不足，部署成本較高，且存在一定的合規(guī)風(fēng)險(xiǎn)；
• 欺騙防御難以與傳統(tǒng)安全防護(hù)體系形成很好的協(xié)同。

在企業(yè)部署應(yīng)用欺騙防御系統(tǒng)時(shí)，可以參考以下步驟建議：

1. 開展系統(tǒng)分析了解所有需要保護(hù)的信息系統(tǒng)情況是構(gòu)建欺騙系統(tǒng)的第一步，其內(nèi)容涉及網(wǎng)絡(luò)結(jié)構(gòu)、主機(jī)分布、系統(tǒng)類型、重要應(yīng)用、關(guān)鍵數(shù)據(jù)等信息，對于防守信息系統(tǒng)的理解越深入，越有利于欺騙系統(tǒng)的構(gòu)建。待保護(hù)資產(chǎn)將根據(jù)其位置、用途、類型和協(xié)議等進(jìn)行映射，并配合流量分析引擎，將網(wǎng)絡(luò)和資產(chǎn)映射為欺騙方案的一部分。
2. 設(shè)置誘餌誘餌和面包屑的部署是為了提升欺騙效果而設(shè)置的，它們看起來應(yīng)盡量和真實(shí)資產(chǎn)一樣。誘餌是虛擬資產(chǎn)，最好的欺騙誘餌是高度接近真實(shí)生產(chǎn)資產(chǎn)的誘餌，“真實(shí)”誘餌可以是企業(yè)打算淘汰的舊系統(tǒng)，也可以是生產(chǎn)環(huán)境中的新服務(wù)器，并將它們放在相同的位置，具有相同的服務(wù)和防御。而面包屑可以是文件、數(shù)據(jù)、電子郵件等等，沿途布置一條與攻擊目標(biāo)有關(guān)的面包屑痕跡，能夠吸引攻擊者進(jìn)入陷阱。
3. 部署欺騙組件欺騙組件的部署情況直接決定欺騙系統(tǒng)的成敗，需要注意的，一是要講究策略，結(jié)合第一步系統(tǒng)分析的結(jié)果，從攻擊者的視角出發(fā)考慮問題；二是要注意欺騙組件和現(xiàn)有系統(tǒng)的融合，避免孤立的使用欺騙技術(shù)和組件；三是盡量采用自動(dòng)化的方法進(jìn)行部署，以確保準(zhǔn)確部署和后續(xù)的擴(kuò)展性。
4. 持續(xù)監(jiān)測與動(dòng)態(tài)調(diào)整能夠?qū)粽唛_展攻擊監(jiān)測是欺騙系統(tǒng)的重要作用之一，相比傳統(tǒng)的被動(dòng)式防御方法，欺騙式防御系統(tǒng)在攻擊監(jiān)測方面表現(xiàn)更加突出。通常情況下，欺騙系統(tǒng)應(yīng)該在攻擊每次訪問或嘗試訪問誘餌時(shí)觸發(fā)警報(bào)，并向安全團(tuán)隊(duì)報(bào)告受到攻擊的情況，報(bào)告應(yīng)該盡量全面的反映攻擊的全部過程。還要注意的是，欺騙系統(tǒng)本身應(yīng)該是動(dòng)態(tài)變化的，需要伴隨真實(shí)系統(tǒng)變化而不斷進(jìn)行調(diào)整。

領(lǐng)域代表性廠商分析

在本次報(bào)告研究中，我們通過廠商訪談等形式，從市場影響、產(chǎn)品化、行業(yè)應(yīng)用、服務(wù)保障和創(chuàng)新能力5大維度，對當(dāng)前市場上實(shí)際能夠提供欺騙防御產(chǎn)品和服務(wù)的國產(chǎn)廠商進(jìn)行了評估分析，并選取了其中具有較高應(yīng)用代表性的10家廠商（排名不分先后，按首字母序排列）收錄進(jìn)本年度的《欺騙防御技術(shù)應(yīng)用指南》。

圖片

年度代表性廠商評估維度及考評項(xiàng)

安恒信息

圖片

長亭科技

圖片

斗象科技

圖片

觀安信息

圖片

錦行科技

圖片

默安科技

圖片

瑞數(shù)信息

圖片

衛(wèi)達(dá)信息

圖片

元支點(diǎn)

圖片

知道創(chuàng)宇

圖片

了解更多欺騙防御技術(shù)應(yīng)用信息，可關(guān)注即將于“安全牛商城”上架的完整版《2023年欺騙防御技術(shù)應(yīng)用指南》報(bào)告。