网络欺骗

网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。（来自百度百科）

现代网络欺骗技术的基本思路是：让敌人对攻击产生错误感知。其目的是使对手的任何恶意行为都受到欺骗的不利影响，从而减少风险并改善组织的安全状况。从设计上来说，这种方法既适用于人工攻击，也适用于自动化对手，并且可以同时检测到外部威胁和来自内部员工、供应商的内部威胁。

恶意的攻击者和使用欺骗技术的防御团队都会思考人为控制与自动控制的问题。这两种控制的功能目标都是制定一个误导环境来欺骗对手。两者都采取转移注意力的措施，将正常活动从真实资产转向一系列用于防御的欺骗性或虚假资产。这两种情况也说明了组织将如何通过欺骗防御技术显著改善他们的整体安全态势。

任何欺骗性系统的模式都很简单：正常和恶意的用户都能够通过一个公共接口访问界面，但欺骗性的资产界面在不刻意搜寻的情况下是隐藏的，这就突出了那些急切地在寻找切入点的恶意攻击者，然后，这个接口会使用欺骗性诱饵和重定向访问功能将攻击者隔离到欺骗性系统之中。

对于任何基于欺骗的方案都存在这样一个挑战：对手可能有能力，且不容易被虚假的入口点、接口或服务所欺骗。类似地，自动化攻击(比如来自僵尸网络的攻击)不会受到主观暗示或可能欺骗到人类的陷阱的影响。当然，这并不能说明欺骗技术不可以阻止自动攻击，相反，它只要适时改变所需的策略就可以完美应对。

为什么现在需要欺骗防御？

欺骗防御（Deception）是防守者得以观察攻击者行为的新兴网络防御战术，通过诱骗攻击者和恶意应用暴露自身，以便研究人员能够设计出有效防护措施。欺骗防御技术可以增强甚至有可能替代威胁检测和响应类产品（TDR），能够提供低误报、高质量的监测数据。因此，企业安全人员在构建自身威胁检测能力时候，应该认真考虑将欺骗防御技术加入其安全防御体系中。

有以下两种因素使欺骗技术成为目标环境急需引入的一种重要控制手段:

• 攻击的不可避免性——大多数网络专家强调预防攻击至关重要，而且必须继续下去; 但与此同时，也有部分专家认为，意志坚定的对手总能找到攻击关键资产的方法，攻击是不可避免的。而使用欺骗防御技术不仅能够在前期预防时迅速检测并发现攻击行为，还可以在攻击进行时作出快速而正确的事件响应。
• 攻击的整体感知——现代网络攻击可以检测到攻击者所在环境，并在目标系统中使用指示器对攻击策略进行动态决策。这个优势一向是手动攻击者所持有的，随着科技的进步，现在自动化攻击也可以进行动态决策了。出于这个原因，安全防御体系需要欺骗技术来灵活地调整应对方式。

使用欺骗手段对付敌人

在与对手的战斗中，欺骗有着丰富的历史。例如军事团队早就知道使用欺骗手段对付敌人，典型事件有特洛伊木马和草船借箭。在防守方利用欺骗技术预防攻击或应对现有冲突时，具体优势可列举如下:

• 高价值成本比——与在实时系统中引入更主动的功能控制相比，部署欺骗系统使用的成本通常比较低。第二次世界大战的一个非计算机类的例子是使用模拟的军用车辆和装备，包括充气坦克，使侦察机误以为是一整个军队，错误估算攻击的目标和涉及的力量。显然，充气坦克要比真正的便宜得多。
• 支持战略分析——任何欺骗性的诱捕行动都为分析人员提供了观察、回顾、互动和学习攻击者的机会。所搜集的信息也可以保证高仿真资产在可控条件下与敌人进行安全接触，防止实体资产遭到破坏。
• 易于部署和使用——对于大多数应用程序来说，欺骗的部署相对简单——就和话剧布景和真实城市的建造难度一样没有可比性。当然，投入部署的工作量将直接关系到欺骗陷阱及内容的真实性和可信度

由于这些原因，在计算机上实施欺骗是现代网络风险管理的自然发展趋势。事实上，人们也将欺骗技术的引入视为网络安全行业中最令人印象深刻和激动人心的事件之一。同时，欺骗防御技术还能够在关键基础设施应用和医疗物联网设备威胁检测方面等发挥重大作用。

蜜罐

最早的欺骗技术是围绕着被称为蜜罐的精心设计的内容仓库而设计的。蜜罐的概念是相关的欺骗系统通过放置特别制作的信息、服务、数据或其他被认为对对手有吸引力的资源，成功地建立一个基于攻击者的持久性陷阱。就如同在捕鼠夹上放置奶酪。

在欺骗系统中，蜜罐的最初概念通常包括一个防御者与一个攻击者进行实时交互，这样互动的来回将像国际象棋比赛一样展开。比尔·切斯维克(Bi1l Cheswick) 在20世纪90年代曾写过他在贝尔实验室(Be1l Labs)利用这类方式诱捕黑客的经历。他写道:

• “1991年1月7日，一个黑客认为他在我们的因特网网关机器上发现了著名的 sendmail 调试漏洞，并试图获取我们的密码文件副本。于是我给他发了一个。”

手动创造一个蜜罐需要防御者高超的技术和洞察力，他们必须了解攻击者的兴趣倾向以及自动化攻击的功能倾向。这就要求创建、维护和支持蜜罐的过程必须遵循一个良好的生命周期，以确保欺骗性内容的真实性和有效性。

蜜罐内容的生命周期从研究对手的属性开始。这包括人为设计一个充满诱惑力的欺骗性蜜罐。第二步涉及创造蜂蜜的内容，必须与攻击者攻击目标一致，如果僵尸网络成为蜜罐的目标，那么内容必须与僵尸网络程序可能发现的内容一致。

第三步涉及如何以一种不会被对手发现的方式实际部署蜜罐，这可以通过机构评估判断此类方法是否适用于当前环境。最后，生命周期还会持续监控蜜罐的使用情况，适时调整与完善蜜罐。

欺骗的基本模式

欺骗式防御并不等同于传统的蜜罐技术，除了具备与攻击者交互的能力外，欺骗式防御技术工具重在伪装和混淆，使用误导、错误响应和其他技巧诱使攻击者远离合法目标，并将其引向蜜罐和其他诱骗系统，增加攻击的难度和成本，属于主动防御的重要组成部分。

欺骗防御平台有一个集中管理系统，用来创建、分发和管理整个欺骗环境以及各个欺骗元素，主要包括工作站、服务器、设备、应用、服务、协议、数据和用户等元素。虽然这些元素都是虚拟出来，但与真实资产几乎一致，因此可被用作诱饵来吸引攻击者。

典型网络中用于欺骗的基本模式通常包括以下几个部分。首先，在目标系统中战略性地放置欺骗陷阱。其次，这些陷阱需要一个通向欺骗收集分析系统的安全通信路径。最后，基础设置和内容布置需要一个用于日常支持的管理系统。而将欺骗系统本地集成到目标环境中可以大大简化这些任务。

显然，这种欺骗模式是高层次的，旨在为大多数企业网络如何部署商业欺骗工具提供一个基本的、概念性的观点。这使企业正朝着更广泛地使用公共云和移动网络的方向发展。

此外值得一提的是，欺骗解决方案很少集成到生产设计中。相反，在网络安全的早期，在防御体系中加入欺骗之前，目标系统就已经开始运作了。因此，大多数现代的欺骗部署，通常会涉及对现有网络、系统、应用程序和数据库的架构覆盖。

关于欺骗技术的一个常见的误解是，它的部署和管理具有挑战性。这个问题在老的欺骗技术中可能是真实的，比如传统的蜜罐和蜜网，但是今天的商业欺骗技术具有一些特性，可以有效地执行和操作。

旧的欺骗技术可能需要几周的时间来设置和部署，机器学习和相关的高级启发法已经开始大大简化这个过程，机器学习通过提出与生产环境匹配的诱饵和欺骗凭证使部署变得简单。现在和未来的欺骗防御部署将越来越依靠这种启发式处理来自动生成、部署和维持欺骗的进行及其真实性的维持。

组织可以在不到一小时的时间内部署一个现代的欺骗平台，并轻松地配置它来满足他们的需要，同时利用一个中央仪表板来方便地管理和简化操作。现代欺骗技术为各种规模的组织提供了灵活性，以建立一种先发制人的防御。

本期内容详解、更多知识扩展，可观看视频：https://www.bilibili.com/video/BV1Ca411F7nK