欺騙防禦研究綜述

欺騙防禦(Deception)是防守者得以觀察攻擊者行為的新興網絡防禦戰術，通過誘騙攻擊者和惡意應用暴露自身，以便研究人員能夠設計出有效防護措施。欺騙防禦技術可以增強甚至有可能替代威脅檢測和響應類産品（TDR），能夠提供低誤報、高品質的監測資料。是以，企業安全人員在建構自身威脅檢測能力時候，應該認真考慮将欺騙防禦技術加入其安全防禦體系中。

在傳統安全防禦認知中，防守者需要確定所有資産100%安全，而攻擊者卻隻需要抓住一次機會就可以收獲成果。但是欺騙防禦技術，卻跟傳統安全模型完全相反。攻擊者除非100%正确，否則就會被“地雷”絆倒，而防守者卻幸運的多，隻需要絆倒一次攻擊者就能清楚了解攻擊者資訊。

1.欺騙防禦工具工作原理

欺騙防禦平台有一個集中管理系統，用來建立、分發和管理整個欺騙環境以及各個欺騙元素，主要包括工作站、伺服器、裝置、應用、服務、協定、資料和使用者等元素。雖然這些元素都是虛拟出來，但與真實資産幾乎一緻，是以可被用作誘餌來吸引攻擊者。

圖1 欺騙防禦工具工作原理

1）安全團隊

安全團隊在整個過程中扮演重要角色，他們需要明确企業組織保護目标，以及監控來自欺騙工具的警報。一些成熟的企業組織除了使用欺騙防禦的正常功能以外，已經将其擴充到一些更複雜的場景中，比如生成本地威脅情報、威脅追蹤或主動防禦等。一旦選擇具體的使用場景，欺騙防禦技術将會通過設定一些參數來增強整體防禦技術，首先可以通過人工生産大量欺騙資産内容；其次設定盡量逼真的環境，提高欺騙的逼真度；最後将欺騙資産陷阱部署到合适位置上。

2）欺騙工具

一旦想清楚需要部署哪種類型的欺騙活動，接下來就是要生産和部署相應的“陷阱”。這些陷阱可以是虛拟“赝品”、誘餌等，常見的欺騙場景類型包括：

（1）圈套：假網絡、假VLAN和假子網。

（2）誘餌：假伺服器及PC電腦。

（3）蜜罐：僞造資料、檔案夾、檔案、身份或者使用者。

但是每個類型欺騙場景的複雜性是不一樣，如下圖所示：

圖2 不同類型欺騙場景複雜度

為了建立看起來既真實又可信的“假象”，欺騙防禦工具将通過檢查企業幾個資訊存儲庫，如Active、Directory、CMDB資料庫等，來了解企業正在使用的命名、擁有資産狀況等資訊。一旦建構了欺騙使用場景，欺騙防禦工具将通過其自帶的“管理系統”來管理其部署，比如通過虛拟化部署或者使用雲服務方式部署。

3）攻擊者

攻擊者通常情況會使用洛克希德·馬丁定義的“殺傷鍊”中一種方法進行攻擊。在整個攻擊過程的一些環節部署欺騙防禦産品可以暴露攻擊者。這些階段是：

（1）偵察階段：攻擊者在決定行動之前通常必須接觸和調查一個環境。例如，通過ping方式連接配接伺服器，可以輕松發現那些未打更新檔的軟體版本。但是這種連通，無論它是多麼隐蔽，都不應該發生在用來欺騙的資産上。

（2）橫向移動：在這個階段，攻擊者從一個資産移動到另外一個資産。同樣，如果這個新移動資産和攻擊跳闆是欺騙防禦的一部分，那麼攻擊者很快就會被發現。

（3）資料收集：在這個階段，攻擊者接近他們的目标。這時候攻擊者已經接近那些包含有價值資料的伺服器和檔案夾。但是這些檔案夾和文檔都是假的。這時候系統可能已經發送了一個警告，通知安全團隊攻擊者正在尋找的檔案類型。

（4）遞送：這個階段指的是将攻擊武器傳輸到指定位置（例如，通過電子郵件附件、網站或USB驅動器），但是攻擊目标卻是假資産（例如VLAN中的假伺服器）。

2.欺騙防禦工具五大實踐場景

企業組織應根據其成熟度來确定哪些檢測場景與它們相關，如下圖所示：

圖3 欺騙防禦工具實踐場景

1)基礎威脅檢測

欺騙防禦最簡單使用場景是通過部署簡單的觸發傳感器和正常情況下無人接觸的控件來提供基本的威脅檢測。

這個場景适用于中小型企業，針對企業中潛伏的威脅提供基本的警報。有的企業可能已經有SIEM産品，在這種情況下欺騙防禦工具可向SIEM提供高價值資料資訊來補充檢測覆寫率。對于還沒有部署相關檢測工具的企業，欺騙防禦工具可能是建構有效的威脅檢測功能的第一步。

這類欺騙防禦産品雖然是低互動的、可信度也不高，但它們仍然能夠有效地檢測不成熟的攻擊者。這類場景具有以下這些特征：

表一：基礎威脅檢測實踐場景

2)進階威脅檢測和響應

随着攻擊者手段變得越來越複雜，盡管低互動欺騙防禦工具是可以接受的，但不得不說高可信度欺騙工具正變得越來越重要。企業可尋找那些能夠與EDR、FW、SOAR廠商的産品進行內建并且可提供高可信度欺騙工具的供應商。

進階威脅檢測和響應場景适用于那些希望在企業中啟動威脅檢測和響應功能的中小企業。中小企業通常沒有SIEM、UEBA和安全編排、自動化和響應（SOAR）等安全工具。同時，該場景它也适用于更成熟的企業組織，用來補充他們在目前企業安全檢測中不足。

由于欺騙防禦工具的誤報率非常低，企業可輕松地啟用自動化操作來及時阻止攻擊。例如，隔離端點或關閉防火牆中的端口，而不必将事件發送到SIEM、SOC進行分類和響應。

提供進階威脅檢測和響應這類場景具有以下這些特征：

表二：進階威脅檢測和響應實踐場景

3)輸出IoC和MRTI

在這個場景中，将通過仔細觀察攻擊者來了解他們的操作方式和情報，為企業提供有價值的本地威脅情報資訊。該場景更适合成熟企業機構，這些機構通常已經擁有了一個威脅情報分析小組。

這類成熟企業組織，可尋找那些能夠提供高互動和高可信度的欺騙工具，此外他們還需尋找那些能過用過觀察攻擊者行為自動或指導生成本地威脅情報的工具。整個過程包括如何組織情報(STIX)，以及情報怎麼傳輸(TAXII)。

這類場景具有以下這些特征：

表三：輸出IoC和MRTI實踐場景

4)綜合主動威脅誘捕

實施先發制人的威脅誘捕通常基于一個需要被證明的假設。例如，“是否有一個攻擊者隐藏在這裡”，或者“如果我是一個攻擊者，我将這樣工作”，或者“核實一下攻擊者是否已經在自己内網站穩了腳跟。”

一個有針對性的欺騙活動，可以發現隐藏的攻擊者，尤其是當欺騙工具提供一種不可抗拒的誘餌時候。這個場景适合非常成熟的企業組織，這些組織擁有穩定的SOC，并且希望增強安全團隊的威脅誘捕能力。

威脅誘捕通常是一種高度互動、高度動态的活動，是以需要盡量減少“獵人”的停機時間。這是一個非常有效的工具，支援持續、主動和非時間敏感的威脅追蹤。

這類場景具有以下這些特征：

表四：綜合主動威脅誘捕實踐場景

5)主動攻擊防禦

在這個場景中，欺騙工具為防禦者建構了一個對他們有利的戰場，并将攻擊者引向該戰場。

此場景僅适合非常成熟的組織使用，這些組織具有強大的SOC，強大的威脅情報和威脅檢測功能，以及在滲透測試和其他紅藍對抗方面有豐富經驗。實際上，組織中應該可以随時獲得建構戰場并與攻擊者進行實時戰争的能力。

在這個場景中，企業尋找提供高互動性和高可信度欺騙工具的供應商。平台的靈活性是關鍵，API驅動的可程式設計性也是非常關鍵。

這類場景具有以下這些特征：

表五：主動攻擊防禦實踐場景

3.欺騙防禦技術帶來的安全價值

1)沒有大資料也能做威脅檢測

欺騙防禦工具是通過模拟“正确的資料”通路來檢測威脅，與SIEM、UEBA或NTA等技術需要從“大資料”中發現威脅大不相同。欺騙工具采用的是正确的資料方法，而不是大資料方法。

到目前為止，威脅檢測方法主要依賴于大資料方法。這需要企業從各個角落獲得盡可能多的監測資料，并對該資料集進行盡可能的分析，以暴露潛在的威脅。事實證明，這種方法很有價值，但也付出了代價。日志集中、日志存儲、日志分析都非常耗費資源。

欺騙防禦以不同的方式處理威脅檢測問題。欺騙工具将通過僞造或誘餌的形式在整個組織中部署一個欺騙防禦系統。一旦攻擊者與這些誘餌發生互動，安全人員将會收到相關攻擊者的資訊。以青藤雲安全的微蜜罐為例，就是讓主機對各端口進行監聽，進而擴大監控範圍。通過這樣消耗小而覆寫面廣的蜜罐配置，發現黑客端攻擊行為的機率就會大大提升。

2)讓幸運的天平向防守者傾斜

在正常情況之下，防禦者需要確定100%正确，而攻擊者隻需幸運地找到一個漏洞，就能在其他方面保持領先的網絡安全态勢。而欺騙防禦，讓防守者更有利。例如，在偵查階段，即使大部分是離線完成的，攻擊者也需要随機地接觸一些系統。這些輕量接觸行為，并不會觸發SIEM、UEBA警報。但是如果所接觸的任何系統有一個欺騙防禦内容，那麼攻擊就會被發現。攻擊者需要特别幸運才能達到他們的目标。

此外，對于那些盡管已經有了檢測解決方案，但仍然擔心被攻破的組織來說，欺騙可能是發現攻擊者的唯一方法。當檢測解決方案無法發現攻擊者的操作行為，或者當UEBA将攻擊者的行為存在視為正常時，部署欺騙構件可能是捕獲攻擊者的唯一方法。同樣，欺騙會讓運氣因素向防守方傾斜。

3)減少誤報讓工作更有效

按照設計，欺騙防禦鞏固在不被使用時通常是無聲的。這與大多數安全解決方案有所不同，它們旨在分析所有活動，而對好活動的任何錯誤判斷都會導緻誤報。

在極少數有些情況會産生誤報，例如，漏洞管理掃描工具可能會偶然發現欺騙系統，觸摸它們并産生誤報。但這可以通過在掃描工具中添加白名單位址來解決。

總的來說，欺騙工具産生的誤報比許多檢測方法要少，但代價是不完全覆寫。将欺騙部署到所有地方成本太昂貴且不切實際，是以安全人員需要通過基于覆寫率需求和預算的部署和操作成本來平衡欺騙系統的密度。

結束語：

本文簡單介紹了一種基于欺騙防禦的入侵檢測技術，企業可以将欺騙工具作為正常威脅檢測的替代方案，它們可以極大提高告警的品質。選擇與其TDR功能成熟度一緻的場景，并識别與它們的情況相關的工具特征。

當然，欺騙防禦技術自身仍然擁有一些局限性。最主要的就是基礎設施覆寫範圍。任何沒有部署欺騙控件的資産都不會得到對應的防護。這對于那些對環境有了解的惡意内部人員來說，他們可以進行精準的攻擊，而不需要進行随機的、危險的偵察階段。一個組織需要權衡并接受基于可用資源的欺騙覆寫率，特别是當它是部署的唯一威脅檢測工具時。