欺骗防御——构建积极主动安全防护体系的关键所在

安全合规已进入等保2.0时代，相比等保1.0，等保2.0最大的变化之一是由被动防御体系转变为构建积极主动的防御体系，强调在安全事件的前、中、后阶段具备主动防护与反制能力。注重等保合规建设的单位需在安全体系规划和安全设备选型等问题上作出实质性的合规响应。

传统安全建设思路以被动防御为主，习惯在边界上叠加安全设备，安全能力基于已知的攻击特征和规则匹配形成，针对内部的网络区域缺乏安全感知和防护手段。在当前网络攻击手法变化多端、攻防演练常态化、安全监管力度加大等背景下，传统安全建设思路已无法满足安全防护有效、安全监管合规等多方需求，各级单位面临较大的安全建设压力。

对于大多数单位来说，安全建设在资金投入、安全专业人员、技术实力等方面的资源是有限的，无法像头部行业的客户一样建设大型安全运营平台，自研或引入有效的基于AI等前沿安全技术工具，同时也缺乏专业的安全运营人员完成策略优化。如何利用有限的资源，建设主动防御能力并发挥真正的效果，是大多数单位要解决的一道难题。

作为近几年兴起，并在各类攻防演练活动中大放异彩的欺骗防御类产品，目前业内的认知依然停留在“蜜罐、抓攻击者、溯源加分”等浅层次的方面，对欺骗防御产品的理念、技术特点、应用方式、价值优势缺乏全面了解，与主动防御能力之间的内在联系更缺少深入研究。

MITRE推出的积极防御Shield框架中涵盖了引导、收集、控制、检测、破坏、促进、合法化、测试8大战术和33种技术，其中欺骗防御占比接近一半。在2021年的RSA大会上，MITRE将被动到主动防御的演变分为五个阶段：被动阶段、准主动阶段、主动欺骗阶段、入侵互动阶段、主动防御阶段。其中从准主动阶段到入侵互动阶段，均以欺骗防御为核心，构建诱捕、监控、溯源体系；在最后的主动防御阶段，强调对攻击链的还原和对攻击者的反制。因此，主动防御的核心是采用欺骗防御技术构建安全防护体系。

简言之，欺骗防御产品区别于传统安全产品的安全检测思路，以攻击者的目标、攻击思路、攻击步骤视角，构建覆盖整个攻击链路的防护链路，提供全面且主动性强的安全防守能力，达到精准感知、全程监控、溯源反制、闭环处置等安全目标，确保网络和业务的安全性。

与传统安全设备应用场景和方式相对固定不同，欺骗防御类产品能力的全面性、部署设计方案和应用的策略，直接决定了其发挥的防护效果和主动防御能力的水平，需要注意的关键点主要有以下几方面：

网络防护是对整个潜在攻击面的防护，欺骗防御产品体系要尽可能覆盖所有攻击面，才能最大限度发挥安全防护价值。在网络纵深上，要覆盖网络边界、网络流量、主机层、应用层、数据层等各维度，在网络环境上，对办公网、生产网、测试网等根据环境和业务特性进行不同方式的覆盖，构建欺骗防御体系化的感知能力，全面防御各类网络攻击。

欺骗混淆的效果是能否成功诱捕攻击者的前提，深度融入真实的环境尤为重要。除支持操作系统、应用服务类、网站类等业务仿真以及自定义沙箱仿真外，可自动检测单位内部现有服务，通过安全算法编排，将感知节点迅速关联沙箱，实现自适应业务场景。在节省人力部署成本的前提下，以安全人员的视角迅速张开蜜网，真正实现快速、自动化智能部署。

（幻阵：默安科技旗下欺骗防御产品）

欺骗防御安全能力辐射范围即防护范围，针对互联网网站类应用系统的防护，需支持以极低的成本虚拟成百上千个虚假仿真页面，与真实网页融合在一起，实现目录级欺骗防御能力覆盖。在内部环境覆盖方面，传统探针覆盖模式受限于产品成本，应支持在网络侧采用中继方式批量将不同VLAN内空闲IP与仿真沙箱进行关联，达到内部网络全覆盖的效果。

为实现真实业务的深度防护，欺骗防御产品要针对诱捕到的攻击者基于多维度的标记，在网络流量侧实时监控攻击者的访问目标、行为、过程等信息，确保攻击可控的同时，通过分析攻击者行为、挖掘内部存在的安全风险及0day漏洞。

鉴于安全设备之间对接的复杂性和安全事件处置的时效性要求，欺骗防御体系自身要具备安全事件闭环处置能力，实现诱捕攻击、行为分析、过程监控、溯源反制、阻断处置的全流程闭环。

欺骗防御产品为增强诱捕能力，经常要内置一些安全漏洞，由于广泛覆盖至互联网、内网等各种环境中，为避免被攻击者攻陷作为攻击跳板，欺骗防御产品要采用相对稳定、漏洞少的虚拟化架构，同时在产品的流量、进程、文件、访问控制等方面具备完善的管控策略。

欺骗防御作为积极主动防御体系的关键能力，要具有高度开放性，能够与现有的安全防护体系、安全运营平台、威胁情报平台进行对接，输出网络攻击、攻击者信息、安全事件过程等关键数据，为整体安全防护和安全运营工作提供精准可靠的情报，为安全建设规划和安全策略优化等作决策支撑。