何止伪装 全链路骗局让攻击者“两行泪”

企业面临的内忧外患

在攻击者眼中，IT系统的方方面面都存在着脆弱性，无论是常见的系统漏洞、web应用漏洞、服务弱口令，安全基线，还是容易被忽略的边界资产，开放给上下游企业的API接口；以及由于内部员工造成的代码泄露、内部账号泄露等。从传统防御的角度来看，往往只能发现一些常规的漏洞，存在许多安全盲区。

另一方面，越来越复杂的网络安全形势也不得不令人堪忧。方程式组织这类超级攻击团队的出现、全球黑产规模扩大至60000亿、云计算、工业互联网、物联网等技术带来的变革，同时也带来了诸多新型安全盲区，给网络攻击者留下更多可能；2018年多起亿级数据泄露事件给大家敲响了警钟，让越来越多的大众开始关注个人隐私和网络安全。

传统基于边界检测和防御的体系已经捉襟见肘，网络攻击者有非常多的绕过手段可以在传统安全防护产品毫无感知的情况下进入企业内网，拿到想要的数据。很多企业的安全建设重边界轻内在，认为只要将边界设置成铜墙铁壁，内网就万无一失，但实际上这种重边界而轻内在的安全建设，往往容易让企业“吃亏”，安全边界的防御能力基于已知的行为，检测与防御偏事后，依赖规则来确定策略，对未知攻击手段防范能力较弱。

为什么是欺骗防御？

网络世界的战争愈演愈烈，企业构建二道防线具有重大意义，同类检测方式的堆积并没有互为补充的效果，不同检测方式构建的纵深防护体系才能够有效地拦截外部攻击，提高企业安全能力水平，进化企业安全体系。

Gartner从2015年起连续四年将攻击欺骗列为最具有潜力的安全技术。对此Gartner给出的定义是：“通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的认知过程，从而破坏攻击者的自动化工具，拖延攻击者的活动或者检测出攻击。通过在企业防火墙背后使用欺骗技术，企业就可以更好地检测出已经突破防御的攻击者，对所检测到的事件高度信任。欺骗技术的实施现在已经覆盖堆栈中的多个层，包括端点、网络、应用和数据。”

从Gartner给出的定义来看，大致有以下几个重点：

• 它是通过欺骗或者诱骗的手段来挫败或者阻止攻击者的认知过程；
• 它是自动化的；
• 在自动化之上，它是建设在企业防火墙背后的，通过在企业防火墙背后用攻击欺骗来检测出已经入侵到内网的攻击者；
• 它包含多个层面，包括在端点、网络、应用、数据层，不同的层面用不同的方法来实现对应的攻击欺骗，来对攻击者进行诱捕。

欺骗防御的原理

默安科技的幻阵是国内率先将欺骗防御理念成功落地的产品，其将高交互云蜜网独立部署于真实业务之外，通过在真实业务环境散布伪装代理与诱饵文件，将高交互云蜜网中的各类构造好的漏洞、脆弱性下发到真实环境的各个角落。

所有构造漏洞均与高交互云蜜网相关联，攻击此类漏洞，其流量即被转发到幻阵云蜜网。此举在攻击者前端看来，即真实业务存在上述各种漏洞、脆弱性，将主动欺骗攻击者对上述风险进行利用，从而使得攻击者攻击此类构造漏洞从而进入幻阵云蜜网系统。

全链路欺骗   让黑客防不胜防

幻阵的核心创新点是欺骗，通过让黑客“不得不信”的完整欺骗链，通过诱饵引诱黑客放心地去攻击蜜罐，而蜜罐的漏洞在企业的掌控之中，最终目的是让潜伏的黑客主动暴露自己。

洒下诱饵，将潜在攻击者通过SDN技术引诱到沙箱，从攻击者角度部署互联网诱饵、办公网诱饵、漏洞诱饵，以及敏感系统诱饵等。

在真实环境中进行你中有我、我中有你的主机级伪装、端口级伪装、服务级伪装、域名伪装、数据伪装，将伪装散布于各类真实业务环境，虚实难辨又彼此隔离，合法用户难以触及，从而避免误报。

通过上述两部分，诱骗攻击者对伪装漏洞实施攻击，从而触发攻击告警。

发现攻击者之后，记录其行为也是尤为重要的。幻阵的高交互沙箱支持传统业务和工控系统，可以最大程度地还原攻击真相，全方位记录攻击者行为。

最后一步便是要锁定攻击者，溯源攻击者电子设备和网络身份。幻阵基于欺骗防御技术，可有效识别单一电子设备，有效对抗基于vpn和代理跳板的攻击。

欺骗防御  演习与实践皆已论证

在与锁盾演习同期举行的十字剑(CrossedSwords)演习中，国外著名的网络安全厂商Cymmetria携旗下攻击欺骗产品MazeRuner受邀参演。

在此次演习之前，“还没有任何一家厂商的网络防御产品能成功的捕获到红方的攻击者，它们最多只是捕获到一些自动化攻击 工具 的痕迹。”

作为蓝方的安全厂商Cymmetria基于欺骗防御产品，在此次演习中，历史上首次成功伏击那些渗透测试者，并且将他们抓个现行。

默安科技幻阵的成功应用案例

01 某商业银行

客户背景：

该银行为所在省内最大的法人银行，曾获得“省级优秀企业”“最具创新力银行”“中国最佳城市商业银行”“全国银行业金融机构小微企业金融服务先进单位”等荣誉。

面临的挑战：

中小银行在信息建设上存在不少的门槛，而银行类业务涉及重要数据越来越多、安全设备繁杂，外部攻击也越来越多样化。传统的安全防护体系已经越来越落后，根据自身情况在人力、资金有限的情况如何制定合适的策略应对大数据环境下的安全威胁，这正是该银行面临的问题。

解决方案：

默安科技为客户部署了基于幻阵的欺骗防御解决方案，帮助该银行在人力资源有限、事务繁杂的情况下实现自动化威胁发现、对攻击进行动态防护、通过多维度关联分析发现潜在威胁并实时响应、利用欺骗防御技术进行精准攻击识别和追踪溯源。

收益：

方案上线后，帮助客户发现了渗透到内网的黑客。

对于银行来说，解决攻防不对等问题，变被动防御为主动防御，可高灵敏度检测并阻断攻击，从而保护资产，并且提升了银行的攻防对抗能力，对黑客形成有力的震慑。

对公安机关来说，可通过攻击溯源，以及确凿的攻击证据实名制打击网络犯罪；对于行业监管部门来说，掌握行业面临的威胁动态及整体态势，统一收集黑产数据，行业共享。

客户评价：

欺骗防御技术是业界领先技术，通过欺骗防御把黑客的攻击目标引诱到沙箱上，再进行攻击溯源，大大提升了对攻击者的反击能力。同时幻阵可对现有防护体系形成联动，提升现有防护体系的安全能力。

02  某时尚消费电商平台

客户背景：

该电商平台拥有多个产品与服务，覆盖时尚消费的各个领域，满足不同年龄层、消费力和审美品位的女性用户日常时尚资讯与时尚消费所需。

面临的挑战：

对于电商平台来讲，网络之上的购物盛宴有多狂欢，隐匿网络之下的黑色产业链就有多疯狂。发现黑客是电商企业防御系统中的第一道关口，基于特征检测是现有的入侵检测体系基本的安全理念，但是当前这一理念在各种层出不穷的新型攻击手法面前失去了效力，攻击者利用社交网络、云服务、移动设备，通过数据泄漏、社会工程学、wifi攻击等多种不引起注意的方式，轻易穿透企业建立的层层防御。

解决方案：

默安科技为该客户部署私有云版本的幻阵系统，将伪装代理部署在客户真实服务器上的源码开放的脚本，在真实系统上模拟客户的业务端口，保护客户真实的业务。因为此次采取的是旁路部署模式，所以不会有任何单点故障风险。在部署幻阵之后，帮客户仿真了数个业务相关的沙箱。

收益：

部署一个月后，幻阵成功帮助平台发现内部感染的蠕虫病毒，以及渗透到内网的真实黑客；

通过构建用户威胁情报体系，干扰黑客攻击，从而实现从安全事件的被动响应到安全威胁的积极应对，帮助该电商平台控制了安全风险；

基于攻击行为进行监测，可以保护平台网络免遭0day等攻击造成的各种风险；

不同于传统安全产品的特征检测，幻阵利用基于行为的检测方式，系统几乎零误报，运维人员不需要疲于面对产品的大量告警日志；

自动化地实现威胁检测，对内部系统的入侵行为提供实时报警和隔离，从而让安全人员有更多的精力去研究一些前沿技术和产品。

客户评价：

该电商平台的安全负责人表示：“长期以来，默安科技和我们的合作都非常愉快，默安在蜜罐产品等攻防对抗方面，为我们提供了全方位的服务，优化了企业安全防御体系，是一家值得信赖的安全合作伙伴。”