2021年：利用性防御技术爆发元年

发布时间：2021-05-22 17:37:51 所属栏目：安全来源：互联网

导读：网络、网络攻击以及阻止网络攻击的策略都在不断发展。安全欺骗就是其中一种新兴的网络防御策略。不过，如果询问任何一位网络安全专业人员如何定义欺骗技术，他可能会提到蜜罐或蜜网。这种说法并没有错，只是已经过时，就像人们对欺骗技术存在的诸多误解一样

网络、网络攻击以及阻止网络攻击的策略都在不断发展。“安全欺骗”就是其中一种新兴的网络防御策略。不过，如果询问任何一位网络安全专业人员如何定义欺骗技术，他可能会提到蜜罐或蜜网。这种说法并没有错，只是已经过时，就像人们对欺骗技术存在的诸多误解一样，例如认为欺骗技术过于复杂，用例有限，并且仅对安全研究人员有用等等。本文将带大家详细了解关于欺骗技术的那些事。

何为欺骗技术(Deception Technology)

《孙子兵法》曾言，“一切战争都是建立在欺骗的基础上的”。“欺骗”是战争中使用的经典战术，无论是作为乙方保护还是作为攻击敌人的机制。网络欺骗策略背后的想法亦如是。

欺骗技术的目的是防止设法渗透到网络中的网络犯罪分子造成任何重大破坏。该技术通过创建能够模仿整个基础架构中合法技术资产的陷阱或欺骗诱饵，来欺骗网络罪犯以为他们发现了一种提升特权和窃取凭据的方法，而一旦攻击者触发陷阱，警报就会传输到中央欺骗服务器中，该服务器会记录受影响的诱饵以及网络犯罪分子所使用的攻击媒介，以便防御者观察攻击者的行为。

与沙箱和蜜罐的区别

“安全欺骗”是安全行业中相对较新的一个术语，其诱使攻击者以为自己访问了机密或重要的内容，以便防御者可以监视其行为。相对较旧的技术(例如沙箱和蜜罐)则是以不同的方式来做着同样的事情，因此很多人会将这些术语混为一谈。下面就为大家解释这三种技术之间的区别以及每种技术的理想用例。

沙箱(Sandboxing)

自网络和第三方程序问世以来，几乎就已经存在分析网络流量和程序的需求。沙箱于1970年代引入，用于测试人工智能应用程序，它允许恶意软件在封闭的环境中安装和运行，研究人员可以在封闭的环境中监视其行为以识别潜在的风险和对策。

如今，有效的沙箱通常是在虚拟主机的专用虚拟机上执行的。这么做可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件。安全研究人员会在分析恶意软件时采用沙箱技术，很多高级反恶意软件产品也用沙箱来根据可疑文件的行为确定其是否真的是恶意软件。这些种类的反恶意软件解决方案正变得越来越重要，因为许多现代恶意软件都被混淆以避免使用基于签名的防病毒软件。

理想用例——大多数企业无法像专门的研究人员或供应商一样，以复杂的技术能力和专业知识来进行恶意软件分析。小型企业通常会从提供商的沙盒部署服务中受益最大。

蜜罐(Honeypots)

蜜罐和蜜网就是为诱捕攻击者而专门设置的脆弱系统。蜜罐是诱使攻击者盗取有价值数据或进一步探测目标网络的单个主机，1999年开始出现的蜜网则是为了探清攻击者所用攻击过程和策略。

蜜网由多个蜜罐构成，常被配置成模拟一个实际的网络，有文件服务器、Web服务器等等，目的是让攻击者误以为成功渗透进了网络，但实际上进入的是一个隔离环境，并提供给研究人员的进行研究。

蜜罐可以让研究人员观测真实的攻击者是怎么操作的，而沙箱仅揭示恶意软件的行为。安全研究人员和分析师通常就是出于观测攻击者行动的目的而使用蜜罐和蜜网，通过注意新攻击方法和实现新防御加以应对，来改善网络安全状况。蜜网还能浪费攻击者的时间，让他们因毫无所获而放弃攻击。

理想用例——这种方式对于经常成为黑客攻击目标的政府组织和金融机构非常有用，但是任何中型或大型企业都将从蜜罐/蜜网中收益。中小型企业(SMB)也可以从中受益，这取决于他们的业务模型和安全状况，但是很多SMB都没有能够建立或维护蜜罐的安全专家。

欺骗性防御技术

欺骗防御则是一个新的术语，其定义尚未定型，但基本指的是一系列更高级的蜜罐和蜜网产品，能够基于所捕获的数据为检测和防御实现提供更高的自动化程度。

欺骗技术分不同层次，有些类似高级版的蜜罐，有些具备真实网络的所有特征，包括真正的数据和设备。这种欺骗技术可以模仿并分析不同类型的流量，提供对账户和文件的虚假访问，更为神似模仿内部网络。有些安全欺骗产品还可以自动部署，让攻击者陷入更多信息的循环中，令用户能更具体更真实地响应攻击者。欺骗防御产品按既定意图运作时，黑客会以为已经渗透到受限网络中，正在收集关键数据。

理想用例——欺骗技术仍处于起步阶段，而对于大多数新的安全技术而言，其最初的用例大多是大型企业，这些企业能够逐步将其推向市场。目前，政府机构、金融机构和研究公司对该技术最为关注。不过，企业组织仍然需要安全分析师分析来自安全欺骗工具的数据，因此，没有专业安全人员的小型公司通常无法从中收益。

总的来说，所有这些安全技术在预防与分析领域均具有其作用。从较高层次上看，沙箱允许恶意软件安装并运行，以供技术人员观察其恶意行为;蜜罐和蜜网可以关注分析黑客在以为已被渗透的网络上会进行的行动轨迹;欺骗防御则是更新的高级入侵检测及预防策略，提供更为真实的蜜网，易于部署且能给用户提供更多信息，但需要更多的预算和更高的专业技能要求。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!