从蜜罐到AI驱动的欺骗防御

2020-05-08 09:25:14 1341

欺骗防御，初期的形态称为蜜罐，通过部署伪装的凭证、数据库、服务器引诱攻击者。由于有着很低的误报率，安全人员可以依据攻击者在蜜罐中的活动，立刻采取诸如阻拦IP地址、隔离感染系统等自动化的缓解措施。但蜜罐需要大量部署并尽量仿真，以骗过攻击者，所以该项技术在可管理性和管理成本上差强人意。但随着人工智能或机器学习的应用，能够极大的给这项技术带来改观。

基于AI的快速部署和有效部署

保险巨头Aflac（美国家庭人寿保险），在三年前开始关注欺骗防御，并试用了多家厂商的产品。Aflac想找一款无需依赖任何签名或是攻击行为模式，并能够检测到任何类型攻击的产品。用安全运营和威胁管理主管人员DJ Goldsworthy的话说，就是“我们想要的是一种对攻击者来说不可知的技术。”

欺骗防御技术即可以当做网络安全的第一道防线也可以是最后一道防线，即可以检测低级别的扫描探测，也可以检测出高级别的已经渗透到企业网络中的APT攻击。Aflac最后选用了Attivo Networks的产品，通过人工智能技术在整个企业环境中建立欺骗网格并放置诱饵，如终端、网络、服务器，甚至是云端。这种大量的部署，如果仅凭手工来完成，耗费的时间和人力是无法让企业接受的。但现在，只需一个人不到一个月的时间，就可以把欺骗防御系统搭建起来并投入运行。

不仅在部署规模方面，在部署位置或部署有效性方面机器学习也有着很大的帮助。通过机器学习自动识别各种攻击方法，然后将访问企业价值资产的流量引至诱饵系统。

情报的精准性

一旦攻击者踏入陷阱，系统提供的情报对分析攻击者的手段和行为有着非常大的帮助，因为系统发出的警报可以说是具备最高准确度的安全警报。每个警报都值得安全人员去分析和调查，结合上下文环境观察攻击路径和交互痕迹，然后反馈给SIEM进行关联，以发现企业环境中是否还有其他可疑活动。

欺骗系统发出的警报还可用来触发自动响应，而且因为问题是真实发生的，安全人员可以对响应动作充满信心。同时，由于系统只是在攻击者进入时才开始运行，从而节省了大量的计算资源。

弹性部署

上面是欺骗防御带给Aflac极大价值的案例，但在业界这种成功案例并不广泛。部分原因是因为，许多企业觉得针对攻击者布下诱饵，反而会吸引更多攻击者的注意。还有一个问题是系统复杂性，大规模的部署肯定会带来管理的复杂性，而复杂性是安全的“敌人”。

对于缺乏专业安全团队的中小企业来说，考虑实施安全项目的最重要前提，不是这个项目是否有效，而是这个项目是否比其他项目更有效，实施成本更低。至少对于现在的欺骗防御系统来说，部署起来还是相当有难度的。

第三方机构观点

但不管怎样，在AI或机器学习加持下的欺骗防御技术，其前景还是被业界所看好。据Gartner的调查研究，去年欺骗防御系统市场的年增长率达到了65%。另外，预计到2022年，将会有25%的检测类产品将嵌入欺骗防御的功能或是类似的特点，目前只有5%的检测类产品具备。

科技新媒体GigaOm的分析师认为，欺骗防御技术并非一个奢侈性的安全项目，这种基于蜜罐技术进化而来的新平台，易于部署、成本较低、弹性强，而且几乎没有误报。“这是一种几乎能给所有企业带来巨大价值的技术，不管是大企业还是中小企业。”

市场调研机构Mordor Intelligence则对欺骗防御的市场做了统计，2019年约为12亿美元，占整个网络安全市场（1610亿）不到1%的份额。未来五年的复合增长为13.3%，在2025年达到25亿美元。

在数世咨询今年初发布的安全能力图谱中，列出了专注蜜罐和欺骗防御技术的国内厂商，包括默安、长亭、锦行、智信网安、永信至诚、元支点和经纬信安等。数世咨询认为，蜜罐与欺骗防御的最大区别就是实施目的不同，前者只是被动的收集数据，而后者则通过高交互的仿真环境，实现主动诱捕，甚至是溯源反制。

关键词：蜜罐；欺骗防御；诱捕技术；

行业聚焦

从蜜罐到AI驱动的欺骗防御

诚征合作代理商

主动防御产品

等保产品

一体化主动防御解决方案

行业聚焦