如何保证欺骗防御的效果和有效性？

欺骗防御的效果和有效性可以从“覆盖面”和“融合度”两个方面入手。欺骗防御节点覆盖面越大、与真实网络的融合度越高，效果越好。

• 扩大覆盖面
  • 扩大欺骗防御节点的覆盖面需要投入大量成本，默安科技通过多种方案实现低成本、快速、大面积的覆盖。
  • 与刃甲联动：服务诱捕
    • 刃甲是默安科技自研的网络攻击干扰压制系统，它部署在互联网出口，通过旁路镜像方式部署，可将“空闲公网IP”的所有访问流量，都转发到蜜罐，实现互联网全部的非业务IP与蜜罐关联。此方案由刃甲与幻阵联动实现，可将幻阵部署至数据中心本地或公有云，攻击者以为攻击了真实IP，却不知“应用”实际在云上，实现调虎离山。
    • 
  • 中继节点
    • 通过Trunk方式实现蜜网的跨VLAN覆盖，单台中继节点即可覆盖对应汇聚交换机下的所有VLAN。利用网络中空闲IP将攻击流量诱导至蜜罐内，在节省部署成本的同时，实现蜜网节点的全面覆盖，避免蜜网因成本问题出现防守真空区域。
    • 
  • 伪装代理/多IP模式
    • 在一台空白虚拟机上部署伪装代理（Agent），同时在此虚拟机上绑定多个IP，当攻击者访问到这些IP时，流量将全部被转发到蜜罐。
  • 威胁情报与集中管理
    • 通过威胁情报中心与集中管理中心，将攻击者信息、踪迹、攻击轨迹、蜜罐设备等进行集中管理与集中展示。
• 提高融合度
  • 覆盖面可以增加成功诱捕攻击者的概率。但假如攻击者触达真实的业务系统，能否诱捕成功，就需要看蜜网与真实网络的融合度，是否做到了“你中我有、我中有你”。
  • 与刃甲联动：网站诱
    • 通过旁路部署刃甲，并接入交换机端口镜像，可为真实业务旁路插入攻击者感兴趣的URL，精准捕获其对真实业务的攻击行为。
  • 伪装代理/融合模式
    • 将伪装代理部署在真实业务服务器上，并启用虚假服务端口，当攻击者攻击到此端口时，流量将被转发到蜜罐。
  • 沙箱定制
    • 默安科技提供的定制服务，可根据用户业务特点，定制专属的仿真蜜罐，让攻击者分不清真假。
  • 运营服务
    • 欺骗防御是在攻击者的必经之路上部署陷阱，对攻击者进行诱捕。那么，攻击者的必经之路是什么？默安科技提供欺骗防御的安全运营服务，通过攻击者视角对目标企业进行“摸底”，量身定制部署方案，结合运营服务，对攻击者进行精准诱捕。

如何将欺骗防御运用在常态化的安全运营中，而非“攻防演练专用”

• 由于欺骗防御在近几年大型攻防演练中的出色表现，业界出现了一些“欺骗防御是攻防演练专用”的声音。其实不然，欺骗防御在常态化的安全运营中有着不可小觑的价值。
• 补充现有检测能力的不足，发现未知威胁
  • 现有安全检测产品大多基于黑名单或签名来检测已知威胁，针对未知威胁的有效解决方案极少。默安科技刃甲产品首先通过微蜜罐功能精准锁定攻击者，再抓取与其相关的全部流量，协助安全人员分析，捕获0day攻击。
• 欺骗防御体系是企业安全的一道重要防线
  • 攻击者突破到内网的方式很多，但对0day、社工等攻击方式防不胜防。这时对防守方来说，想要及时“止损”，最好的办法就是能尽早发现攻击者，找出被控主机。欺骗防御体系能够在内网部署大量欺骗节点，并使蜜网与真实业务网络融合。攻击者采用任意攻击方式、从任意网段侵入，为了扩大战果，都会做横向移动，此时就会掉入已部署的陷阱之中。
• 建立私有威胁情报平台，联防联控
  • 攻击者在攻击时，往往会先攻击分支相对脆弱的点，再通过分支作为跳板，对总部进行攻击。并且可能会在整个攻击过程中更换多个IP，使防守者无法还原整体攻击路径，只能被动防守。
  • 欺骗技术最大的特点就是精准检测。默安科技能够为用户建设欺骗防御体系，在总部搭建威胁情报平台，通过设备指纹锁定攻击者，将其使用过的全部IP进行归并。在其攻击一个分支节点时，总部及其他的分支节点可进行预警，做到事前处置，形成整体的联防联控机制。

参考资料

• https://mp.weixin.qq.com/s/gcFwMr6z9P_RoSmb0S0rIg