攻击欺骗技术

安全攻防现状背景

企业普通员工角度

1. 脱裤导致严重信息泄露
2. 使用大量的互联网服务，云盘，印象笔记等
3. 代码托管使用不当导致企业核心信息泄露（开发企业可能性较多）

企业安全团队角度

1. 系统安全
2. 应用安全
3. 数据安全
4. 网络安全
5. 业务安全
6. 安全合规
7. 云计算，企业边界模糊
8. 互联网化，业务更新频繁，漏洞风险难以控制
9. 移动设备，接入设备的安全问题

安全团队一般称为防守者，而防守者的思维一般是基于经验的，但是现在的放手原理是木桶效应，只要一处没有防守到或者投入的精力和资源较少，则会出现相应的安全风险

攻击者角度

1. 目的明确，就是窃取数据
2. 手段多样，成功率较高
3. 不仅仅利用漏洞，更趋向于结合情报的入侵

攻击者的思维是基于目标的，想方设法拿到目标是他们最终的结果，因此攻击会尝试各种方法，不局限于现有的技术进行尝试攻击

安全现状-攻防失衡

1. 黑客肆无忌惮，灰黑产泛滥，白帽子鱼龙混杂
2. 司法打击难，电子取证难，溯源成本高
3. 安全人才不够，安全人员少，疲于被动响应
4. 产品效果差，误报漏报高，攻防理念落后

攻击欺骗技术的基本原理

欺骗技术

欺骗是通过使用欺骗手段阻止或者摆脱攻击者的认知过程，扰乱攻击者的自动化工具，延迟攻击者的行为或燃料破坏计划。例如欺骗功能会制造假的漏洞、系统、分享和缓存等。

但是目前，国内做欺骗技术的厂商非常少。
通俗的说，欺骗及时在黑客的必经之路上构造欺骗性的陷阱，将黑客引入，发现并隔离、阻断攻击

你会被骗吗？

1. 不会，因为我没有汇款需求（没有动机）
2. 不会，因为我有识别钓鱼网站的能力（具备意识）
3. 不会，因为我没有钱（目标不存在）

现状：电信诈骗造成经济损失每年超千亿

攻击欺骗技术的应用

幻盾是默安科技首创的一款基于攻击混淆与欺骗技术的威胁情报产品，主要目的是将黑客引入到一个错误的方向上去

幻盾工作原理

主动伪装响应并监控黑客的攻击行为

攻击者步骤：踩点-->找漏洞-->入侵系统-->偷取数据-->清理痕迹

防御步骤：克隆业务-->伪装漏洞-->虚拟系统-->脱敏感数据-->记录行为

一般流程：入侵检测-->隔离攻击-->司法取证-->定位攻击者

通过幻盾，可以提升攻击者的攻击成本；能够发现真正的攻击（互联网上大部分攻击都是无意义的扫描）。

外部威胁感知

1. 发现并防御黑客攻击（号称零误报）
2. 识别入侵意图（人还是机器）
3. 还原入侵者身份（谁在攻击）
4. 隔离黑客攻击（保护用户资产）

检测内网攻击

1. 检测内网横向移动（识别内外攻击）
2. 保护内外核心资产（避免攻击核心系统）
3. 鉴别威胁人员（内部违规或外部入侵者）
4. 收集攻击情报并联动（同步攻击者信息防御系统）

这不是蜜罐，蜜罐是单一的服务器，而幻盾不是，他可以模拟一切会遭受攻击的目标，可以与核心业务互相嵌入，悄无声息的转移攻击

与蜜罐的区别

传统的蜜罐：被动的守株待兔；蜜罐单一，主要是系统服务；无攻击溯源；无诱饵；实体机部署成本高

欺骗防御产品：除被动外更加注重主动情报的勾引和欺骗；支持蜜罐的类型丰富、系统、业务、web；人机识别+攻击溯源+黑客画像；支持反向代理、互联网诱饵等多种诱饵模式；虚拟化技术成本低，部署方便。

安全狗

• 阅读安全狗手册