学会这一个，让欺骗防御无人识破！

欺骗的仿真度要求

欺骗防御系统的首要目标是创建高仿真目标网络系统及基础设施，这些系统和基础设施将与实际资产(包括现场生产和测试环境)难以区分。虽然这对欺骗技术来说是一个显而易见的考虑因素，但在技术上而言，实际中构建这样的欺骗系统是相当具有挑战性的。

实现这一目标的最佳系统属性是真实性，因为无论是故意还是偶然，就算恶意攻击者进入到欺骗性系统，也不代表布置的诱饵或陷阱起到了作用。那些表面上的证据是不够的，出现在低交互、低仿真环境中的痕迹也是不可相信的，特别是在对手相当厉害的情况下。

在部署欺骗系统中实现高仿真的主要功能需求可以列出如下:

根据正在部署的欺骗系统的具体情况，可能还有其他与仿真度相关的功能要求，特别是在设置诱饵来模拟领域特定功能的情况下。这包括支持特定行业业务(例如银行服务)的欺骗系统，或者为某种特定能力(例如物联网)设计的欺骗系统。

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

将高仿真的欺骗扩展到一系列目标

在建立诱饵的过程中，最强大的技术包括镜像各种不同的设备、系统及其应用程序的生产资产。典型的计算环境通常包括pc、路由器、交换机和其他端点的分类，然而每个环境的应用程序和服务都是独一无二的。根据真实资产制作高仿真诱饵，可以混淆攻击者视线，引诱并检测入侵者的存在。

将欺骗扩展到不同的目标端点时，真实性原则仍然是最重要的。对于路由器、交换机、工业控制系统或 SCADA 等网络设备尤其如此，在这些设备中，厉害的对手能够快速检测到仿真诱饵。所以，欺骗系统必须确保假路由器在目标局域网上是高度可信的。

在现代企业中扩展欺骗端点，不仅包括针对一系列不同的计算机和网络设备，还包括将诱饵部署到典型混合企业的各个部分或区域。

适合诱饵集成的区域包括:

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

在更专业化的企业中扩展欺骗

由于对手攻击技术的愈发先进，计算机和网络基础设施需要将欺骗引入到较低层次的技术和系统细节。为此，必须考虑将下列的欺骗功能扩展到各种设备:

这些都是一个欺骗防御系统设计时必须考虑到的事项。因为它们需要将攻击者引入一个目标环境，在这个环境中，任何人或自动攻击软件都可以轻松地连接到各种诱饵，而不知道自己受到了欺骗。随着欺骗技术应用的越来越普遍，这种欺骗存在的概念可能也会震慑到许多入侵者。

组织在部署欺骗系统时通常考虑的一个因素是部署和操作的便利性。在网络上部署欺骗，然后管理修补和操作，这看起来可能十分繁杂困难。但实际上，欺骗环境不难在整个企业范围内部署，也不需要过多的资源来管理和修补。

幻视利用机器学习来分析环境自适应环境，并创建与之相匹配的端点、网络诱饵和证书，在经过审查和批准后，一键部署欺骗。通过跨vlan技术，组织可以无限制地在网络中的任何位置映射诱饵。同时，通过将虚拟机和设备添加到一起的方法还可以实现可伸缩性，而可视化操作后台能够方便地在包括云操作在内的所有设备之间聚合数据管理数据。

案例研究

欺骗系统通常被企业团队认为是被动式的，因为它们被放置在一个网络中，希望未来的攻击者会被迷惑到，最后陷入蜜网。然而如今的欺骗防御，常常使用带有面包屑的诱饵，吸引和引诱攻击者进入一个高交互的环境，以便取证和对攻击进行安全研究。

这种前瞻性的减少风险的做法很有吸引力，因为不仅能够避免攻击，确保在任何威胁环境中后果最小化，而且还能把攻击安全地控制在欺骗环境中。在这种环境中，组织允许攻击者充分发挥他的技术，以收集最大的情报价值。然后，该组织可以利用这些信息完善威胁和对抗情报，来加强他们的防御能力和减少风险管理战略。

一项案例研究表明，许多企业团队现在对攻击期间的欺骗防御很有信心，如高仿真的诱饵被放置在对手已经存在并且正在进行攻击的情况下。

但是我们必须知道，欺骗技术可以有效的部署在网络安全生命周期的所有阶段——预防、检测和响应。当然，每个阶段的功能目标是相同的，即通过欺骗系统检测到入侵者的存在并迅速响应威胁。但是，对于企业维护者来说，欺骗在每个阶段的作用和影响将略有不同。同时，欺骗技术还可以利用本地集成，通过攻击信息共享和自动阻塞、隔离、捕获威胁，简化和加速事件响应，从而加强当前安全基础设施的价值。

网络安全生命周期中的欺骗

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

在预防阶段，诱饵用来将入侵者从真实资产转移到欺骗性环境，从而避免预期产生的不良后果，同时修补入侵者在入侵点已经造成的漏洞。在检测阶段，诱饵被用来中断正在进行的探测活动和早期横向移动，以此减少攻击者的驻留时间。在响应阶段，目标是收集 TTPs和IOCs，欺骗取证可以快速响应，并发现攻击意图和可能目标。

总的来说，欺骗技术为组织提供了早期威胁检测和加速事件响应的高效工具，但是它必须是真实可信的，这样才能够成功地击败高明的对手。