回顾蜜罐2019

2019年对于国内蜜罐技术来说是一个不平凡的一年。在坐了20年“冷板凳”后，2019年中它异军突起。如今各行业对于蜜罐的需求猛增，则主要源于它在护网行动中大放异彩的亮眼表现。今年以来，政企机关、能源、运营商、金融等行业的许多单位都紧锣密鼓的将蜜罐蜜网写入了自家的安全体系建设规范中，这对于任何一种安全技术而言，都实属罕见。从一个侧面也证明了蜜罐技术在企业安全建设中的实用性和必要性。
我们先来回顾下蜜罐技术对企业带来了哪些具体变化：
1. 被动变主动
黑客在暗处，而用户网络在明处。作为攻方的黑客，目标明确，手段隐蔽，随时出击，来去自如；而作为防守方的用户，则只能摆好阵势等待人家来进攻，总是处在后知后觉，被人牵制的地位。
然而在防守方部署了蜜罐之后，如同把树木置于森林之中。黑客所看到的目标，往往不是真目标。他们对着蜜罐上下其手，却只能无功而返。而作为防守方，则通过观察黑客在蜜罐中的一举一动，掌握了黑客的行为规律和攻击手段。因此，攻防双方的形势发生了逆转。
2. 静态变动态
企业的网络结构普遍存在着静态化、确定化、同构化特点，虽然便于管理，但却给黑客提供了便利，黑客很容易利用企业普遍的组网结构，迅速识别网络拓扑，从而准确定位高价值目标，向其发起有效攻击。而欺骗技术通过动态拓扑网络结构，形成迷魂玄阵，黑客完全无法分辨真假虚实，从而有效的降低了真实资产被攻击的几率。
3. 未知变已知
传统安全防御手段主要基于已知威胁特征库进行入侵检测和拦截，对于未知威胁如0day漏洞、APT、社工类等攻击基本形同虚设。如2017年爆发的WannaCry勒索病毒，所利用的则是一枚存在时长达14年之久的“永恒之蓝”漏洞，又如2019年微软披露的RDP漏洞，存在时间更是长达17年之久。而欺骗技术则可以通过高交互蜜罐的能力，先一步感知0day漏洞的存在，协助用户及早预防大规模漏洞利用的可能。
4. 误报变精确
传统安全手段普遍存在着高误报情况，运维人员90%以上的精力都被误报耗尽，极容易麻痹大意而放过真正的威胁。而欺骗技术则具有零误报特点，作为虚假资产一旦被访问到即存在可疑，如果有进一步动作还会被完整记录并提升告警级别，使用户真正看得懂攻击，从而制定更加针对有效的防范措施。

认识国内国际差距

虽然蜜罐技术拥有诸多优点，但要想发挥蜜罐技术的最大功效，却并不容易。
国内蜜罐产品的研发起步较晚，还在处于从无到有的阶段；而国际顶尖安全厂商，已经抛弃了旧的系统设计思路和技术架构，从而在运维便利性和安全性上有了显著的提高，同时在实现蜜网的高密度覆盖和管理上，走在了我们的前面。

图一 TrapX DeceptionGrid工作原理图
为了认识这些差距，我们先来看一下图一。这是国际顶尖欺骗技术厂商TrapX的DeceptionGrid产品工作原理图，可以看到国外安全厂商在产品设计思路和技术架构上有着明显的不同，只需要投入一台设备即可完成整个蜜网的搭建。而国内蜜罐厂商普遍的做法是将早期的重量级蜜罐轻型化，相对来说确实减少了不少成本，但变化不大，部署复杂度依然很高。而蜜罐要想发挥最大的效果，核心条件之一就是高密度覆盖，但通过将蜜罐轻量化的方式想达到全网覆盖，显然是不现实的。作为蜜网核心能力之一，在这一点上可以看出国内众多蜜罐产品与国际顶尖厂商确实有着不小的差距。

密度之殇

笔者发现国内许多蜜罐用户，在网络中部署的蜜罐数量少，密度小。尽管在防护方面起到的左右甚微，没有发挥蜜罐技术的优势。这让不少用户从寄予厚望转而又陷入失望。道理很简单，蜜罐是迷惑攻击者的烟幕，而这烟幕如果太薄，太小，无法给攻击者带来实质的困扰。蜜罐系统应能够将网络中富余的空间充分利用上，让攻击者在无法识别哪个是真实的目标，哪个是模拟出来的假目标。
蜜罐的数量要增大，蜜罐部署的速度也要加快，从而保证蜜罐在网络中的高密度具有实用性。这样，在重重迷阵让黑客无所适从，降低真实设备被发现概率的同时，又不至于让运维团队超负荷，难以为继。
然而国内市场上大多数的蜜罐产品，由于技术架构的问题，无法进行灵活快速的部署和维护，单个蜜罐的资源消耗和成本也比较高。因此，无法为用户提供高密度蜜罐的解决方案。

迎难而上

如果以上，都还是笔者对蜜罐应用的期望，那么我最近发现的一个国内蜜罐产品，让这个期望变成了现实。一家国内厂商——北京杰思御林科技有限公司——推出的“玄阵”网络攻击欺骗系统，在技术路线，产品架构上达到了部署高密度蜜罐的特征和能力。根据该公司发布的资料，我们看一下他们产品的工作原理：
玄阵部署方式与效果：
 
玄阵工作原理：
 
玄阵采用了国际先进的设计思路和技术架构，为构建高密度蜜网提供了核心条件。另外，玄阵对目前国内企业向云迁移的进程中也有相对应的解决方案，通过集成一体机版在传统IT网络的部署能力，使得用户完全不用对两种不同的网络环境分别采购蜜罐系统，大幅降低了企业安全建设成本和管理复杂度，这对现阶段企业转云过程中的安全保障有着积极的意义。
除了架构上的突出特点外，在官方描述中我们还看到一些对于蜜罐系统而言非常重要的特点：
l 蜜罐自身安全性，蜜罐本身作为带有缺陷性的陷阱，存在着被攻陷的可能。而传统蜜罐部署形式更多关注的是攻击入侵的预警，往往忽略了自身安全性是否可能会对企业带来二次伤害的问题。玄阵在这一方面选择了一条全新的技术路线，彻底颠覆了传统蜜罐部署形式，加入了五重蜜罐防跳板、防逃逸机制，从根本上杜绝了蜜罐成为隐患的可能。
l 蜜罐伪装能力，玄阵可以对每一个“蜜罐机”从设备类型、操作系统、端口服务、数据层进行秒级伪装，使得黑客完全无法分辨真假目标。通过这种伪装能力，可以解决目前企业用户为了使用蜜罐不得不配合安全厂商的蜜罐系统数百次重复安装数十种不同版本的操作系统的烦恼。
l 蜜网覆盖能力，在玄阵一体机版中，单设备即可实现全网蜜网的搭建，这一点与国际顶尖厂商如出一辙。而在云版中，每一个“蜜罐机”最小仅消耗0.08核和0.08G内存，这比现阶段每一个最小需求1核1G的轻量化蜜罐方式而言少消耗了用户将近数十倍宝贵的虚拟化资源，也为大规模蜜网覆盖打下了基础。
l 蜜罐类型支持方面，玄阵覆盖了高、中、低全系三种交互型蜜罐，协议仿真多达30+种，还可以针对不同行业用户单独定制蜜罐，极大的丰富和满足了不同行业用户的蜜网场景建设需求。
想了解更多关于玄阵产品的同学可以浏览官方网站www.justguard.cn，官方提供免费的蜜网建设咨询，有需求的同学可以了解一下。

展望2020

最后，我们仍然要认识到国际差距，希望不仅仅是杰思御林，也包括众多安全厂商都能够打好技术功底，用心做好产品，缩短甚至反超国际！