长久以来，欺骗一直是战争、政治和商业的重要组成部分，因此，欺骗成为21世纪网络安全战的重要组成部分或许并不令人意外。
 
“兵者诡道也...”孙子在《孙子兵法》中写道，网络罪犯当然会牢记这一建议。从尼日利亚的银行转账诈骗到精心设计的网络钓鱼诈骗，从CEO诈骗到鱼叉式网络钓鱼，这些坏蛋们很快就追随了孙子的诈骗哲学。
 
现在，新一代的安全初创公司正在使用欺骗技术来迷惑攻击者——他们引用孙子的教诲来兜售他们的欺骗技术。
 
Acalvio首席营销官里克•莫伊(Rick Moy)表示:“根据孙子的说法，如果敌人对战场的看法不正确，他们可以被操纵成可控的局面。”这也适用于网络安全。如果攻击者花费时间和精力侵入一个假服务器，防御者不仅是在保护有价值的资产，也是在学习(攻击者的)目标、工具、战术和程序。”
 
这个例子展示了欺骗工具和技术背后的基本前提。它遵循孙子的建议:“当你的敌人寻求优势时，进一步引诱他。”
 
TrapX Security负责产品和营销的副总裁奥里•巴赫(Ori Bach)表示:“我们的想法是，在一片虚假攻击表面的海洋中，掩盖真正的高价值资产。”“这样一来，攻击者就迷失了方向。”
 
这个信息可能正在流行。在eSecurity Planet的2019年国家IT安全调查中，欺骗技术在新兴技术中表现最好。
 
什么是欺骗技术?
Gartner分析师Lawrence Pingree在一份题为《新兴技术分析:欺骗技巧和技术创造安全技术商机》的报告中详细阐述了这项技术。
 
Pingree说，攻击者必定“相信”他们插入恶意软件的环境，或者他们通过互联网攻击的web应用程序和服务。他们潜入企业的边缘，寻找进入内部的方法。它们可能欺骗用户点击恶意链接、打开受感染的附件或提供凭据和密码。一旦进入，他们就可以随心所欲地四处闲逛，窃取机密信息或进行金融抢劫。
 
“欺骗利用了他们的信任，诱使攻击者发出警报，”Pingree说。“欺骗还可以用来让攻击者远离敏感资产，把精力集中在虚假资产上——浪费时间和攻击者的投资。”
 
欺骗科技如何运作
以特洛伊城为例。希腊人假装撤退，把一匹大马留在大门口。特洛伊人把它带了进去。在木马内部，希腊人听到特洛伊人在聚会，最终陷入醉酒昏迷。他们小心翼翼地从马上下来，打算杀死卫兵，打开大门让他们的军队进去。相反，他们发现自己在一个戒备森严的院子里。他们被俘虏了。特洛伊人随后短暂地打开城门，让希腊军队前进。当他们这样做的时候，大门是锁着的，箭雨落在暴露的敌人。结果:完全不同版本的荷马史诗《伊利亚特》。这种对隐蔽攻击者的胜利是欺骗工具的目标之一。
 
分布式欺骗平台(DDP)解决方案创建伪造系统(通常真正的操作系统,但作为牺牲机器),蜜饵(如假开地图和浏览器的历史)和honeytokens(假凭证)真实的最终用户的系统来吸引和误导攻击者伪造资产以提高检测和推迟他们的行为,因为他们攻击这些诱饵资产,“Pingree写道。
 
他补充说，这些系统的核心功能包括:集中管理真实用户端点诱饵和诱饵端点主机(服务器和工作站主机);管理欺骗性服务、web应用程序和其他网络集成诱饵的能力;管理端点诱饵和蜂蜜令牌来引诱攻击者的能力;以及管理和分发欺骗性数据(Word文档、数据库表/项和文件)的能力。
 
 
 
Bach指出，积极的结果取决于是否能够在端点、网络或应用层上部署可靠的欺骗元素，并在足够大的范围内捕获所有潜在的入侵。因此，各种战术都在发挥作用。TrapX安全性根据部署位置将不同的欺骗元素划分为不同的类别。诱饵被放置在终端，以吸引潜在攻击者的注意。该公司所谓的“媒体交互诱饵”是那些位于网络层的。“高交互诱饵”是指那些在应用程序或存储数据中操作以误导网络罪犯的技术。
 
Moy也提出了类似的观点。他强调，欺骗解决方案必须超越仅仅部署一个蜜罐。它们必须是真实的、自动化的、可伸缩的和智能的。为什么?容易被识破的骗局毫无用处，所以真实性是关键。此外，IT安全人员通常太忙，无法单独管理欺骗，因此系统应该自动部署和管理正确的欺骗。这就是智能和机器学习的用武之地。
 
例如，Acalvio ShadowPlex是一个提供恶意活动早期检测的DPP。它可以部署在本地，也可以部署在私有云和公共云中。它包括与SIEM系统的集成。
 
欺骗的深度
正如长期的安全咒语是深度防御一样，安全专家建议深度欺骗:在整个攻击链上部署这些技术。当攻击者对网络和企业弱点进行侦察时，向他们提供地形和资产的虚假信息。如果他们已经在里面了，并且正在考虑使用什么工具，那么使用错误的信息来延迟他们的部署。把他们骗到沙箱里，让他们长时间呆在那里。
 
用户可以选择独立的DDP工具，也可以选择集成到企业安全解决方案中的检测响应工具。例如，有些与业务流程、网络访问控制或智能共享工具相结合。
 
“理想情况下，组织可以使用DDP解决方案来创建‘亲密威胁情报’，并利用它来丰富他们的其他工具，以加强网络和其他安全防御层的防范，”Pingree说。
 
欺骗技术供应商和工具
Pingree说，在某种程度上可以利用现有的工具来实施欺骗。防火墙就是一个例子。可以配置它们的黑名单、入侵预防和URL过滤功能，将已知恶意主机的连接转发到网络模拟服务或欺骗诱饵服务。同样，一些入侵防御设备可以在网络协议层实现欺骗措施。也可以建立TCP tarpit来响应TCP握手请求，但不能打开连接。一些EDR工具允许安全团队在恶意软件主机层实施欺骗。
 
虽然这些方法对于某些攻击向量是可行的，但也有其局限性。Pingree建议他们应该使用DPP工具进行扩展，这些工具在成熟度和功能上都在稳步增长。在这个领域有几个供应商。这个列表包括:
 

例如，TrapX DeceptionGrid 平台可以防范恶意的内部人士和老练的网络罪犯。它的多层架构被认为是最适合攻击者活动的欺骗攻击表面。
 
Bach说:“由于你永远不知道自己会在什么地方受到攻击，所以理想的欺骗策略应该涵盖网络的尽可能多的层次和尽可能多的资产。”要使欺骗工具在企业环境中有效，它必须与基础设施(例如Active Directory、网络基础设施)和安全生态系统集成。
 
他谈到的内容包括安全信息和事件管理(SIEM)、端点检测和响应(EDR)、威胁情报平台(TIP)和网络访问控制(NAC)。以威胁情报为例。来自各种威胁情报反馈的数据可以被整合到一个提示中，用于创建更精确的欺骗策略——因此，更有可能成功。
 
平格里说:“这些威胁情报数据可能会把我们引向以情报为导向的欺骗，即已知来自某个地点或使用某种交战模式的威胁行动者可能会误入歧途。”“这种策略可以使威胁管理团队更积极地控制攻击者及其在整个企业环境中的活动，并允许组织跟踪和共享关于威胁参与者的更大的情报。”
 
在上面列出的供应商中，方法和范围有很大的差异。Gartner概述了四个潜在的欺骗范围:网络、端点、应用程序和数据。据该分析公司称，没有一家供应商能全面覆盖所有四个行业，尽管有些供应商在两个或三个地区都做得很好。在产品评估阶段，重点应该放在DPP工具的覆盖，以及与现有安全平台的集成上。
 
 
 
欺骗技术的未来
 
然而，DPP技术要进入主流还有一段路要走，而且目前市场相对较小。Gartner预计，到明年，只有不到10%的企业会积极使用它。最有可能的候选者是金融服务、医疗保健、政府和软件垂直行业——这些行业往往是遭受攻击最多的行业。
 
“试想一下，一旦在终端用户的环境中检测到恶意软件，用户的系统就有能力开始向命令与控制控制台另一端的攻击者撒谎，或者向受感染终端的恶意软件撒谎，或者两者都撒谎;这些能力现在正在成为现实。”“分布式诱饵解决方案比其他传统的安全解决方案提供了更高的检测能力和更高的保真度，因为当攻击者接触诱饵时，它会立即被识别为不想要的交互，并可能是攻击者或内部威胁。