如何为企业构建纵深欺骗防御体系？

从古至今欺骗防御战术就在各种战争中应用广泛，孙子兵法有云 “兵者，诡道也”，就是通过千变万化的欺骗战术来迷惑敌人。

欺骗防御的起源可以追溯到1989年，这一时期网络安全领域的蜜罐概念出现，蜜罐概念提出的初衷是用于检测业务系统的入侵情况和对抗人工攻击。

到2000年左右，自动化传播的恶意代码成为攻击的主流方式，蜜罐相对于其他防御技术有无可比拟的优势，发现与收集恶意代码样本的实际需求更促进了蜜罐技术的发展，蜜罐被广大安全从业人员熟知，开始应用于对抗自动化攻击。

2010年，高级持续性威胁逐渐被大家熟知，传统安全机制无法很好地应对此类未知威胁，安全研究人员再次将目光转向蜜罐技术，基于蜜罐技术的欺骗防御思想开始成熟，网络欺骗技术再次成为安全人员关注的焦点，欺骗防御也开启了应对高级持续性威胁的新篇章。

从蜜罐的出现，安全人员就对欺骗技术寄予厚望，欺骗技术也不负众望，作为一种主动防御手段,有效提升了对抗中抵御网络入侵的能力。

在网络攻击不断升级和发展的今天，如何为企业内网部署蜜罐，最大限度地发挥欺骗防御技术的能力？今天给大家分享一下创宇蜜罐产品实战总结的部署思路和欺骗防御的网络分层框架。

01未知攻、焉知防-攻击视角分解攻击过程

未知攻，焉知防，网络安全的本质是对抗，欺骗防御的本质是人与人之间的对抗，防御方与攻击者之间战术战法的较量。首先从攻击者角度出发对攻击者的战术战法进行简单的解析，来看如何更有效的构建欺骗防御。

将专业攻击者发起攻击的过程分为三个阶段。第一阶段：收集情报、第二阶段：建立据点、第三阶段：横向移动。

1.1第一阶段：收集情报

在对企业实施实际的攻击之前，攻击者会在互联网搜集与目标企业相关的信息。例如，员工信息和下属单位或子公司信息，可以作为对企业进行钓鱼、迂回攻击提供信息。

再如，IT资产信息收集，包括公司的域名、使用的IP地址的C段，网络架构信息，以及资产端口服务的信息，此类信息大概率会成为攻击的突破口。

还有一类就是敏感信息，包括在代码托管平台的代码、资料平台中与企业相关的网络设计方案的文档，某些包含了员工内网帐号、或者服务器登录帐号或者密钥的信息，这些信息无疑会帮助攻击者毫不费力的进入企业内网。最后，对供应商的信息收集可以为发起供应链攻击做准备。

1.2第二阶段：建立据点

在搜集完情报之后，攻击者就开始突破企业内网，企图建立据点，构建一个从外网通向企业内网的一个通道。

1.3第三阶段：横向移动

攻击者进入到内网在横向移动的时候，仍然会有一个内网情报收集的阶段。包括两个方面的情报收集：

1）对当前主机上情报的收集

在当前主机攻击者可以收集这台主机的网络连接、历史命令、管理员登录凭证等这些信息。如果可以拿到管理员的凭证，就可以直接横向移动到其他的主机，在企业内部，进一步的深入寻找自己的目标。

2）对内网进行扫描探测来收集情报

如果在当前主机没有收集到有用的信息，攻击者便会开始对外进行探测，对内网的网段或者本网段进行扫描、探测，看有哪些开放的端口，开放了什么服务。内网情报收集的目的是为寻找下一步攻击的目标的选择提供依据。

02欺骗防御体系网络分层框架

通过解析整个攻击阶段的战术战法，我们可以总结归纳出攻击者攻击路径对应的网络分层图，这个分层不是真正意义的物理分层，而是对内网区域做的一个划分。

分层框架依据企业整个网络的隔离与连通情况对网络区域进行分层，如图：从外网到内网核心区域依次是互联网暴露层、网络边界层、边界设备互通层、内网核心层。每个企业网络的隔离情况都不一样，这里对区域的划分不具备通用性，具体的体系设计时，应根据网络实际隔离情况划分。

2.1互联网暴露层：

互联网暴露层通常包含企业暴露在互联网的IT资产、服务，可能被泄露的敏感信息（代码、网络架构配置等），人员组织信息，供应链等信息。这些企业相关的信息或资产的收集，是攻击者第一步获取的目标。

2.2网络边界层：

网络边界层是会与外网直接连通的网络区域，是攻击者进入企业内网必经的网络区域。通常包含外联区域、DMZ区域 、办公网区域等网络区域。是攻击者在第二阶段建立据点之后进行进一步信息获取并横向移动的区域。

2.3边界设备互通层：

边界设备互通层是网络边界层的设备可以直接连通的网络区域。通常包含为办公区域提供的一些财务系统、项目管理系统、CRM系统、人力资源系统所在的区域。由于某些原因隔离不严格，导致边界层设备可以直接联通的区域也属于边界设备互通层网络区域。攻击者进入内网后，可能将横向移动到边界设备互通层区域。

2.4内网核心层：

内网核心层是网络边界层设备无法直接联通的网络区域。通常包含核心的业务区域、管理控制区域、数据中心区域等网络区域。

03欺骗防御体系部署策略

欺骗防御体系的部署，以网络分层框架为依据，根据各网络区域的特点，分别使用不同的策略进行欺骗防御的部署。此处的部署建议为大多数场景都适用的通用部署策略建议。

3.1互联网暴露层部署：

攻击者会在互联网暴露层收集企业信息，为如何进入内网寻找突破口。相对应的防御思路是通过蜜罐、诱饵来逆转攻防信息不对等局面。

在互联网部署蜜罐、散播蜜饵，干扰攻击者收集情报，使其选择攻击目标时产生误判，指数级地增加攻击者的攻击成本，延缓攻击进程的同时，将攻击者不断诱导引入蜜罐陷阱，最终达到消耗攻击者的精力，在心理层面挫败攻击者，打消其继续进行攻击想法的目的。

3.2网络边界层部署：

网络边界层是攻击者进入内网的必经之路，是内网中风险最大的区域。如果企业自身安全防护能力较弱，攻击者或者蠕虫病毒可以轻易进入到此网络层区域; 对于一些网路防护能力较强的企业，高级别攻击者也已经具备绕过现有安全检测设备突破进入企业网络边界层区域的能力。

所以网络边界层是防护的重点区域，其部署建议策略为：根据网络具体情况结合不同的战术指导欺骗防御体系的部署，对进入到这一层攻击者实施封控策略，通过发现、诱导、压制的策略来阻止攻击者进入到更深层次的网络区域。

以办公区域部署为例：

办公网络区域受攻击的主要类型是钓鱼攻击（邮件、站点、问卷调查、微信群、QQ群等）、近源攻击（U盘、WIFI 钓鱼、 BADUSB 钓鱼、物理网口、智能售货机等设备）、员工误下载带有病毒或木马的文件，攻击手法偏向于社会工程学，无法直接使用安全设备进行较好的防御。

通过办公区进入内网是高级攻击者成功率比较高的攻击方式，APT攻击事件中办公网络区域是APT攻击事件的重灾区，因此办公区网络区域是防御的重点。

对于办公网络区域部署防御侧重点的建议：

1）投放诱饵与蜜罐：部署侧重点在与外接沟通、文件收发较频繁的部门，比如HR部门（经常接收简历文件），财务部门（经常接收发票等文件）。另外网络管理部门也是高风险部门之一，因为此部门员工办公终端有大量对攻击者很有价值信息，可在这些部门员工办公终端投放诱饵。

2）攻击阻断：在办公网络区一般没有重要的业务服务器，可设置高级别的阻断力度。

一是防止员工终端中的木马、勒索病毒等在内网传播并及时发现所属物理主机。

二是防止进入到此区域的攻击者在内网收集情报或向其它主机移动。由于办公网络区域主要为Windows资产，建议在此区域部署的蜜罐大部分为Windows系统蜜罐。

3）部署密度：办公区属于内网风险最多的区域之一，建议部署一些黑洞蜜罐，并且进行大面积的IP覆盖。

3.3边界设备互通层部署

边界设备互通层设备可被高风险的网络边界层设备直接连接，此网络层的区域存在有一定风险，需要做一些防范策略，适当部署一些蜜罐用于发现与诱导对此区域设备发起收集情报或攻击的攻击者。

3.4内网核心层部署

内网核心层是数据资产比较重要的网络区域，通常包括数据中心、核心业务、管理控制等区域，一旦攻击者进入此网络层区域未及时发现，可能导致严重的安全事件。

所以在此网络层可根据资产情况选择某些需要重点防御的区域，部署蜜罐以迷惑攻击者，延缓攻击进程，并在攻击者对区域的侦查阶段发现入侵提前预警 。

根据创宇蜜罐对于实际场景的研究及应用经验，推荐根据业务情况部署真实业务系统数10倍以上的孪生蜜罐、伪造业务蜜罐以迷惑攻击者，指数级延长攻击者攻击真实业务的时间，并利用蜜罐的0误报率对区域入侵行为有效预警。

04伐谋--欺骗防御体系的终极目标

《孙子兵法.谋攻篇》曰“故上兵伐谋，其次伐交，其次伐兵，其下攻城”，最上层的战术是打消对方攻击的企图，不战而胜。

欺骗防御体系拥有溯源、反制、留证防抵赖的能力，完全可起到震慑攻击者的目的。攻击者在不断被诱导引入蜜罐陷阱，建立的据点不断被阻断无法连接，消耗大量的工具和精力却一无所获时，将从根本上打击攻击者信心。
最终，当攻击者发现攻击到的目标均为蜜罐后，会有被溯源反制，甚至留证被依法制裁的可能，这些可以震慑攻击者使其放弃攻击企图，达到保障网络安全的最终目的。

一切的防御手段，都是以最终的网络安全为最高目标，欺骗防御体系亦如此，其建立也必然遵循“目标明确，因地制宜”的原则，力求通过欺骗防御体系更全面更准确感知未知威胁，更立体更多维的进行网络安全防御。