云舒：欺骗防御未来已来

作者：云舒（默安科技联合创始人兼CTO，资深网络安全研究人员）

序言

前两天拜读了思睿嘉得CEO DJ的《真真假假的创新——RSAC2019之三》，写得非常好，也很佩服。我自从和小伙伴们开创默安科技以来，和业界的交流就少了很多，精力花在客户和产品上面了。但是读完DJ的文章之后，兴起了写点文字的想法。

DJ对威胁情报和欺骗防御两个方向提出了自己的观点：“威胁情报厂商无法独立存在达到规模盈利。未来发展有两条路可以走：一是全力投入做重产品，例如xDR；另一条是迈半步快速横移至其它领域，例如SIEM。”这一点我深表赞同。我认为当前威胁情报的使用者不应该是企业或者单位，而应该是安全公司。威胁情报需要借助安全公司的各种产品落地、海量查询次数，情报本身作为各种AI引擎后的补充说明。后续，可以做出更具业务属性和上层属性的威胁情报，一年查询1-2次，变成了类似安服的高级情报服务。总的来说，威胁情报要么卖得很便宜，可以海量查询；要么卖得超贵，二三十万查询一次。除此之外，只怕没有更好的选择。

关于欺骗防御，他认为“有些风头一时无两，还没经过什么雨打风吹，过两年自己就不见了；有些默默无闻少人关注，待到惊蛰一声，已然悄悄改变了整个行业格局。读者不妨想想，分析师前两年热炒的创新欺骗Deception产品，卖货可以，对安全行业的影响是不是可以忽略不计”，对于这句话，我只同意一半。目前欺骗防御的影响力确实不大，但是未来两年内一定会大起来。

为什么需要欺骗防御

我们先看一个故事。2017年安全咨询服务世界第一的德勤被黑客入侵，大量机密数据被偷。随后，安全研究人员发现德勤大量的代理服务器密码、VPN密码以及其它相关安全数据泄露到GitHub、Google+等SaaS服务平台。攻击者可能利用了这些数据，侵入德勤网络内部。在这次事故中，攻击者直接使用员工的VPN密码远程接入网络，然后在这个加密隧道下进行缓慢横向渗透，传统的APT检测防御设备有发现攻击的可能么？基本不可能。

传统的APT检测防御，我把它抽象成三个关键词：边界、点状、技术对抗。

传统的APT检测产品，更多的是依托于边界检测、边界防御，对进出的数据、文件进行还原，希望御敌于国门之外。但是在云计算时代，资产已经不仅仅是在物理范围之内，社交网络中员工暴露的邮件地址、SaaS平台上面分享的代码、云笔记里面记录的密码，都属于被保护的对象。以前的那种假设，“内部是安全的”，现阶段下是行不通的。10万PC，万分之一的几率被入侵，也可能有10台PC已经被黑客入侵了。组织内部还可能存在商业间谍，或者里应外合的攻击者。我们需要新的假设和新的理念——假设内部已经被入侵了，有潜伏者，我们的安全检测应该怎么做？Carbon Black最新的报告指出：“不只是入侵，攻击者倾向于更长久地潜藏在网络中，已成为攻击者大政方针的一部分。”我们不能坚持“守住边界不失、防线不被突破”这种旧的理念，而欺骗防御一开始就是建立在内部有潜伏者的理念上并以此为基础而设计的。

点状，是由于APT产品的实施模式决定的。预算少时，部署一套在边界上；预算充足一些的，其它重要网段再分别部署一套。但是不管如何部署，有多么充足的预算，永远只是几个独立的“点”，对于内部的行为就很难掌控了，除非有谁能丧心病狂地把APT设备部署到每一台接入层交换机上。欺骗防御以传统蜜罐为原材料，通过各种新技术将蜜罐业务映射到每一个业务网络，甚至每一台主机上，在内部组成一个和真实业务混杂在一起不分彼此的巨大侦测网络，可以低成本地覆盖到每一个角落。

技术对抗，这是大多数技术人喜欢的点，也是我喜欢的东西。传统的加壳脱壳对抗、各种规则，发展到现在基于深度机器学习和AI技术，也发生了巨大的进步，做出了非常好的东西。但是我们是不是可以试一试另外的思路，想想不同层面的东西。我们要保护的系统有弱点，攻击者也是人，攻击是不是也有弱点？欺骗防御尝试把关注点从攻击上挪开，进而去关注攻击者本身。

攻击者通过扫描、通过GitHub发现了30个资产，并且其中有5个脆弱点，这些资产是真实的吗？这些脆弱点是真实的吗？人是有惰性的，不管攻击者通过什么逆天0day渗透进内网，人生地不熟，发现一个PC上记录着某个运维监控系统要不要去看看？发现PC内存有重要密码HASH要不要拿去登录？发现一个存在sql注入的OA系统要不要去看看？发现jenkins的RCE漏洞打不打？有容易入侵的方式不用，专门拿逆天0day去打一切系统？

欺骗防御避开了技术对抗这个关键，回到人的角度看攻击行为。

欺骗防御的市场定位与趋势

从上文的描述其实可以看出来，我的判断是欺骗防御属于APT检测、红蓝对抗的一部分。凡是部署APT检测产品的地方，就需要部署欺骗防御系统。需要做红蓝对抗演练的地方，就需要部署欺骗防御系统。这里面也暗含了我的另外一个想法——欺骗防御不取代传统的APT检测产品，也不可能取代。

理想情况下，应该是边界上部署基于AI的APT检测设备，作为堂堂正正的御敌之师；业务内部，部署欺骗防御系统，作为合纵连横的腹黑心机。过去存在的APT市场有多大，欺骗防御存量市场就有多大。未来，还没有部署APT检测产品的地方，将会同时部署APT产品和欺骗防御产品，这是欺骗防御即将产生的新市场。除了企业内部传统的IT架构、云、IOT网络、工控网络，欺骗防御产品都将发挥巨大的作用。

我们2016年4月成立之后，同年9月发布了国内第一款欺骗防御产品。这几年我和不同的客户沟通后，已经感觉到了市场的趋势即将到来。所以，我敢断言，2022年之前，欺骗防御市场会极其兴旺。至于具体多大，需要专门的研究机构去研究，这不是我的专长。我通过多年的行业浸润，以自己的第六感敏锐地感觉到就已经够了。

欺骗防御产品的实施

欺骗防御产品，应该有四个关键点：诱饵、融合、分析、溯源。

诱饵是攻击者在采集信息收集目标情报时发生作用，对攻击者进行欺骗。这里的信息采集可能发生在侵入之前，攻击者在GitHub、Pastebin等SaaS业务上收集的数据，也可能发生在攻击者已经在某些PC上植入远控，收集PC上面的各种浏览器记录、TXT文档、EML文件、RDP记录等等，甚至包括内存里面的密码hash。总得来说，诱饵是用来让潜伏在内部的黑客主动跳出来进行攻击从而暴露自己，是捕鼠器旁边沿路放置的小甜点。对攻击渗透越了解，对人性越了解，越能够做出更具迷惑性、更真实的诱饵。运用之妙，存乎一心。

融合是欺骗防御和传统蜜罐的根本区别所在。传统蜜罐是上古时代就出现的安全技术，但是只在安全公司收集样本的时候使用，基本上与安全防御无缘。究其原因，是因为蜜罐的蠢和笨。三两个木头人，站在企业内网这么一大片树林里，想故意去碰它都未必找得到，何况是想等人无意中踩上来？所以我们做欺骗防御系统最关键的点，就是要让蜜罐安全地融入到业务系统之中，不仅仅是四层端口的融合，还包括七层业务的融合，甚至包括数据层面的融合。

最终要做到真实业务网和蜜网完全一体，你中有我我中有你，才算是实现了欺骗防御。部署完成后，原本1个资产有3个服务，可能变成4个服务。原本1000个IP，可能变成1200个IP。原本网站某个目录不存在，现在可能能够访问还返回一些错误信息。融合更多的是一种理念，需要结合各种技术以高安全、低成本、易部署的方式去实现。这些融合，甚至要依托最新的SDN、SDSec之类的技术，这里也是对传统APT检测产品那种点状模式的突破，在内部形成了一个拥有无数触角的大网。对渗透技术的把握，会反应在融合的思路上。兵无常势，水无常形。

第三个是分析。属于常规操作，不做赘述。值得一提的是，欺骗防御的分析，更多的是分析入侵者在入侵后的一些行为，如果真是拿逆天0day打进来的，这个0day是抓不到的，也不太可能分析出是怎么打进来的，除非运气好0day直接打在一个蜜罐上或者与这个蜜罐融合的那个影子上。

第四个，溯源。溯源不仅仅是传统的基于IP地址、物理位置的溯源，那种枯燥的东西毫无意义。欺骗防御的溯源，是要到人的溯源。区分自动化的机器程序和人的行为，并且能够不被VPN、代理所蒙蔽追溯到真实的信息，将同一个人的多种不同来源、多种不同行为关联到同一个人身上。这样的溯源才是有价值的，是生动的。做到这一步，其实有点回到了我序言所说的那种很贵的威胁情报。

总结

一句话，欺骗防御是传统APT检测产品、下一代防火墙产品的盟友，三者将会一起壮大这个市场。未来不局限于企业内网和云，更会扩展到IoT安全、工控安全等多个领域。这样的壮大，会在2022年之前到来。