2020年4月，一段不明飛行物(UFO)視頻引發了各界的廣泛猜測。美國福布斯網站報道稱，這一段視頻很可能是美軍新技術“幻影誘餌”的演練影像。該技術被視為“游戲規則改變者”，它可以保護戰機免受紅外制導導彈的攻擊。 

傳統的紅外干擾彈也能夠用來誘騙敵軍，使紅外制導武器脫離真實目標，但在發射后，干擾劑會迅速四散下落。“幻影誘餌”不同，它能夠根據戰機需要來調整投放位置和使用時間;還可以給飛機安裝多個激光源，各自生成不同“幻影”，足以迷惑當前的紅外制導系統;甚至可以投射虛假影像以掩護其他目標，例如戰艦、戰斗群、軍事基地乃至城市。

從單次即失效到位置與時間靈活可控，從單點防護到多點欺騙，從守護戰機自身到掩護整座城市。擴大誘惑面，提高仿真度，守護更多真實資產，這正是“幻影誘餌”的高明之處，它已經完成了從“低交互誘騙”到“高交互誘騙”的進化。

事實上，網絡空間與現實世界正發生深度交融，網絡安全邊界逐漸模糊，各類已知和未知的安全威脅不斷涌現。互聯網安全其本質是黑客和開發者之間的攻防戰爭，既然是戰爭，就可以借鑒現實戰爭思維來實施防御。如何將上述欺騙防御技術“搬運”到網絡空間，打造網絡安全界的“幻影誘餌”實施防御?

防守之難：如何消除攻防信息的不對等?

網絡空間安全形勢日趨嚴峻，網絡安全攻防演練逐漸成為常態化需求。“拿下10個shell，不如打下一個內網”，內網安全的重要性不言而喻。但在攻防對抗中，攻擊者往往只要找到一個弱點便可直擊企業心臟，防守者卻需要全面考慮風險點，稍有疏忽便功虧一簣。我們唯一確信的是：新的威脅在不斷出現，企業一定存在未被掌控的風險點，而攻擊者一定會在某次攻擊中將其洞穿。

“攻擊者什么時候進攻?如何知道攻擊者打到哪了?攻擊者打進來都干了什么?”

對守方來說，永遠無法預知攻擊者下一步的進攻方式。傳統安全產品無法應對頻發的0day攻擊，亦無法精準感知攻擊隊進程，被內網漫游了仍不知道是哪里失守。

此時，攻擊欺騙防御技術便成了一支奇兵，通過構造一系列虛假環境，有意誤導攻擊者走入“獵人”設置好的陷阱，通過先發制人幫助企業消除攻防信息的不對等、保護企業真實資產，不再被動響應、盲目挨打。

具體來說，企業采取了更加主動的防御措施以消耗攻擊成本，例如部署蜜罐，提供虛假設備或服務來誘捕攻擊者，誤導攻擊者采取錯誤的攻擊方式與工具，這正是攻擊欺騙防御的主要落地形式。一旦攻擊者觸碰蜜罐系統或打開蜜標文件，即刻會被防守方監測，但攻擊者對此尚無感知。在對蜜罐掃描、探測、訪問的過程中，蜜罐系統在不斷消耗攻擊資源、拖延攻擊時間、記錄攻擊行為。防守方從而得以了解攻擊方的工具、方法和動機，不僅對當前面對的未知安全威脅有了清晰認知，也能夠通過技術和管理手段來增強實際系統的安全防護能力。

攻擊欺騙：源于蜜罐，勝于蜜罐

陷阱能否成功迷惑敵軍，重點在于偽裝得像不像。

攻擊隊也不傻，你有張良計，我有過墻梯。近年來反蜜罐技術逐漸興起，傳統開源蜜罐因為配置靜態、信息有限，只能簡單模擬一些操作系統、服務和應用，因此越來越容易被識破。魔術手法一旦曝光，觀眾便會覺得索然無味，低交互蜜罐逐漸失去了價值。

傳統低交互蜜罐示意圖

經過長達三十年的技術演變，如今的高交互蜜罐早已不再囿于蜜罐，而是配合了蜜網、蜜標等其他欺騙手段，我們應該稱之為攻擊欺騙防御體系。該體系不僅可防護具有大規模影響范圍的非定向攻擊，也大大提升了對個體性定向攻擊的監控效率。既可以單獨使用，也可以部署于業務系統之上，還可與已有的網絡防御機制聯動，提高系統識別威脅和應急響應的能力。相比傳統蜜罐，該體系更像是配備了激光的“幻影誘餌”，團隊作戰，且騙術高超。

1. 混合式蜜罐

集低交互和高交互蜜罐為一體的混合式蜜罐，既具備低交互蜜罐對資源要求低的好處，也擁有高交互蜜罐響應能力高的優勢。結合企業特點按需生成，大大降低了資源消耗。

2. 云蜜標

蜜標系統可生成極具誘惑性并含有“敏感數據”的Word、 PDF、 EXE 等蜜標文件，并將蜜標文件分發到蜜罐系統中。當攻擊者竊取蜜標文件并執行打開操作時，蜜罐系統會接收回傳的攻擊主機信息，并發送給攻擊事件分析平臺，同時向運營者發出告警信息。而云蜜標的出現讓攻擊者更無遁逃余地，在任何網絡環境下打開文件，信息都會上傳至云端，告警更準確。

3. 自適應部署

誘捕面的合理部署是影響到防御效果優劣的重要因素。考慮到企業中安全運營人員的安全能力參差不齊，很難做到從攻擊視角完成Agent部署。現在依托機器學習、人工智能技術，Agent會根據所部署的業務環境進行智能識別分析，自動推薦與業務系統高度一致的欺騙環境模板，并實現一鍵配置，大幅縮減安全運營所需人力和時間。

4. 精準溯源

當攻擊者觸碰欺騙模塊時，系統會記錄攻擊行為，識別攻擊者IP地址、社交賬號、指紋等信息，同時聯動全球威脅情報和安全大數據，對攻擊者進行畫像以及自然人社交身份定位。

5. 企業威脅情報源

攻擊欺騙防御技術一方面可利用已有威脅情報數據完善欺騙策略，另一方面也能將捕獲到的信息上報，助力企業生成自己的威脅情報源。

360攻擊欺騙防御服務部署示意圖

欺騙的價值在于攻擊者能得到“真實”的回應，讓他誤以為當前攻擊有效可行。無論攻擊者從哪一個入口進入、進行到任何攻擊階段，都有拖延之術，這就為防守方爭取了黃金防護時間，甚至還提供了反制的機會，圍魏救趙也不過如此。

360攻擊欺騙防御服務

依托360安全大腦的海量安全大數據，由漏洞云、威脅情報云以及超3800人的安全專家云賦能，360“攻擊欺騙防御”服務是基于攻擊欺騙理念，而推出的內網威脅感知產品與安全專家相結合的主動防御服務。

360安全專家團隊擁有多年網絡攻防對抗實戰經驗，可依據客戶的網絡和業務情況，推薦具有針對性的探針部署方案，通過高仿真蜜標、蜜罐和自定義蜜網的綜合應用，增強對惡意入侵者的攻擊捕獲能力、延緩攻擊進程，為企業贏取應急響應時間，保護企業真實資產。同時也可根據客戶需要，提供安全事件應急響應服務，輸出安全攻擊事件報分析報告，助力企業提升主動防御能力。

360攻擊欺騙防御服務支持本地安全大腦部署和云端安全大腦部署兩種模式。本地部署采用探針+server模式，對客戶原有網絡架構不會產生任何影響。云端部署采用SaaS模式，可為您提供物理機級別的云上安全服務。您無需額外購買設備，只需通過部署極其輕量的軟件探針，即可極速構建內網安全體系。

云端服務優勢

l 申請后24h 內即可開通并部署，便捷高效

l 按月付費，自定義使用時間，精準量化服務成本

l 7*24小時安全專家技術支持，配合客戶進行應急響應

l 360安全大腦云端賦能，實現安全服務能力自動迭代升級