永信至诚春秋云阵蜜罐护卫模式三部曲丨如何通过蜜罐检验企业安全防御能力

在“”文章中我们提到，为了扭转网络安全领域攻防不对等局面，政企用户开始广泛采用基于欺骗式防御技术的护卫模式来进行主动安全防御，其典型的安全产品就是蜜罐。

接下来，我们将继续围绕网络安全护卫模式，分享蜜罐另一大价值——“迟滞攻击”，进一步梳理蜜罐欺骗式防御价值实现的内在逻辑，为各行业用户网络安全主动防御体系构建提供有效参考。

在平行仿真技术的成熟应用下，蜜罐被广泛部署在企业的真实网络场景中，有效延缓攻击，对真实目标起到重要的护卫作用，这就恰似一种自然现象——“海市蜃楼”。

众所周知，“海市蜃楼”是虚假的场景，就像在我们和目标之间设置了一个时间与空间交织的场域，迟滞我们到达目标的时间，从而制造了一个“迟滞时间”。

延伸至网络安全领域，如果故意在攻击者与企业真实业务系统之间，设置一个类似“海市蜃楼”的场域，势必也能在攻击者和被攻击目标之间制造一个“攻击迟滞时间”。

这个场域我们称之为“蜜场”。

蜜场又被称为蜜罐场（Honeypot Areas），这是一个由多个单点蜜罐组成的蜜罐集群。通常被配置为真实网络中高价值目标系统的替身，当网络中出现恶意的、未经授权的行为时，蜜场组件会动态的将其流量重定向到蜜场中的预定义蜜罐中。在攻击者毫无察觉的情况下实现秘密监视和攻击行为数据捕获，迷失其方向，扰乱其攻击节奏，同时还可以应用于计算机溯源取证。

蜜场，由蜜罐技术发展而来。蜜罐这一概念最早出现在1989年出版的《The Cuckoo's Egg》小说中，小说中描述了作者Cliff Stoll作为一名计算机安全专家和公司网络管理员，如何利用蜜罐发现并追踪一起商业间谍案的故事。在书中，作者提出“蜜罐是一种了解入侵者的有效手段”。自此，蜜罐技术作为欺骗攻击者与其进行交互的技术工具，在网络安全领域兴起。

蜜罐技术迎来真正的发展，是在这一概念被提出10年之后。一批网络安全技术人员相继开发了一些产品，如1998年Cohen 所开发的DTK、Provos 开发的Honeyd ，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐能够模拟部分网络服务和操作系统特征，只能捕获少量信息，容易部署，主要起到欺骗黑客的作用。

这个阶段我们称之为护卫模式下的欺骗时代。

一直到2003年，随着分布式概念被引入、蜜网模型框架的发布，蜜罐技术因能主动诱捕攻击者开始被广泛普及，同时，对攻击数据的捕获和分析也成为了研究重点。

2018年以后，随着国家级攻防演练的受重视程度提升，蜜罐技术被用来辅助入侵检测和防御，并被扩展到工业控制等多个领域。

这一时期，高交互蜜罐被广泛应用。高交互蜜罐能够细粒度仿真真实的操作系统和服务，因此，引诱性更强、交互性更高，收集到的数据也更全面，达到的护卫效果也更显著。

这个阶段我们称之为护卫模式下的诱捕时代，在欺骗的基础上增强了诱捕和溯源。

道高一尺魔高一丈，当攻击者普遍意识到欺骗、诱捕的存在时，蜜罐效果就会大打折扣。为了增加网络攻击成本，让蜜罐持续发挥价值，构建网络安全主动防御优势，入侵迟滞概念由此诞生并被广泛倡导。通过打造高甜度、能够迷惑攻击者、最大化滞留攻击者的蜜网甚至蜜场，引诱攻击者进入预设的环境，制造MTTH，让攻击者找不到真正的目标，进而迟滞对真实目标的攻击。

MTTH即为“平均攻击迟滞时间”，代表的是攻击者从开始探测目标系统，到从蜜场中辗转出来后的平均时间周期，这个时间周期越长，企业目标系统就越安全。正因为蜜场为企业创造了“攻击迟滞时间”，所以我们回过头来看应急响应KPI时间线时，就会发现在原有的“MTTD”、“MTTA”、“MTTI”、“MTTC”、“MTTR”之外，还会有“MTTH”存在。

随着MTTH（平均攻击迟滞时间）概念的应用，网络安全主动防御体系下的护卫模式发展到了以迟滞攻击时间，来帮助企业检验防御弹性和评估防御强度的时代。

迟滞攻击是主动防御技术能力不断优化的必然产物，也是欺骗时代及诱捕时代的持续进阶的表现。

在欺骗、诱捕时代，蜜罐技术作为辅助入侵检测技术被应用。实现迟滞攻击，更需要站在持续护卫真实业务系统免受攻击的角度，将蜜罐技术广泛应用在企业内外网，主动持续监测网络攻击、欺骗诱捕网络攻击、检测评估网络防御能力。

永信至诚“高甜度”春秋云阵新一代蜜罐系统，一方面构建高仿真“陷阱”，另一方面支持生成多种诱饵文件、诱饵内容迷惑攻击者，其中包括账号诱饵、文件诱饵、域名诱饵等多种形式和类型的诱饵。在此部署下，防御者可以从后台页面中导出相应诱饵文件或信息，快速喷洒到互联网、内网主机或一些重要信息片段的内部，引诱攻击者进入蜜罐陷阱。同时，蜜罐还支持使用诱捕节点设备等来延伸蜜罐的触角，扩大防御范围，达到以假乱真、虚虚实实的诱导效果。

作为网络靶场和人才建设领军者，永信至诚依托数年来在网络靶场仿真技术积累，以“平行仿真”系列技术为核心，打造春秋云阵蜜罐系统，实现细粒度场景仿真。在蜜罐系统中，默认包含多种低交互蜜罐、高交互蜜罐以及行业特色仿真蜜罐等各类单点蜜罐，根据防御网络的实际需求铺设蜜罐网络的仿真层级和深度，模拟多种典型的独立办公网络、跨地域网络、DMZ区网络、服务器网络、云服务器网络等环境，无需串联业务，实现独立部署，不影响实际业务正常运行。

春秋云阵蜜罐自带爬取学习能力，可以仿真周围的目标应用，像“变色龙”一样将自身隐藏在防御网络内。仿真蜜罐中也按照常规的数据联系，对BANNER信息、账号、权限、数据库字段、数据依存关系等进行相关设计，进一步加强其伪装性和“甜度”，引诱攻击者不断深入蜜罐场景，暴露其动机和技术手段，延长攻击者停留时间、引导其留下更多攻击痕迹，有效检验网络风险防御弹性，为用户带来切实的安全价值。