网络欺骗技术发展研究及政策建议

falcon

网络欺骗技术（Cyber Deception Technology）是欺骗策略在网络安全防御中的应用，其通过在信息通讯系统上构造虚假信息进行干扰或误导网络攻击者的认知，从而延迟或阻拦网络攻击者的活动，使攻击者采取有利于防守方的动作，最终达到增强信息通讯系统防御能力的目的。

与传统安全技术关注入侵不同，网络欺骗技术更加关注防御体系的构建，其通过人工智能和自动化技术实现真实网络与数据环境的高度仿生，帮助防御方主动构造动态的、真实的虚拟网络与数据环境，欺骗攻击者进入陷阱以延迟攻击时间。

网络欺骗技术既可以作为一个独立的平台应用，又可以联合多种安全防御手段进行应用，利用人工智能的自动学习能力，不断收集并分析攻击者路径与思路，提高攻击者的攻击难度，进而提升网络欺骗防御能力。


一、技术发展情况
根据网络欺骗应对目标的不同，网络欺骗技术的发展可分为3个阶段：应对人工攻击的开创阶段；应对自动化攻击的蜜罐阶段；应对高级持续性威胁（advanced persistent threat，APT）的欺骗防御阶段。
开创阶段，网络欺骗只是被安全研究人员用于检测业务系统的入侵情况和对抗人工攻击，主要表现形式是在业务系统中插入虚假数据或开启未使用的端口，从而欺骗入侵者。

蜜罐阶段，自动化工具的恶意代码传播成为攻击的主流方式，恶意代码的发现与样本收集的实际需求促进了蜜罐技术的发展，蜜罐或蜜罐传感器被广大安全从业人员熟知，并使用相应的解决方案发现和收集威胁情报作为防御的关键策略。但由于动态性、真实性、伪装性不足，蜜罐往往容易被识破。

欺骗防御阶段，主要通过人工智能和自动化工具加强欺骗技术的真实性和运维管理，主要特征有三点：一是分布式部署；二是使用真实的业务场景制作欺骗工具；三是与其他安全工具联动，构建立体防御体系。一方面可以让欺骗环境保持动态更新，另一方面还可以降低人工运维的成本并输出可视化的威胁画像，协助管理者作出应对决策。

欺骗防御技术通过人工智能和自动化技术实现真实网络与数据环境的高度仿生，当前网络欺骗技术虽然在技术应用和市场显示出比较好的应用前景，但仍处于起步阶段，还主要在使用蜜罐集中或分布式部署，以增强恶意代码和威胁检测。



二、发展难点分析
与传统的安全防御措施不同，网络欺骗技术为了达到更好的效果，要求与业务系统具有高度的相似度和高交互的网络数据，但当前在构建基于真实业务的虚拟数据动态环境方面，还有所欠缺，并且还没有形成固定且统一的形态，而是随着攻击技术与网络安全需求的变化而演化，尚未形成体系化的理论基础与通用的标准规范。

网络欺骗技术的发展与应用的难点目前主要体现在以下3个方面：
1）网络欺骗技术非常依赖攻击者与虚拟环境之间的触碰点，现有技术难以动态地分布欺骗智能防御节点。
2）高度仿真的虚拟环境在注入应用程序或数据路径中时，容易与真实环境发生冲突，导致业务中断。
3）难以生成攻击者行为的威胁画像，无法助力威胁情报的生成，不利于完善防御策略。



三、产业落地情况
网络欺骗技术解决方案现已部署在各个行业，包括银行金融服务和保险（BFSI）、能源与公用事业、政府、卫生保健、IT与电信、汽车制造业等。
国际上，2018年，Gartner发布了威胁应对技术成熟度曲线报告，该报告以威胁应对技术为研究对象，集中分析并筛选出了能够实现直接防御或有效降低安全风险的新兴安全技术，其中“网络欺骗技术”被认为是未来5-10年能够进入主流市场、并对现有安全防护体系产生深远影响的安全技术发展趋势。美国等发达国家纷纷对网络欺骗技术进行了投入，如美国国防高级研究计划署（DARPA）直接参与的赛博欺骗项目。2020年3月，Mordor Intelligence发布了专门针对欺骗技术市场的分析与预测，预计欺骗技术市场估值到2025年将达到24.8亿美元。当前，国际上网络欺骗技术研发主要参与者包括IllusiveNetworks（以色列）、TrapXSecurity（美国）、Rapid7（美国）、LogRhythm（美国）、Attivo Networks（美国）。

在国内，相比国外而言，网络欺骗技术发展较为缓慢，但是国内也有一批安全厂商开始布局网络欺骗技术，如默安科技的高级威胁狩猎与溯源系统、长亭科技的伪装欺骗系统、观安的网络威胁安全防御系统、联软科技的网络智能防御系统等，均努力尝试利用自身技术积累帮助客户建立主动防御机制。



四、意见和建议
网络欺骗作为一种主动防御机制，在未来网络空间战中具有积极战略意义。建议主管部门从网络空间战略的高度上进行统筹规划、协调组织资源进行研究探索。

1．政策与标准方面
建议尽快研究制定网络欺骗技术相关标准，为网络欺骗技术的研发及相关产品的落地实现提供指导，进一步促进网络欺骗技术的规范化发展。

2．技术发展方面
随着网络欺骗技术的逐步完善，建议与移动目标防御（moving target defense，MTD）方案结合来增强真实的业务系统的多样性和复杂性，让网络攻击者更难获取有效的情报进行攻击，发挥其最佳优势，降低攻击者的效率与成功率。


摘自：《网络安全技术和产业动态》2021年第7期，总第13期。