网络安全的本质是攻防对抗,而对抗的本质则是攻防两端能力较量。为了扭转网络安全攻守不对等及被动防御滞后的局势,主动出击、欲擒故纵、诱敌深入的技术正在被大量应用到网络安全防御中,它们被称作欺骗式防御。随着信息安全和网络安全工作的深入开展,特别是攻防演练、情报生态的发展,基于蜜罐仿真、拟态仿真、移动目标防御的欺骗式防御技术陆续产品化并大量落地应用,弥补了传统被动式防御模式的诸多不足,也为构建主动式防御的新模式提供了更广泛的支撑和帮助。
为了帮助企业组织更好地应用欺骗式防御技术,发现目前较先进的国产欺骗式防御产品及技术解决方案,安全牛在第十版《网络安全行业全景图》细分领域收录基础之上,进一步开展了《2023年欺骗防御技术应用指南》报告研究工作。
在本次报告编写过程中,安全牛分析师通过问卷、访谈、走访等形式,综合调研了27家国内提供欺骗防御技术产品和服务的供应商,覆盖蜜罐/蜜网、移动目标防御(MTD)、拟态防御等典型欺骗式防御技术领域,并从市场影响、产品化、行业应用、服务保障和创新能力5大维度,对目前领域中的代表性厂商(见下表)进行了评估收录和特点分析。
报告关键发现
1、根据本次报告的调研数据测算,2022年我国欺骗防御技术的市场规模约为10.6亿元人民币,同比增长28.7%。其中,蜜罐/蜜网类技术(产品)的市场规模约为7.5亿人民币,同比增长21.9%,MTD技术的市场规模约为2.6亿人民币,同比增长29.7%;
欺骗防御技术市场发展预测
2、国内欺骗防御技术的应用和发展主要呈现以下特点:
实战化背景下的攻防演练活动是欺骗防御技术应用发展的主要驱动因素之一;
组织对欺骗防御技术的采购意愿多是由非合规性的安全事件驱动;
组织对欺骗防御技术的应用诉求多以攻击诱捕和溯源反制为主;
-
在技术和产品的成熟度方面,已达到相对稳定的可应用状态。
3、截至目前,国内欺骗防御技术的应用规模相比传统检测防御技术仍然较小,但随着实战化攻防演练活动的持续开展,党政、金融、运营商、能源、军工行业等行业的企业组织对欺骗防御技术的应用需求正在呈现快速增长态势,占整个欺骗防御市场份额的68%;
欺骗防御市场行业分布
4、由于新冠疫情对网络安全市场的整体影响,欺骗防御技术研发和创新在过去两年中一度趋缓。而2023年开始,由于人工智能、大模型技术的火爆应用,一定程度上推动了网络仿真技术的发展,布局智能化蜜罐、拟态蜜网、孪生网络能力的安全厂商明显增多;
5、本次报告对41家企业用户进行了欺骗防御技术的应用满意度调研,其中4.9%受访企业表示应用效果超出预期,7.4%的受访企业表示达到预期,53.6%的受访企业表示部分达到预期目标,而有34.1%的受访企业明确表示未能实现预期的应用效果;
6、中、低交互型蜜罐成熟度较高,但诱捕能力有限;高交互型蜜罐适配业务方面更灵活,但场景化要求也更强。目前,行业中的部分先进厂商蜜罐种类可达到近百种,但受到仿真能力的限制,多数品类仍属于通用型蜜罐,行业型蜜罐应用水平仍然较低;
7、研究发现,国产欺骗式防御技术未来将呈现情报化、协同化、简易化、自动化、智能化、行业化等发展趋势。
应用与挑战
相比传统的威胁检测手段,欺骗防御技术可以实现精准的威胁诱捕、攻击检测,避免漏洞探测和利用,为网络安全构建“防患于未然”的主动安全体系。在政策引导和产学研融合的助推下,近几年国内欺骗防御市场的技术推广、产品化、应用场景、行业覆盖等方面的能力都有不同程度的扩展。
图 欺骗防御技术应用状况
调研发现,欺骗式防御技术在落地应用中的主要挑战包括:
欺骗式防御技术的部署有较高的技术门槛,需要运维人员对虚拟化、网络系统有一定的理解;
实时变化的动态场景对仿真及诱捕策略配置有较高要求;
溯源及反制能力不足,部署成本较高,且存在一定的合规风险;
-
欺骗防御难以与传统安全防护体系形成很好的协同。
在企业部署应用欺骗防御系统时,可以参考以下步骤建议:
-
开展系统分析
了解所有需要保护的信息系统情况是构建欺骗系统的第一步,其内容涉及网络结构、主机分布、系统类型、重要应用、关键数据等信息,对于防守信息系统的理解越深入,越有利于欺骗系统的构建。待保护资产将根据其位置、用途、类型和协议等进行映射,并配合流量分析引擎,将网络和资产映射为欺骗方案的一部分。
-
设置诱饵
诱饵和面包屑的部署是为了提升欺骗效果而设置的,它们看起来应尽量和真实资产一样。诱饵是虚拟资产,最好的欺骗诱饵是高度接近真实生产资产的诱饵,“真实”诱饵可以是企业打算淘汰的旧系统,也可以是生产环境中的新服务器,并将它们放在相同的位置,具有相同的服务和防御。而面包屑可以是文件、数据、电子邮件等等,沿途布置一条与攻击目标有关的面包屑痕迹,能够吸引攻击者进入陷阱。
-
部署欺骗组件
欺骗组件的部署情况直接决定欺骗系统的成败,需要注意的,一是要讲究策略,结合第一步系统分析的结果,从攻击者的视角出发考虑问题;二是要注意欺骗组件和现有系统的融合,避免孤立的使用欺骗技术和组件;三是尽量采用自动化的方法进行部署,以确保准确部署和后续的扩展性。
-
持续监测与动态调整
能够对攻击者开展攻击监测是欺骗系统的重要作用之一,相比传统的被动式防御方法,欺骗式防御系统在攻击监测方面表现更加突出。通常情况下,欺骗系统应该在攻击每次访问或尝试访问诱饵时触发警报,并向安全团队报告受到攻击的情况,报告应该尽量全面的反映攻击的全部过程。还要注意的是,欺骗系统本身应该是动态变化的,需要伴随真实系统变化而不断进行调整。
领域代表性厂商分析
在本次报告研究中,我们通过厂商访谈等形式,从市场影响、产品化、行业应用、服务保障和创新能力5大维度,对当前市场上实际能够提供欺骗防御产品和服务的国产厂商进行了评估分析,并选取了其中具有较高应用代表性的10家厂商(排名不分先后,按首字母序排列)收录进本年度的《欺骗防御技术应用指南》。
年度代表性厂商评估维度及考评项
安恒信息
长亭科技
斗象科技
观安信息
锦行科技
默安科技
瑞数信息
卫达信息
元支点
知道创宇
了解更多欺骗防御技术应用信息,可关注即将于“安全牛商城”上架的完整版《2023年欺骗防御技术应用指南》报告。
相关阅读
简析欺骗式防御技术的价值与应用
基于蜜罐实现拟态仿真与主动欺骗防御