越來(lái)越多的公司企業(yè)開(kāi)始將欺騙作為填補(bǔ)現(xiàn)有安全解決方案空白的一種方式，將之作為數(shù)據(jù)防丟失、加密、訪問(wèn)管理和用戶行為分析等安全解決方案的一種補(bǔ)充。

欺騙技術(shù)能賦予防御者其他防護(hù)技術(shù)所不具備的優(yōu)勢(shì)：通過(guò)布置滿是鮮香美味誘餌的雷區(qū)，誘使攻擊者暴露出自身意圖和手段，實(shí)現(xiàn)早期準(zhǔn)確檢測(cè)。

FBI和其他頂級(jí)司法機(jī)構(gòu)早已使用此類技術(shù)誘捕兒童色情犯和金融大盜一類的罪犯了。

設(shè)置誘餌的目的，是為了捕獲攻擊者了解網(wǎng)絡(luò)時(shí)的早期動(dòng)作及其發(fā)現(xiàn)目標(biāo)的方法。

網(wǎng)絡(luò)攻擊的早期階段也可以稱作“現(xiàn)場(chǎng)偵察”，打斷這一階段最終可以減少潛在攻擊的駐留時(shí)間，對(duì)數(shù)據(jù)保護(hù)工作而言至關(guān)重要。

防御者可以觀察正在發(fā)生的事，更深入地了解攻擊的本質(zhì)，更透徹地理解攻擊者在網(wǎng)絡(luò)甚或在云文件共享環(huán)境中移動(dòng)的方式。

越來(lái)越多的公司企業(yè)開(kāi)始將欺騙作為填補(bǔ)現(xiàn)有安全解決方案空白的一種方式，將之作為數(shù)據(jù)防丟失、加密、訪問(wèn)管理和用戶行為分析等安全解決方案的一種補(bǔ)充。

但安全團(tuán)隊(duì)如何確定哪種欺騙技術(shù)是最適合自家公司的呢?定義“蜜”環(huán)境當(dāng)前，欺騙技術(shù)市場(chǎng)中絕大多數(shù)產(chǎn)品都主要著眼打造復(fù)雜的“蜜”環(huán)境，旨在引誘攻擊者進(jìn)入虛假系統(tǒng)，轉(zhuǎn)移并記錄其攻擊行為。

1. 蜜罐蜜罐是與網(wǎng)絡(luò)毗連的系統(tǒng)，用以引誘攻擊者并檢測(cè)、轉(zhuǎn)移或研究黑客的攻擊嘗試。

蜜罐按與入侵者的互動(dòng)程度分為不同類型。

設(shè)計(jì)恰當(dāng)?shù)脑?，蜜罐可以阻止攻擊者訪問(wèn)公司運(yùn)營(yíng)網(wǎng)絡(luò)中的受保護(hù)區(qū)域。

配置良好的蜜罐應(yīng)具備公司生產(chǎn)系統(tǒng)中的多個(gè)相同組件，尤其是數(shù)據(jù)。

蜜罐最大的價(jià)值就是能獲取到攻擊者行為及意圖的相關(guān)信息。

進(jìn)出蜜罐的數(shù)據(jù)可使安全人員收集到這些信息，比如攻擊者的擊鍵記錄、在虛假蜜罐系統(tǒng)中橫向移動(dòng)的嘗試動(dòng)作等。

2. 蜜網(wǎng)蜜網(wǎng)是由多個(gè)蜜罐組成的真實(shí)網(wǎng)絡(luò)的模擬。

基本上，蜜網(wǎng)就是模仿公司網(wǎng)絡(luò)中常會(huì)出現(xiàn)的多臺(tái)服務(wù)器環(huán)境的大規(guī)模網(wǎng)絡(luò)誘餌。

SANS 2017 報(bào)告《蜜罐狀態(tài)：理解今日蜜罐技術(shù)使用》中寫(xiě)道：“蜜網(wǎng)連接與交互的方式與真實(shí)網(wǎng)絡(luò)無(wú)異——系統(tǒng)間所有連接都沒(méi)模擬。

”SANS報(bào)告按10分制請(qǐng)蜜罐用戶為蜜罐和蜜網(wǎng)有效性評(píng)分，在總體有效性上蜜網(wǎng)得分7.5。

與蜜罐類似，蜜網(wǎng)最大的價(jià)值就是安全團(tuán)隊(duì)能從中收集到的有關(guān)攻擊者行為的情報(bào)。

只要構(gòu)建并維護(hù)良好，蜜環(huán)境可供安全團(tuán)隊(duì)觀察攻擊者巡游網(wǎng)絡(luò)搜索數(shù)據(jù)并滲漏出去的方法。

但有個(gè)前提：攻擊者要上鉤——進(jìn)入蜜網(wǎng)。

蜜環(huán)境痛點(diǎn)蜜環(huán)境的部署、管理和維護(hù)面臨幾個(gè)重大挑戰(zhàn)與痛點(diǎn)。

在購(gòu)買欺騙技術(shù)之前，你得好好分析一番成本效益。

首先，雖然蜜環(huán)境是在企業(yè)運(yùn)營(yíng)環(huán)境之外構(gòu)建與維護(hù)，蜜網(wǎng)仍需黑客初步突破運(yùn)營(yíng)環(huán)境。

公司企業(yè)最好期望通往蜜網(wǎng)的面包屑足夠誘人，能夠切實(shí)引誘到黑客。

另外，一旦黑客離開(kāi)虛假環(huán)境，我們沒(méi)辦法知道他/她還會(huì)不會(huì)重新進(jìn)入該運(yùn)營(yíng)環(huán)境以繼續(xù)攻擊，也不會(huì)知道他/她在被誘餌面包困住前可能滲漏出了什么數(shù)據(jù)。

其次，創(chuàng)建這些環(huán)境所需的成本與資源可能會(huì)給本就不堪重負(fù)的安全團(tuán)隊(duì)又套上一層枷鎖。

想讓攻擊者相信蜜網(wǎng)是真實(shí)公司網(wǎng)絡(luò)，公司企業(yè)建立的蜜環(huán)境就必須模擬運(yùn)營(yíng)環(huán)境。

于是，該環(huán)境也必須有人維護(hù)以保持其“真實(shí)性”。

維持蜜網(wǎng)運(yùn)轉(zhuǎn)所需的投入與保養(yǎng)可沒(méi)那么輕松。

再次，蜜環(huán)境能提供的攻擊者相關(guān)數(shù)據(jù)的有用程度是有限的。

蜜網(wǎng)確實(shí)是了解攻擊者如何在系統(tǒng)內(nèi)搜羅數(shù)據(jù)的好方法，但攻擊者的真實(shí)身份和數(shù)據(jù)被盜后會(huì)被攻擊者作何用途，就不能靠蜜網(wǎng)探知了。

最后，攻擊者越來(lái)越精于分辨蜜環(huán)境特征。

真正危險(xiǎn)的黑客往往瞄準(zhǔn)他們確知是真實(shí)機(jī)器的特定IP地址。

黑客很容易分辨某主機(jī)是不是企業(yè)網(wǎng)絡(luò)中的蜜罐，因?yàn)檫@些機(jī)器要么沒(méi)有出站流量，要么偽裝流量沒(méi)遵循正常使用模式，顯得很不自然。

想要讓蜜網(wǎng)發(fā)揮自己的價(jià)值，入侵者就不應(yīng)該感覺(jué)到自己處在虛假系統(tǒng)中。

蜜網(wǎng)環(huán)境應(yīng)給攻擊者一種虛假的真實(shí)感和安全感，讓他/她覺(jué)得自己沒(méi)被發(fā)現(xiàn)或沒(méi)被監(jiān)視。

在現(xiàn)實(shí)世界中欺騙在運(yùn)營(yíng)環(huán)境和云環(huán)境中部署欺騙技術(shù)，可使安全團(tuán)隊(duì)檢測(cè)并欺騙直奔敏感數(shù)據(jù)而去的攻擊者，而不是寄希望于攻擊者被誘導(dǎo)到其他地方。

在運(yùn)營(yíng)網(wǎng)絡(luò)中部署可信誘餌文檔能提供蜜罐和蜜網(wǎng)的所有好處，且不用創(chuàng)建和維護(hù)虛假環(huán)境。

不依賴蜜環(huán)境的欺騙還可用于主動(dòng)反擊黑客和泄密者。

攻擊者依靠各種各樣的工具保持匿名，這些工具往往能帶來(lái)大膽攻擊的成功。

不局限于虛假環(huán)境的欺騙技術(shù)可穿透這些工具，暴露出攻擊者，且攻擊者往往還毫無(wú)所覺(jué)。

這就給公司企業(yè)和司法機(jī)構(gòu)釘死黑客和泄密者提供了特別的優(yōu)勢(shì)。