現(xiàn)在市場上不缺騙術防御產品。介紹了11個可以對不同的欺騙防御方案進行初步評估篩選的問題，以避免用戶在眼花繚亂的營銷手段下，花費大量金錢買回收效甚微的東西。同時，供應商也可以通過這11個角度產生新的思維。

1.每個誘餌都是獨一無二的嗎？

很多騙術解決方案并不能讓每個誘餌系統(tǒng)都獨一無二。也就是說，如果部署100個FTP誘餌，這100個誘餌可能會重復指向同一個FTP服務器。但是先進的欺騙方案將通過虛擬化技術提供獨特、真實和可定制的誘餌。一些廠商會通過模擬技術大規(guī)模擴展誘餌系統(tǒng)，然后將攻擊者的交互信息轉移到真實的虛擬機上。與獨特的誘餌系統(tǒng)相比，仿真系統(tǒng)顯然對攻擊者沒有吸引力。

二、如何在誘餌中制造虛假內容？

廠商往往會在POC中設置幾個配置良好的誘餌來吸引用戶，但是如何在幾百個誘餌中創(chuàng)建虛假的內容和真實的應用層數據值得進一步研究。人腦(尤其是人才匱乏的安全團隊)并不擅長通過人工手段創(chuàng)造大量虛假但高度可信的內容，高級攻擊者非常容易識破。

3.這個方案能阻止攻擊鏈中的哪些環(huán)節(jié)？

“全覆蓋攻擊鏈”是很多廠商在營銷過程中會“吹噓”的優(yōu)勢之一，但用戶要對其具體含義有深刻的理解。一個好的欺騙平臺應該覆蓋每一個環(huán)節(jié)，從偵察階段放在防火墻前的誘餌(每次隨機網絡探測都不會觸發(fā))，到偽造的字符(電子郵件地址、電話號碼)和虛假數據。真正的欺騙方案不僅僅是部署一些網絡誘餌，所以在選擇欺騙方案時，要保證是真正的全棧平臺。

4.如果用戶單位有多個分支機構分布在不同城市，如何實現(xiàn)欺騙方案的大規(guī)模部署？

如果用戶組織有多個分支，是否需要調用大量設備？需要換網絡創(chuàng)建GRE隧道還是VPN？很多廠家會聲明自己有足夠的終端誘餌(實際上可能不夠)，以避免這種多定位的問題。好的平臺應該能夠實現(xiàn)誘餌的遠程部署。

5.方案部署需要安裝代理或獲得管理權限嗎？

欺騙功能的實現(xiàn)是否依賴于大部分終端設備上大量代理的運行？另外，部署終端功能時是否需要獲得管理員權限。真正有效的欺騙手法，與這兩個條件無關。

6.如何判斷誘餌的可信度？

用戶應該建立自己的可信測試團隊，通過藍隊攻擊的方式來測試和驗證誘餌的可信度。這就要求欺騙方案提供的環(huán)境應該是像RDP和SSH那樣的高度交互的環(huán)境。人類攻擊者(不僅僅是商業(yè)惡意程序)可以運行自己喜歡的所有代碼，但是攻擊過程中的每一個動作都被欺騙工具監(jiān)控。

7.這個騙術方案有哪些實踐經驗和成功案例？

欺騙預防不僅是一項技術，也是實施可信欺騙策略的一項完整活動。用戶應充分了解目標制造商在規(guī)劃、構建和管理這些活動方面的實際經驗。一個好的廠商一般都積累了很多實際的項目經驗。如果在比較大的網絡中部署一個欺騙平臺，很快就會被一些傳統(tǒng)病毒感染(比如傳統(tǒng)蠕蟲掃描子網)。聽起來不錯，但這不是你真正想阻止的高層威脅。所以要問清楚這個作弊平臺的發(fā)展歷史和成功案例。

八、廠商的藍隊進攻能力？

大多數欺騙技術的支持者要么來自藍隊(模擬攻擊者)，要么有威脅狩獵的工作背景。欺騙防御是目前最好的抑制攻擊者的方法。主動的紅藍對質說明廠商對惡意攻擊者的套路非常熟悉，“攻擊者視角”往往是決定欺騙方案能否真正給真正的攻擊者致命一擊的關鍵。

9.作弊平臺本身的安全性如何？

當攻擊者在穿透內網的時候入侵一個誘餌系統(tǒng)，我們希望結果一定是成功入侵，然后觀察攻擊活動，收集威脅情報。但是不排除攻擊者會用誘餌攻擊其他系統(tǒng)的可能性。例如，一些方案可能采用VLAN間路由，因此攻擊者可能通過誘餌系統(tǒng)繞過訪問控制。所以欺騙方案中平臺本身的安全性也很重要。

此外，應評估供應商方案中基本操作平臺的安全性，以確保攻擊者不會破壞用于誘餌部署的主機設備。容器虛擬化不是創(chuàng)建誘餌的理想方式，存在很大的安全風險。攻擊者可能通過誘餌系統(tǒng)主張權利，然后進入核心欺騙設備。

十、除了發(fā)現(xiàn)威脅，程序還能提供什么樣的取證和威脅控制服務？

欺騙方案可以為用戶提供低虛警率。但是除了獲取信息，欺騙計劃還能為我們做什么呢？通過數字取證調查威脅的根本原因，盡可能消除威脅。您的目標供應商提供的解決方案是否需要第三方產品來實現(xiàn)取證和威脅控制功能？如果是，用戶需要購買另一個工具來響應警報。

XI。(附加項目)制造商如何幫助我們建立欺騙能力，而不僅僅是部署產品？

欺騙技術的關鍵目標之一是通過部署各種誘餌系統(tǒng)來捕獲威脅。但是如果沒有作弊方案的整體策略，用戶只會購買一個產品，而不是一個能力。真正長期的欺騙能力應該包括欺騙技術、威脅建模、完整的欺騙“故事線”，以及成功欺騙后的警報管理能力。用戶應該清楚，您不僅購買了安全技術，還為您的安全團隊構建了全新的安全能力。

*參考來源:煙幕，F(xiàn)B邊肖葡萄柚匯編，請注明它來自FreeBuf.COM