使用蜜罐欺騙防御方案需要考慮哪些問題

使用蜜罐欺騙防御方案需要考慮以下問題：

• 每個誘餌是否都是唯一的：很多欺騙解決方案無法做到每個誘餌系統都是唯一的。也就是說，如果你部署了100個FTP誘餌，這100個誘餌可能會反復地指向同一個FTP服務器。但高級的欺騙方案會通過虛擬化技術提供唯一的、真實的、可定制的誘餌。有的供應商會通過仿真技術實現誘餌系統的大規模擴展，然后將攻擊者的交互信息傳遞至真實的虛擬機。仿真系統對攻擊方的吸引力與獨一無二的誘餌系統相比顯然相去甚遠。

• 如何在誘餌中創建虛假內容：供應商往往會在POC中設置幾個配置完美的誘餌吸引用戶，但該供應商如何在成千上百的誘餌中創建虛假內容和真實應用層數據這個問題值得深究。人類大腦（特別是人才短缺的安全團隊）不擅長通過人工方式創建大量虛假但可信度高的內容，而且非常容易被高級攻擊者識破。

• 是否能夠阻止攻擊鏈中的所有環節：一個好的欺騙平臺應該涵蓋每個環節，從偵察階段置于防火墻之前的誘餌（不會在每個隨機的網絡探測中被觸發），到偽造的人物角色（電子郵件地址、電話號碼）以及虛假數據。真正的欺騙方案絕不僅僅是部署一些網絡誘餌，因此在選擇欺騙方案時應該確保它是真正的全棧型平臺。

• 是否支持 大規模部署：如果用戶單位有多個分支機構，是否會出現需要調用大量設備的情況，是否需要更改網絡，創建GRE通道或VPN等。

• 誘餌的可信度如何判斷：用戶應組建自己信任的測試團隊，通過藍隊攻擊的方式進行對誘餌的可信度進行測試與驗證。這也就要求欺騙方案所提供的環境應該是像RDP、SSH這樣的高交互式環境，人類攻擊者（不僅是商業惡意程序）能夠運行他們所喜歡的一切代碼，但攻擊過程中的一舉一動都在欺騙工具的監控之中。

• 自身的安全性如何：當攻擊者在內網滲透時入侵某個誘餌系統時，我們希望的結果肯定是成功入侵，然后觀察攻擊活動，收集威脅情報。但不排除攻擊者會利用誘餌來攻擊其它系統的可能性。例如，有的方案可能會采用VLAN間路由的方式，那么攻擊者就有可能通過誘餌系統繞過訪問控制。因此，欺騙方案中平臺本身的安全性也非常重要。

回答所涉及的環境：聯想天逸510S、Windows 10。