smokescreen 内行客户评估欺骗防御方案会问供应商的11个问题

现在市场上不缺骗术防御产品。介绍了11个可以对不同的欺骗防御方案进行初步评估筛选的问题，以避免用户在眼花缭乱的营销手段下，花费大量金钱买回收效甚微的东西。同时，供应商也可以通过这11个角度产生新的思维。

1.每个诱饵都是独一无二的吗？

很多骗术解决方案并不能让每个诱饵系统都独一无二。也就是说，如果部署100个FTP诱饵，这100个诱饵可能会重复指向同一个FTP服务器。但是先进的欺骗方案将通过虚拟化技术提供独特、真实和可定制的诱饵。一些厂商会通过模拟技术大规模扩展诱饵系统，然后将攻击者的交互信息转移到真实的虚拟机上。与独特的诱饵系统相比，仿真系统显然对攻击者没有吸引力。

二、如何在诱饵中制造虚假内容？

厂商往往会在POC中设置几个配置良好的诱饵来吸引用户，但是如何在几百个诱饵中创建虚假的内容和真实的应用层数据值得进一步研究。人脑(尤其是人才匮乏的安全团队)并不擅长通过人工手段创造大量虚假但高度可信的内容，高级攻击者非常容易识破。

3.这个方案能阻止攻击链中的哪些环节？

“全覆盖攻击链”是很多厂商在营销过程中会“吹嘘”的优势之一，但用户要对其具体含义有深刻的理解。一个好的欺骗平台应该覆盖每一个环节，从侦察阶段放在防火墙前的诱饵(每次随机网络探测都不会触发)，到伪造的字符(电子邮件地址、电话号码)和虚假数据。真正的欺骗方案不仅仅是部署一些网络诱饵，所以在选择欺骗方案时，要保证是真正的全栈平台。

4.如果用户单位有多个分支机构分布在不同城市，如何实现欺骗方案的大规模部署？

如果用户组织有多个分支，是否需要调用大量设备？需要换网络创建GRE隧道还是VPN？很多厂家会声明自己有足够的终端诱饵(实际上可能不够)，以避免这种多定位的问题。好的平台应该能够实现诱饵的远程部署。

5.方案部署需要安装代理或获得管理权限吗？

欺骗功能的实现是否依赖于大部分终端设备上大量代理的运行？另外，部署终端功能时是否需要获得管理员权限。真正有效的欺骗手法，与这两个条件无关。

6.如何判断诱饵的可信度？

用户应该建立自己的可信测试团队，通过蓝队攻击的方式来测试和验证诱饵的可信度。这就要求欺骗方案提供的环境应该是像RDP和SSH那样的高度交互的环境。人类攻击者(不仅仅是商业恶意程序)可以运行自己喜欢的所有代码，但是攻击过程中的每一个动作都被欺骗工具监控。

7.这个骗术方案有哪些实践经验和成功案例？

欺骗预防不仅是一项技术，也是实施可信欺骗策略的一项完整活动。用户应充分了解目标制造商在规划、构建和管理这些活动方面的实际经验。一个好的厂商一般都积累了很多实际的项目经验。如果在比较大的网络中部署一个欺骗平台，很快就会被一些传统病毒感染(比如传统蠕虫扫描子网)。听起来不错，但这不是你真正想阻止的高层威胁。所以要问清楚这个作弊平台的发展历史和成功案例。

八、厂商的蓝队进攻能力？

大多数欺骗技术的支持者要么来自蓝队(模拟攻击者)，要么有威胁狩猎的工作背景。欺骗防御是目前最好的抑制攻击者的方法。主动的红蓝对质说明厂商对恶意攻击者的套路非常熟悉，“攻击者视角”往往是决定欺骗方案能否真正给真正的攻击者致命一击的关键。

9.作弊平台本身的安全性如何？

当攻击者在穿透内网的时候入侵一个诱饵系统，我们希望结果一定是成功入侵，然后观察攻击活动，收集威胁情报。但是不排除攻击者会用诱饵攻击其他系统的可能性。例如，一些方案可能采用VLAN间路由，因此攻击者可能通过诱饵系统绕过访问控制。所以欺骗方案中平台本身的安全性也很重要。

此外，应评估供应商方案中基本操作平台的安全性，以确保攻击者不会破坏用于诱饵部署的主机设备。容器虚拟化不是创建诱饵的理想方式，存在很大的安全风险。攻击者可能通过诱饵系统主张权利，然后进入核心欺骗设备。

十、除了发现威胁，程序还能提供什么样的取证和威胁控制服务？

欺骗方案可以为用户提供低虚警率。但是除了获取信息，欺骗计划还能为我们做什么呢？通过数字取证调查威胁的根本原因，尽可能消除威胁。您的目标供应商提供的解决方案是否需要第三方产品来实现取证和威胁控制功能？如果是，用户需要购买另一个工具来响应警报。

XI。(附加项目)制造商如何帮助我们建立欺骗能力，而不仅仅是部署产品？

欺骗技术的关键目标之一是通过部署各种诱饵系统来捕获威胁。但是如果没有作弊方案的整体策略，用户只会购买一个产品，而不是一个能力。真正长期的欺骗能力应该包括欺骗技术、威胁建模、完整的欺骗“故事线”，以及成功欺骗后的警报管理能力。用户应该清楚，您不仅购买了安全技术，还为您的安全团队构建了全新的安全能力。

*参考来源:烟幕，FB边肖葡萄柚汇编，请注明它来自FreeBuf.COM