08-蜜网主动欺骗防御体系建设分享-沈嗣贤

攻防演练及实战中蜜罐面临的挑战

• 攻击侧挑战：攻击面扩大、员工及身份伪造、APT攻击、报警甄别困难、攻击链难以成型、取证困难、被动防御、攻击技术黑产化。
• 金融业安全威胁多样性：数据泄露（28%）、漏洞（14.5%）、勒索病毒（13.2%）、凭证窃取（12.7%）等为主要威胁。
• 金融业安全投资发展方向：数据安全、安全服务、应用安全、身份与访问安全等领域的投资占比持续增长。

构建自主可控、动态对抗和海量部署的主动欺骗防御体系

• 蜜罐技术：通过布置诱饵主机、网络服务或信息诱使攻击方实施攻击，以捕获和分析攻击行为，了解攻击工具、方法、意图和动机。
• 蜜罐技术面临的挑战：易识破、部署固化、不安全。
• 主动欺骗防御体系特点：基于攻击混淆与欺骗伪装技术，实现高交互能力、动态对抗、全场景仿真、实时阻断、精准溯源、海量部署。

建立安全纵深防御体系

• 攻击视角：ATT&CK模型（12个阶段，200多种攻击方式）、网络杀伤链（7步：侦查、跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成）。
• 安全运营：监控系统安全稳定运行，进行安全事件闭环管理，建立资产数据库，保障信息系统安全。
• 顶层设计：完善安全管理体系，构建安全运营中心，以应用/数据/基础平台为核心构建保障能力。
• 纵深防御体系：边界安全、网络安全、端点安全、应用安全。

蜜网主动欺骗体系价值

• 联防联控能力：加强态势感知、自动化平台与安全产品的联防联控，形成感知、检测、研判、阻断闭环。
• 完善纵深防御体系：为安全运营提供全方位情报，有效锻炼内部安全人才攻防能力。
• 探针部署海量化：极小成本构建全量覆盖的主动欺骗防御网络，提升攻击门槛。
• 动态对抗能力：强大的动态攻击对抗能力，延长黑客攻击时间，提升业务模拟仿真度和欺骗性，捕获更多攻击手段和信息。